Latest Posts:

21 de mayo de 2007

Mejorando las contraseñas.

Ariel Torres.

Contraseñas fuertes, pero fáciles de recordar.

Cierta y oportuna la nota que publicó LA NACION el martes último sobre la dificultad de recordar contraseñas robustas ( www.lanacion.com.ar/908710 ).

Así que me puse a pensar opciones. En general creemos que la única alternativa para claves como 123456 o qwerty (ambas son débiles y no hay que usarlas) es un galimatías algo más robusto, pero imposible de memorizar, como Hk7%&nM0 . Lo que nos conduce a menudo a la práctica -disparatada pero comprensible- de anotarlas para no sofreírnos las sinapsis neuronales tratando de recordarlas.

La verdad es que hay soluciones más humanas. Las contraseñas aceptables como la que se ve en el párrafo anterior funcionan porque combinan una gran variedad de elementos (mayúsculas, minúsculas, símbolos, dígitos). Por ejemplo, con dos caracteres (A y B) sólo se pueden crear dos combinaciones: AB y BA. Basta añadir un tercero (C) para elevar este número a seis (ABC, ACB, BAC, BCA, CAB, CBA). Como para las computadoras la "A" es diferente de la "a", al usar mayúsculas y minúsculas aumentamos el número de combinaciones posibles a una friolera de 71 ceros.

Sin embargo, la extensión de la contraseña es vital. Por ejemplo, ¿cuántas claves de cuatro caracteres se pueden armar con minúsculas y mayúsculas? Algo menos de medio millón. Por eso, un software para quebrar contraseñas la sacará en un pestañeo.

¿Por qué no aprovechar la extensión de la contraseña? Al aumentar la cantidad de elementos variables en una contraseña, aumentamos su entropía . Con cinco minúsculas, uno de los programas que probé descubrió la clave en un segundo. Con una clave de 10 minúsculas, el programa estimó que tardaría 28 años. En el primer caso, sólo tendría que calcular 11 millones de combinaciones; en el segundo, 141 billones.

Recordar una clave de 60 caracteres parece imposible. Sin embargo, lo hacemos constantemente. Observe: En un lugar de la Mancha, de cuyo nombre no quiero acordarme , tiene 61 caracteres (minúsculas, mayúsculas, espacios y comas), pero como es el principio de El Quijote resulta fácil de recordar. Es, a la vez, lo suficientemente robusta para resistir los ataques de fuerza bruta, es decir los que van probando todas las combinaciones hasta dar con la correcta.

Es verdad que una clave de 256 caracteres al azar sería mejor, pero las frases de libros (por favor, no use su frase de cabecera o la que tiene en el Messenger ) sirven mucho mejor que el 123456 que, dicho sea de paso, se puede quebrar en 2,1 segundos. Acá hay un buen sitio donde verificar la fortaleza de las contraseñas, aunque yo evitaría probar con las claves reales: http://rumkin.com/tools/password/passchk.php

Conversando sobre estos temas en el chat con mi amigo Eduardo Suárez, responsable del área de sistemas de la Facultad de Ciencias Astronómicas y Geofísicas de la Universidad de La Plata, me propuso un método "de la época de Julio César", pero muy interesante. Práctico, sobre todo. "En lugar de usar frases, podés tomar la primera letra de cada palabra de un párrafo en un libro. El libro, de hecho, puede estar sobre tu escritorio o lo podés llevar encima. Como nadie sabe qué párrafo elegiste para crear tu contraseña, es como llevar la clave anotada en un papel y al mismo tiempo se encuentra totalmente a salvo," dice Suárez.

Allí donde las passphrases no sean aceptadas, puede usarse la primera letra de cada palabra de una oración. La de Cervantes se convertiría en Euldlmdcnnqa . Le pregunté a Eduardo si esto es mejor que 123456 o qwerty . "Absolutamente. No son lo más seguro del mundo, pero son preferibles a las claves débiles. Eso sí, yo evitaría los símbolos. Puede haber problemas con algunos teclados." Buen dato.

Por Ariel Torres

Link permanente: http://www.lanacion.com.ar/909837

Fuente:

Diario La Nación (Argentina)

google.com, pub-7451761037085740, DIRECT, f08c47fec0942fa0