Por Nacho Palou — 26 de Abril de 2015

En Coding Horror, Your Password is Too Damn Short,

La forma más fácil de lograr que una contraseña sea segura es eligiendo una contraseña que sea larga. En igualdad de condiciones, por la ley del crecimiento exponencial una contraseña más larga es una contraseña mejor. Por este motivo siempre he sido partidario de usar frases como contraseñas, a pesar de que son un suplicio a la hora de teclearlas en un teléfono móvil. Pero, ¿cuándo una contraseña resulta lo suficientemente larga?

Ah, el complejo, tedioso y obsoleto mundo de las contraseñas. Si echas un vistazo al artículo de Coding Horror te darás cuenta de lo vulnerable que son en realidad todas tus contraseñas, cualquiera de ellas. Al menos en teoría. Excepto que sean lo suficientemente largas.

Cualquier contraseña de 8 caracteres —que es una longitud muy habitual— se puede romper en 2,2 segundos. Para comprobarlo el artículo de Coding Horror utiliza dos herramientas online: un generador de contraseñas y una calculadora del tiempo necesario para romper una contraseña concreta, por fuerza bruta y en distintos escenarios.

Es verdad que esos 2,2 segundos necesarios para romper cualquier contraseña de 8 caracteres se refiere al emplear un método offline de fuerza bruta —por ejemplo, alguien ha robado un archivo de contraseñas y lo está procesando con un ordenador potente. Todavía bastan 37 minutos empleando el mismo método pero usando un ordenador algo menos poderoso. En caso de que se intente romper la contraseña de 8 caracteres probando directamente contra un sistema online el tiempo aumenta incluso hasta varios años, e incluso siglos.

Lo interesante del asunto es comprobar cómo el tiempo necesario para romper una contraseña aumenta exponencialmente por cada letra o número que se añade: una contraseña de 9 caracteres necesita 2 minutos (usando el mismo método de fuerza bruta), mientras que añadir dos caracteres más eleva ese tiempo hasta los 6 días; uno más (12 caracteres) supone un año y con 13 caracteres hace falta casi toda una vida, unos 64 años.

Más seguridad añade incorporar en la contraseña caracteres especiales como un asterisco (*) o una exclamación (!): romper una contraseña alfanumérica de 12 caracteres que incluya al menos un carácter especial puede demorar la rotura hasta dos siglos aplicando el método de fuerza bruta más demoledor.

De modo que «no puedes quedarte realmente tranquilo hasta que tu contraseña tenga al menos 12 caracteres que combine letras mayúsculas, minúsculas, números y caracteres especiales.»

Esto es sobre todo un ejercicio teórico y concienciador. Para servicios comunes y normales que se utilizan a diario la complejidad de la contraseña tiene que ser proporcional con aquello que se trata de proteger. Por una simple cuestión práctica y de salud mental tan importante es que la contraseña sea segura como que utilizarla no sea un suplicio.

Compartir en Flipboard  Compartir en Facebook  Tuitear