Probablemente a ti, como a mi, te molestará tener que crear una contraseña cada vez que te registras en un portal. Lamentablemente aún dependemos de ellas, ya que ese futuro sin contraseñas que nos prometieron no acaba de ser realidad. El problema es que, cansados de estas credenciales de acceso, podemos cometer el error de crearlas demasiado cortas y]/o simples. En este artículo, vamos a enseñarte por qué tu contraseña debería ser más larga y cómo gestionar tus credenciales de acceso de aquí en más. Te sorprenderá lo vulnerable que has sido hasta ahora.
De hecho, habrás notado que no son pocas las plataformas que te «obligan» a hacer más largas tus contraseñas. Podría parecer un capricho de los desarrolladores pero no lo es. Las contraseñas largas son más seguras.
En efecto, la respuesta está en la «entropía» de las contraseñas. Pero, ¿de qué se trata esta definición?
¿Qué es la entropía de las contraseñas? ¿Para qué sirve?
La entropía de la contraseña es una medida de lo impredecible y aleatoria que es una combinación de letras, números y símbolos como los que componen una contraseña. La entropía se mide en bits, y cuantos más bits suponga una contraseña menos probable es que pueda ser descubierta. Los profesionales en ciberseguridad coinciden en que una contraseña debería tener un mínimo de 64 bits. Por supuesto, si tiene más mejor aún.
La clave está en que los atacantes irán directamente a tu contraseña para acceder a los contenidos protegidos gracias a ella. Por lo general, lo único que protege esos contenidos es la contraseña, lo que es insuficiente. Recomendamos, como siempre, activar la autenticación de dos factores o 2FA como respaldo.
Normalmente, los ciberdelincuentes atacan con «ataques de diccionario», que consisten en programas que intentan «adivinar» automáticamente una contraseña repasando una serie de palabras y frases comunes que mucha gente utilizando cuando debe crear sus credenciales de acceso. Si acierta la contraseña que has usado, podrán ver cualquier contenido de tus cuentas. Por eso la importancia de aumentar la entropía de las contraseñas.
Los ataques de diccionario son de fuerza bruta. Es decir, se recurre a «músculos digitales» para solucionar un problema hasta que se soluciona por repetición. Sin embargo, son altamente efectivos por culpa de los usuarios. Algunos ataques pueden descifrar contraseñas simples en pocos segundos, como se ha demostrado en el pasado.
Como los ataques de diccionario se basan en la previsibilidad, es lógico que la única forma de evitarlos sea sumar aleatoriedad a las contraseñas. Mucha gente sabe esto, por lo que añade algunos símbolos a sus contraseñas existentes para crear cosas como “contraseña123”. Pero no eso no basta, sigues estando muy expuesto.
Eso no funciona porque no es aleatorio. Les llevará solamente un nanosegundo más obtener acceso a una cuenta. Para que algo sea más cercano a lo verdaderamente aleatorio, hay que sacar a los humanos de la ecuación por completo y aprovechar el potencial de la informática para crear contraseñas. Administradores de contraseñas especialmente diseñados para estos fines, son uno de los modos de disfrutar de dichas funcionalidades.
¿Cómo afecta la entropía a la longitud de la contraseña, y viceversa?
Una mayor entropía da como resultado mejores contraseñas, pero ¿qué hace que la entropía sea mayor? Destacan cuatro factores que son en los que deberías centrarte la próxima vez que vayas a crear una contraseña por tu cuenta:
- Longitud de la contraseña
- Uso de caracteres especiales
- Uso de caracteres en mayúsculas
- Uso de números
Si bien todos estos elementos son esenciales, la longitud juega un papel crucial. Es una cuestión matemática.
Como explicamos, la entropía se puede medir; lo que significa que también se puede calcular así: E = log2(RL). Básicamente, E representa la entropía, L es la longitud, R el rango de letras, números y símbolos a disposición. Realizando el cálculo E = log2(RL) sabrás cuántos bits tiene tu contraseña y si hace falta reforzarla o no.
En cuanto al rango, si tenemos un teclado normal de 26 letras su rango será de 26. Si incluimos las mayúsculas porque la plataforma las distingue, será de 52. Pero quedémonos con el rango de 26. Si tu contraseña apenas incorpora ocho letras, números y dígitos, su entropía es de 37.60 bits. Es terrible, estás súper desprotegido. ¿Elevamos el rango a 52? La entropía llega a 45,60 bits, pero seguirá sin dejarnos tranquilos del todo. Eventualmente, agregamos números y símbolos. Su entropía va hasta los 52,56 bits. No más.
¿Qué quiere decir todo esto? Que da igual cuantas letras, números y símbolos tengas a disposición, una contraseña conformada por ocho elementos casi nunca será segura. Tendrás que aumentar su longitud.
A esta altura, ya habrás llegado a la conclusión de que tu contraseña no es segura como pensabas.
Entonces, ¿cuál debería ser la longitud mínima de su contraseña?
La única pregunta que queda pendiente es cuál es la longitud que debería tener la contraseña. Si los 64 bits te parecen pocos, puedes apostar un poco más allá y tratar de superar los 100 bits para estar completamente a salvo. Con una contraseña de 16 caracteres sobre 95 caracteres -la media de un teclado- tendrás 105,12 bits de entropía. Con una contraseña de 15 caracteres quedarás cerca de los 100 bits. Menos que eso, es arriesgar tus contenidos.