Crear contraseñas/claves (Password) seguras

Posted on viernes, 19 junio, 2009 by silverfenix7

Actualmente en informática utilizamos las contraseñas/claves (También denominados password) más de lo que creemos, por ejemplo para:

  • Acceder a la configuración de BIOS, de esta forma se evita que se desconfigure BIOS por una mala configuración por parte de un usuario malintencionado o que no sepa que esta modificando.
  • Tener acceso al equipo mediante clave en BIOS, de esta forma evitamos que un usuario no autorizado tenga acceso al Sistema Operativo (S.O), ni siquiera llega a cargarse.
  • Acceder al Sistema Operativo mediante clave de usuario, de esta forma bloqueamos el acceso al S.O  antes de cargarse o una vez cargado, la contraseña de BIOS es relativamente más efectiva ya que ni siquiera se carga el S.O, aunque una vez que hemos cargado el S.O porque estamos trabajando con el ordenador dicha contraseña de BIOS no sirve para «nada» porque estamos dentro del Sistema Operativo, por lo que la contraseña que nos puede pedir el S.O actúa como «barrera» ante los usuarios locales no autorizados.
  • Cuentas de correo electrónico (eMail).
  • Tener acceso a internet (ej: Modem de 56k o ADSL con nombre de usuario y contraseña).
  • Configuración de Routers xDSL.
  • Conectarnos a nuestra red Wifi encriptada con clave WEP (Actualmente se puede descifrar desde Linux con los programas y hardware adecuados, e incluso es posible hacerlo desde Windows) o WPA (Actualmente WPA es más segura, ya que actualmente no se puede descifrar).
  • Acceder a Archivos/Carpetas cifradas por el usuario.

Así como en otros ámbitos de la vida diaria, para que una contraseña sea realmente segura tenemos que tener en cuenta varios factores:

  • No debe ser una palabra de diccionario, es decir la palabra «antioxidante» tal cual (sin las comillas) por ejemplo sería relativamente fácil de descifrar mediante un ataque de diccionario a un archivo cifrado (La palabra antioxidante viene recogida en la RAE: Real Academia Española y prácticamente en cualquier diccionario más o menos actual).
  • No ser una cadena sencilla, como por ejemplo 1234 (una contraseña que suele usarse en muchos Router xDSL para configurarlos), «1234567890», «qwerty», «abcdefg», «55555» ya que son relativamente fáciles de descifrar.
  • No debe ser una palabra que guarde relación directa con nosotros, como por ejemplo puede ser:
    • Alguna fecha especial (ej: Fecha de Nacimiento, Santo, Dia de la Boda/Bautizo/Comunión).
    • Signo del Zodiaco.
    • Nombre de algún familiar.
  • No debe ser corta, al menos tiene que tener entre 8 y 12 caracteres como mínimo (cuantos más caracteres mejor), salvo que el sistema de encriptado acepte un limite menor de caracteres.
  • No es recomendable anotar la contraseña (password) en una hoja o cualquier otro sistema de anotación (ej: un documento informático), para evitar problemas de seguridad, aunque si es un password complicado (ej: ?_~6_^P~9Ax2[Z0) se podría anotar en un papel sin poner ningún tipo de referencia más, ya que no tiene mucho sentido por sí sólo y habría que saber a que se refiere esa cadena de caracteres.
  • Puede ser una frase, refrán o palabra compuesta, aunque hay que tener en cuenta que algunos sistemas de cifrado tienen un número limitado de caracteres.
  • Aquellos servicios que disponen de ayuda para recuperar la contraseña mediante una respuesta secreta (ej: Correos web o Webmail), es aconsejable que dicha respuesta no este relacionada con la pregunta porque podría suponer una brecha de seguridad si la respuesta secreta es «evidente».
  • Es aconsejable cambiar la clave cada cierto tiempo para aumentar la seguridad.
  • Es más que recomendable que sea como mínimo alfanumérica (es decir que mezcle letras y números), si además el sistema de cifrado permite mezclar letras mayúsculas y caracteres especiales (%,&,$, €,…) mejor aún ya que aumenta el nivel de seguridad, como veremos en el siguiente ejemplo:

En la web de Microsoft hay un comprobador de contraseñas que evalúa la seguridad de nuestra contraseña (según su información no guarda los datos, solo comprueba el nivel de seguridad del Password) por ejemplo si utilizamos la palabra anterior (antioxidante, con 12 caracteres):

  • Si la ponemos tal cual (antioxidante) el nivel de seguridad de la contraseña es «Poco segura».
  • Si pasamos la palabra a alfanumérica (ej: ant10x1dant3, el carácter que parece una «o» es realmente un cero, no una vocal) el nivel de seguridad de la contraseña es «Medio» porque al tener números intercalados entre los caracteres es más segura que la anterior.
  • Si utilizamos mayúsculas, minúsculas y números (ej: Ant1Ox1dant3, la «O» es una vocal mayúscula) el grado de seguridad de la contraseña es «Alto», al mezclar números, letras mayúsculas y minúsculas.
  • Por último si podemos añadir caracteres especiales ($%&/ , … ) el nivel de seguridad aumenta al máximo que es «Mejor» (ej: @nt1()x1dant€%), teniendo en en cuenta que utilizamos el signo:
    • Arroba ( @ ) como si fuera una «a».
    • Dos paréntesis () como si fueran una «o».
    • El signo del euro ( € ) como si fuera una «e».
    • El signo de tanto por ciento ( % ) para añadir un carácter y así logar la seguridad «Mejor», sin el carácter «%» el nivel de seguridad es «Alto».

Por otro lado si no sabes que contraseña utilizar puedes usar alguno de estos generadores de claves:

  • Password.es, aunque las claves que genera el primero son bastante difíciles de recordar ya que son palabras sin sentido en la mayoría de los casos (ej: ?_~6_^P~9Ax2[Z0 tiene seguridad «Muy Alta»), y por otro lado su nivel de seguridad es «variable» aun utilizando todos los caracteres (incluyendo los especiales). También tienen un Comprobador de contraseñas/password para ver el nivel de seguridad.
  • SISMIT, en este caso las claves que genera son algo más «fáciles» de recordar pero su nivel de seguridad parece más limitado, da la impresión de que utiliza claves alfanuméricas.

Así mismo se pueden encontrar otros generadores de claves gratuitos en:

Realmente este «sistema» (Mezclar letras (mayúsculas y minúsculas) con números como mínimo, e incluso con caracteres especiales (#, $, %, &, €,…) si es posible) se puede aplicar a cualquier contraseña siempre y cuando el sistema de cifrado admita los caracteres correspondientes, ya que algunos sistemas están limitados a claves numéricas (ej: Las tarjetas de crédito).

Por otra parte en How Secure Is My Password se puede ver cuanto tiempo se tardaría en descifrar una clave, lo curioso de este sistema esta pensado para claves de lengua inglesa, ya que si probamos las siguientes claves obtenemos los siguientes resultados:

  • 1234: Uno de los 500 password más comunes.
  • Car: 0.000562432 seconds.
  • Coche: About a second.
  • Weightlifting: About 133 million years (Realmente esto bajo mi punto de vista no tiene mucho sentido porque si la base de datos es inglesa como parece ser, esta palabra debería estar en un ataque de diccionario y por tanto se podría encontrar en menos tiempo del que indican).
  • Halterofilia: About 49 thousand years.

Se puede encontrar más información en:

Filed under: Seguridad informática | Tagged: , , , , , , , , |

« »