Es una buena idea utilizar ciertos momentos o situaciones para cambiar cosas. Algo así como sistematizar o programar acciones. En este caso creo que es un buen momento (frase futbolera si las hay, Don Niembro) el inicio de cada año para cambiar la contraseña de los servicios más importantes, o del servicio más importante, si usan un gestor de contraseñas como LastPass y Keepass. Aunque, si hacen esto, tampoco sería mala idea cambiar también las contraseñas de los servicios más importantes (servicios de correo y redes sociales, entre otras). Esto es muy importante porque he conocido mucha gente que se acostumbró a usar un LastPass y nunca cambia el password de Facebook, al que terminan quitándoselo por haber sido siempre el mismo desde 2007: pepito123

Y aunque parezco una locura – bueno, de hecho lo es – recomendar el cambio de contraseña una vez por año cuando por lo general los mismos servicios recomiendan cambiarla cada 2 meses, todos sabemos muy bien que para la mayoría de la gente normal cambiar la contraseña cada 2 meses termina en claves olvidadas y en cuentas inaccesibles.

El ser humano promedio no puede mantener tantas claves: El pin del ATM/Tarjeta de débito, la del correo, la de Facebook, Twitter, Instragram, el pin/clave de su teléfono celular. En fin, lo que sucede es que por lo general se termina eligiendo solamente un password para todo. Es así, nos guste o no a los que somos un poquito más “cuidadosos” con la seguridad: el usuario común usa la misma contraseña para todo. Y lo hace porque acordarse muchas contraseñas es un terrible dolor de huevos/ovarios, según el sexo que corresponda.

Sea como fuere, el objetivo de este pequeño artículo es concientizar el cambio de contraseñas, y mejorarlas. Para eso, vamos a dar algunos consejos que son bastante básicos pero que sirven y bastante. Vamos con ellos.

Usá un gestor de contraseñas

No es absolutamente necesario, claro. Pero si, extremadamente recomandado. Hoy tenés mil cuentas distintas, desde las más importantes a la cuenta del foro del club del auto o de la bici, pasando por cuentas de mediana seguridad como la de la obra social ¿Es posible recordar todas estas cuentas? Para nada, y lo peor es que una vez al mes, al menos, solemos entrar y si no tenemos un gestor que las recuerde por nosotros nos volvemos locos.

Un gestor de contraseñas es una especie de baúl en donde guardamos todas las claves que nosotros queremos. Este baúl debe estar asegurado con una llave maestra lo suficientemente fuerte como para poder tener seguras todas las claves dentro y se lo llama “master password“.

Lo genial de estos gestores es que se integran de una manera muy intuitiva con los navegadores. Por ejemplo, supongamos que tenemos LastPass. Una vez instalado y con la clave maestra ingresada, el sistema “aprende” los nombres de usuario y contraseñas de las cuentas que nosotros queramos, y la próxima vez que las vamos a usar… voilá, el complemento las “pone” por nosotros mismos (con asteriscos o puntitos y un iconito que nos avisa que la misma ha sido guardada por el complemento).

outlook

Cabe aclarar desde hace un tiempo, Chrome, gracias a su sistema de inicio de sesión conjunto con la cuenta de Google, tiene un sistema de “guarda de contraseñas” similar a LastPass o Keepass. Funciona, pero es menos potente, claro. Lo genial es que al sincronizarse entre distintos dispositivos podemos entrar a nuestras cuentas desde el smartphone o la tablet como si nada. No pasa lo mismo con los gestores tradicionales, que por lo general son pagos en sus versiones móviles. Lo importante en este caso es recordar cerrar sesión cuando se utilice en una PC ajena (si es que alguien sincroniza el navegador en una cuenta ajena) ya que instalar una extensión no es algo que uno hace en una máquina que no es de uno, Por eso, por costumbre y porque siempre me funcionó perfectamente, yo recomiendo LastPass, pero siempre y cuando se use una contraseña maestra larga, compleja y además un sistema de doble verificación.

El sistema de doble verificación compatible con LastPass más simple es Google Authenticator. Basta solamente con tener la App instalada en un smartphone de nuestra propiedad y se nos pasará un número cuando iniciemos sesión en un nuevo equipo ¿Perdimos el teléfono o fue robado? Bastará conque el sistema nos llame a un número fijo, configurado previamente. También existen sistemas de doble autenticación biométricos compatibles con LastPass, como llaves USB o también lectores de huellas digitales, pero por lo menos, si vas a usar algo tan importante para salvaguardar toda tu vida online detrás, tenes que tener una doble vía de seguridad.

Usá reglas nmemotécnicas, en lugar de super passwords

La mnemotecnia o nemotecnia es una técnica de memorización basada en la asociación mental de la información a memorizar con datos que ya sean parte de nuestra memoria. Esta técnica aprovecha la capacidad natural que tiene nuestro cerebro para recordar imágenes y para prestarle más atención a los sucesos poco comunes o extraordinarios.

Eso dice Wikipedia. Y como habiamos dicho, uses o no un gestor de contraseñas, es buena idea tener claves seguras en los servicios que más usás y cambiarlas habitualmente, pero… ¿cómo memorizarlo?

El gran problema acá es que si por ejemplo querés una contraseña fuerte, un sistema de generación te va a largar algo así como #43!ojxa)B92?Xa2 que si bien es una clave tremenda, es imposible de recordar. Ahora, ¿es posible crear una clave que sea tan fuerte como esa y la podamos recordar? Si, es posible.

Acá hay que tener un par de consideración antes de seguir:

1) Si te sacan una clave con un keylogger, malware o ataque de avanzada, por más que tengas una contraseña imposible y de 40 caracteres, te la roban con un simple copypaste.

2) ¿Ataque de diccionario? Con la regla nmemotécnica es improbable que alguien haya usado tu misma clave alguna vez.

3) ¿Fuerza bruta? Si usamos CAPS, minúsculas, caracteres y números, la clave es tan fuerte como una de las inentendibles.

Entonces, una buena idea es crearse una regla con este estilo:

Mi nombre + Palabra en CAPS + Número + Letra inicial y final del servicio + 2 caracteres raro.

Por ejemplo:

GuillermoVENTILADOR2014+TR!$

Ahí tenemos un password que nunca nadie usó (o eso se supone) por lo que es fuerte ante ataques de diccionario, es largo, por lo que es fuerte ante ataques de fuerza bruta y además, es sencillo de aprender. Es fundamental recordar, básicamente los 2 caracteres raros, que no deberían repetirse.

Existen muchas alternativas, claro. Algunos escriben una frase, usando por ejemplo la 3 en lugar de la E y el 1 en lugar de la I, algo así cómo: M3 Gusta La P3ps1!. Allí tenemos las palabras que comienzan con mayúscula, un final con un caracter raro (más los espacios que también son caracteres raros) y los números por letras, como usa la comunidad leet.

Estamos viviendo el final de los passwords tal como los conocemos. Es probable que nos acompañen por varios años más pero no solos, sino que en conjunto de otras vías de autenticación que refuerzan la seguridad de nuestras cuentas. Quizás, por eso, y si no sos un paranoico (algo que quizás deberías ser) cambiar la contraseña como primer medida del año sea una buena idea, y si es fuerte, mejor.

De paso aprovecho, ¿qué sistema usás para tratar de mantener tus contraseñas seguras?

10 Comentarios

  1. Hace un mes mas o menos aproveche y cambie el grueso de mis contraseñas, después de tantos fallos en los códigos fuentes de los grandes sitios era la única forma de quedarse tranquilo. Empece a usar LastPass y me funciona bien para poder tener contraseñas distintas en cada sitio, lo mismo no lo uso para temas de pagar de tarjetas e inficiona “delicada”.

    Lo mismo estoy harto, estoy registrado en tantos lugares que ya da fiaca, no veo la hora de que se invente un sistema de autentificacion universal.

  2. He estado considerando pasarme a LastPass para no tener que hacer variaciones de mis claves genéricas. Les digo genéricas porque solo tengo 4 claves distintas pero les hago modificaciones de vez en cuando.

    Para los servidores uso leet speech

  3. Yo empece a cambiar las contraseñas cuando google me advirtió que ingresaron a mi cuenta desde eeuu y lo bloqueó por sospechoso. A partir de ahí doble verificacion a la cuenta de gmail y usar teclado virtual en home banking.

  4. Anteriormente, usaba KeePass.
    Hoy, aunque sean muchas, prefiero memorizarlas. Es un buen ejercicio contra el Alzheimer.
    Respecto del método para crear una contraseña segura, suelo utilizar una combinación entre un nombre hindú, números y símbolos.

    Ej: (4)Madhusudhana-#

  5. Tengo mis cuentas mas importantes con claves de (creo) alta seguridad, siguiendo todas las reglas que enumera el artículo y todas con doble verificación, pero ahora… ¿no tienen todos una clave genérica para cosas tontas/de menor importancia? Por ej., para foros, para páginas para pasar el rato como 9gag, YIFI y un largo etcétera.

    Yo tengo una alfanúmerica, pero bastante sencilla a decir verdad y que varia muy poco.

  6. Yo tengo mis dos cuentas de mail (raíz para obtener los pasword de cualquier servicio registrado con ellas). Con dos contraseñas distintas de seguridad medio alta. Pero desde que le meti doble autenticacion la verdad ando mucho mas tranquilo por mas keylogger que conozca mi pass tendrían que meterse en mi phono con algún spywere y no creo que valga la pena todo el laburo para el atacante.

    Ahora el tema del banco si, la verdad podrían poner una doble autenticación opcional los muy putos.

  7. Yo tengo una para los foros y lugares donde me pide login para bajar cosas. Otras 2 para correos, de las cuales a una le cambio el final y hago dos o tres versiones. Otra para cuentas como Twitter o Dyndns. Otra que uso para el admin de las DVR de mis clientes cosa que no toquen lo que no deben!

    Todo de memoria y me ayuda el gestor de Google cuando puede.

  8. Uso el Apple Keychan para el tema de las contraseñas, es genial. la verdad que accedo a tantos sistemas por día que sería imposible recordarlas todas.

    También uso hace tiempo la funcionalidad de Chrome pero es solo para el navegador

    Salud!
    Nacho

Dejar respuesta

Please enter your comment!
Please enter your name here