Por @Alvy — 14 de Junio de 2017

Odisseus 2017 jun 14 passwords

Aprovechando listas de contraseñas reales –en su mayoría productos de filtraciones y crackeos– y combinándolas con diccionarios y otros corpus similares de palabras de todos los idiomas, el ingeniero y aficionado a la ciberseguridad Ben berzek0 publica periódicamente tanto los datos en bruto como un pequeño análisis sobre lo que se puede aprender del asunto.

La información es pública y libre, tanto para fines profesionales (generación de contraseñas, comprobaciones de seguridad, etc.) como educativos (aprender sobre seguridad informática). Se pueden descargar de Github desde su página Probable Wordlists (la última versión es la 1.2) y también está disponible en varios torrents – por si acaso necesitas los 45 GB que ocupan completas todas las contraseñas ha recopilado.

Además las enormes listas originales en forma de texto plano también hay versiones destiladas con solo los Top 100, Top 1000 etc. más «populares» o los hashes (versiones «reducidas» de contraseñas más largas, normalmente de más de 40 caracteres).

Tras confirmar como ya sabíamos que 123456 es la contraseña más utilizada del mundo, seguida de password su análisis también indica que:

  • El 80% de las contraseñas tienen entre 8 y 12 caracteres. De menos de 4 o más de 17 hay muy muy pocas.
  • El 90% de las contraseñas solo utilizan minúsculas y números.
  • La mitad de las contraseñas solo están compuestas por letras; un tercio terminan en un número.

Combinando esto con un poco de sentido común y lo que siempre hemos sabido sobre contraseñas, sus recomendaciones prácticas –ojo, que no hacen una contraseña inviolable– incluyen:

  • Utilizar caracteres especiales si es posible, especialmente al principio de la contraseña (ej. *canguro mejor que canguro).
  • Combinar mayúsculas y minúsculas y no solo al principio (ej. *CanGuRo en vez de *canguro)
  • Usar contraseñas de 12 o 13 caracteres como mínimo (ej. *MiCanguroMeMima en vez de *CanGuRo).

Todas estas normas son fáciles de recordar y no demasiado incómodas de poner en práctica. Y en caso de ataque a algún tipo de servicio de acceso el resto de contraseñas puede que sea pasto de los crackers y estás tienen más probabilidad de salvarse.

Eso sí: recordemos que estas ideas pueden ser válidas cuando no hay otra opción como la autenticación de dos factores, que por suerte es cada vez más común y mucho más segura y aconsejable.

(Vía @_odisseus.)

Relacionado:

Compartir en Flipboard Publicar / Tuitear