Hoy día, tener nuestras contraseñas a buen recaudo, sobre todo desde que ocurrió lo del Celebgate, que se filtraron 5 millones de contraseñas de Gmail. Por mucho que queramos buscar otras formas de autenticación o por mucho que busquemos medidas de seguridad de adicionales, no podemos escapar de las contraseñas.

Por ese motivo, hoy en NosoloPC vamos a dedicar este post a explica qué es una contraseña segura realmente y la forma de hacerlas personalmente nosotros. También vamos a ver algunos de los gestores de contraseñas más importantes que existen y cómo éstos pueden ayudarnos a mantener nuestras contraseñas bien seguras.

Cómo crear contraseñas seguras

 

Lo primero de todo es plantearnos qué es realmente una contraseña segura. Es muy sencillo de responder, una contraseña segura es aquella que no pueden adivinar ni ordenadores ni personas.
Un ejemplo, 13452 es una contraseña que a una persona sería prácticamente imposible de adivinar, aunque un ordenado lo haría rápidamente usando intentos aleatorios.

Pero si por ejemplo, si nuestra contrasella es holamellamoricardo, sería muy difícil que un programa la adivinase, pero igual alguien que nos conozca apenas tarda dos intentos en dar con ella.
Nosotros aconsejamos que se utilicen contraseñas que sean bastante largas, unos 12 caracteres pueden bastar para que sea prácticamente imposible que un programa adivine nuestra contraseña, y sobre todo, que no sea algo muy común. Debemos usar un poco la imaginación.

Vamos a hacer un resumen de algunos consejos para crear una contraseña segura:

  • Es mejor usar palabras que no signifiquen nada, por ejemplo. “perrogatoraton” es una contraseña larga pero son tres palabras comunes, fáciles de acertar.
  • No utilices datos personales, o al menos de forma directa. Un pc no adivinará que tu contraseña es “granada88”, pero una persona que sepa dónde y cuándo naciste puede adivinarla.
  • De lógica, tampoco utilices tu nombre de usuario o nombre real como contraseña.
  • Mezcla los símbolos con números y letras en mayúsculas.
  • No utilices contraseñas comunes, como “1234”, “hola” o “asdfg”
  • Utiliza contraseñas distintas para cada servicio. Esto es esencial.
  • Cambia cada mes las contraseñas.

Ya sé que estos consejos son muy básicos y que todo el mundo los sabe. Seguro que cualquiera es capaz de aporrear el teclado y hacer una contraseña que sea imposible de dar con ella como kdsjf7FghGyh&/9.

 

La cuestión es que de poco sirve que tengamos una contraseña imposible de adivinar si nos va a resultar muy difícil recordarla.
Por ejemplo, una forma de crear una contraseña segura es disponer de un algoritmo, de manera que solamente tengas que recordar una serie de pasos y no cuarenta contraseñas. Por poner un ejemplo:

  1. Cogemos una frase sencilla de recordar: yo me levanto todos los días a las 7 y media.
  2.  Nos quedamos con la letra inicial de cada palabra: ymltldal730 y con eso tenemos una base.
  3. Para que la contraseña sea diferente para cada sitio, podemos añadirle un punto y el nombre del servicio en mayúsculas: ymltldal730.GMAIL.
  4.  Y para terminar, agregamos después el número de vocales que tenga el servicio, pero sustituyéndolo por un símbolo. En este caso shift + 1 es “!”, así que la contraseña final ymltldal730.GMAIL!

Gracias a este sencillo consejos, terminaremos con una contraseña larga (en mi ejemplo de 17 caracteres), más segura creo que es imposible. Lo malo es que alguien puede adivinar nuestro algoritmo, por lo que siempre hay que tener un arma secreta. Por ejemplo, en vez de utilizar el número de vocales del servicio, podemos sumarle un número secreto que se nos ocurra a nosotros. La cuestión es utilizar una fórmula que sea sencilla de recordar y que no se fácil para los que intenten adivinarla.

No es cuestión de comerse mucho la cabeza con las contraseñas. Los ataques a los que nos exponemos son de dos formas: ataques de fuerza bruta al hash de nuestra contraseña (cuando un atacante entra en una web y da con una lista de contraseñas hasheadas de los usuarios) y ataques personales, que son los llevamos a cabo por una persona que buscar concretamente tu contraseña. Para el caso número uno, lo que hay que hacer es no tener una contraseña común.

Con un poco de seguridad los atacantes no van a invertir tanto tiempo para encontrar unas pocas contraseñas más. Para el caso número dos, sólo hay que crear una contraseña que no incluya datos personales de ningún tipo, así que en cuanto le pongamos un poco de imaginación, nos quitamos este posible caso.

Gestores de contraseñas

Una gran idea, es dejar el recordatorio de tu contraseña a un gestor para qué estos cumplan con su trabajo, es decir, crean contraseñas de forma aleatoria y tienen la capacidad de recordarlas por nosotros. Sólo vamos a tener que limitarnos a saber la contraseña maestra que da acceso a nuestras cuentas.

Además de crear por nosotros las contraseñas, pueden incorporarse en nuestro navegador y rellenar los formularios de login de los sitios web, de manera que con sólo pulsar un botón se copie el usuario y contraseña. Puede además ser muy útiles a la hora de rellenar de forma automática los perfiles cuando nos registramos, o de guardar las contraseñas cuando entramos en un sitio que no teníamos guardado. También podemos guardar otras formas de credenciales, aunque no estén ligadas a páginas web.

Las contraseñas se guardan cifradas utilizando nuestra contraseña (y muchas veces datos adicionales), de manera que ninguna persona puede leerlas, De este modo, podemos crear contraseñas seguras y olvidarnos de acordarnos de todas ellas.

Yo aconsejo 3 gestores de contraseñas que son bastante buenos: Lastpass, 1Password y KeePass.

KeePass puede mantener nuestras contraseñas cifradas en una base de datos. Esto tiene como ventaja que es muy seguro y se mantiene todo bajo control. La desventaja es que debemos de instalar además los plugins para los navegadores y de buscar una manera de sincronizar las contraseñas entre terminales. KeePass está disponible para cualquier dispositivo.

1Password funciona de forma parecida a KeePass, pero es más sencillo de utilizar, de instalar y además puede sincronizarse a través de Dropbox. Tiene aplicaciones para Windows, Mac, iOS y Android.

¿Cual es el mejor gestor de contraseñas?

el-mejor-gestor-de-contraseñas

El que yo personalmente siempre recomiendo es Lastpass. La única desventaja es que las contraseñas se guardan en la nube, aunque Lastpass promete que éstas se encuentran totalmente cifradas con una clave derivada de tu contraseña maestra y correo, y si un hacker entrase en sus servidores no podría ver ninguna contraseña.
Como ventaja, es que esta herramienta dispone de más controles de seguridad: permitir logins sólo desde ciertos países, impedir que entren desde Tor, activar autenticación en dos pasos o incluso cerrar sesiones en algunos ordenadores.

¿Es fiable un gestor de contraseñas?

El mayor fallo que pueden tener los gestores de contraseñas, es que alguien de con la contraseña para acceder a la herramienta y ¡ZAS! tiene todas nuestras contraseñas.

Pero por otra parte hay que pensar, ¿qué es más sencillo? ¿Asegurar una cuenta o asegurar cincuenta? Podemos incrementar las medidas de seguridad en un único punto y darle más seguridad a todas nuestras contraseñas. Por ello, estas herramientas, se dedican a mantener tus contraseñas seguras y lo más probable es que lo hagan mejor que tú solo.

Un gestor de contraseñas nos brinda más seguridad que la que podríamos conseguir la mayoría de nosotros por nuestra cuenta.

Es casi imposible que una persona pueda acceder a los datos de nuestro gestor de contraseñas si creamos una buena contraseña maestra. Los datos se van a guardar de forma cifrada y, en el caso de 1Password y Lastpass se transmiten por HTTPS.

Además, si alguien lee todo lo que mandas por Internet, no podría ver ninguna contraseña. Un hacker que entre a los servidores de Lastpass o que acceda a tu base de datos en Dropbox (o cualquier otro servicio de sincronización): sólo puede ver muchos datos inútiles, imposibles de descifrar.

Si no queremos arriesgarnos tanto, siempre podemos combinar los gestores de contraseñas con otros fórmulas. Por ejemplo, dejando por ejemplo las cuentas importantes (correo, bancos) con contraseñas seguras que no se guarden en la herramienta, y dando a esas cuentas una capa más de protección con autenticación en dos pasos.