Contraseñas

Debería hacerse un estudio psicológico acerca de los motivos que mueven a las personas a elegir una contraseña u otra cuando tratan de proteger algún recurso o activo de su propiedad. Si no entienden lo que quiero decir, creo que con un par de buenos ejemplos podemos sentar las bases para evitar futuros problemas.

El Banco Solidario acaba de dar acceso a una persona a su banca electrónica. La primera vez que entra a la banca electrónica le solicita que cambie la contraseña que le dieron, y tiene que elegir una que solamente tenga números, de seis u ocho dígitos. ¿Qué contraseña puede elegir? En ese momento predomina elegir una contraseña que pueda recordar sobre cualquier otra cosa, por lo que la elección final es la fecha de su nacimiento, del nacimiento de su hijo o mujer, la fecha de su boda, el día que apertura la cuenta en el banco u otro día importante en su vida.

De esta manera, en caso de que un atacante tuviera el DNI del usuario de banca electrónica, el 70% de las contraseñas asignadas en banca electrónica se podría averiguar en seis o siete intentos si el atacante informático tuviera algo de información personal adicional acerca del propietario de la cuenta. En caso de que un atacante no tuviera información de la persona y optara por un ataque de fuerza bruta, es decir, probando contraseñas una a una, se podría reducir a 10.000 aproximadamente el número de intentos como mucho que necesitaría el atacante en obtener la contraseña de banca electrónica.

Afortunadamente en el caso de la banca electrónica, a los tres intentos consecutivos fallidos se bloquea la cuenta, y en caso de un número determinado de intentos no consecutivos, también se bloquearía.

¿Se siente identificado con la elección de contraseña en este primer ejemplo?

Sigamos con nuestro segundo ejemplo.

Nos abrimos una cuenta de correo electrónico a través de una página web, y elegimos un usuario y una contraseña. Para la elección de la contraseña podemos seleccionar números y caracteres, por lo que grabamos una contraseña fuerte, del tipo la+wapadkai, muy segura ante cualquier tipo de ataque informático.

A continuación la página web nos pide una frase de recordatorio por si se nos olvida la contraseña. Es en este momento cuando decimos: "¿En qué colegio estudié?" o "¿Cómo se llama mi mascota favorita?" o "¿qué día nació mi hijo?". Vaya, craso error. Cualquiera que nos conozca un poco podría averiguar esta información y solicitar un refresco de la contraseña, entrar en nuestra cuenta de correo y visualizar información confidencial. Una vez dentro de nuestro correo el atacante podría enviar mensajes en nuestro nombre, con multitud de fines.

¿Se siente identificado con este segundo caso?

Si no se ha sentido identificado con alguno de los dos casos, puede ser que sea una persona que gestiona bien las contraseñas, o puede que no le haya puesto el ejemplo correcto.

Si se ha sentido identificado con el primer o segundo ejemplo, con los dos o con ninguno, le voy a recomendar el uso de una aplicación gratuita para gestionar de manera centralizada y sencilla todas las contraseñas que pueda manejar a diario: KeePass. Además, genera contraseñas aleatorias con la suficiente complejidad como para dificultarle el trabajo a un atacante informático.

Por otro lado, para las frases de paso, recuerde seleccionar algo lo suficientemente difícil como para que solamente lo pueda conocer usted o su entorno más cercano.

Las contraseñas más usadas en el mundo son god (dios) y admin, la primera debido al egocentrismo, la segunda debido a la falta de concienciación, puesto que suele ser una contraseña por defecto. No cometa los mismos errores, le va en ello su privacidad.