Blog de GlobalSign

15 nov 2016

Como Crear una Contraseña Fuerte

La época en la cual la forma de robar una contraseña era mirar a la persona sobre el hombro mientras la escribía ya es cosa del pasado. Los hackers usan softwares sofisticados para obtener combinaciones de contraseñas. Y dependiendo del tamaño de las posibles combinaciones de su contraseña, ellos pueden obtenerla en menos de un minuto.

Algo tan sencillo como su contraseña de teléfono o el número pin de su tarjeta de débito/crédito, normalmente 4 dígitos, solo tiene 10 posible valores por dígitos. Esto quiere decir que hay 10.000 combinaciones posibles de esa contraseña. Esto para un humano son muchas combinaciones, pero para un software esto se puede realizar  en milésimas de segundos.

¿Preocupante?

En este blog compartimos algunos consejos para asegurar su contraseña y si es posible comparta este blog con sus compañeros de trabajo para aumentar la conciencia en su empresa.

Mezcle caracteres y aumente la longitud

Enfoquemos estos consejos desde el ángulo de un hacker. Vamos a fingir que soy un hacker y que usted es un empleado de una empresa que no ha recibido ninguna formación o directrices sobre el uso de contraseñas. Cuando empezó, le dieron cuentas y crearon contraseñas para todos los sistemas a los que tiene acceso. Es muy probable que muchas, si no todas estas contraseñas fueran las mismas. También es probable que esta contraseña tenga entre 6 y 8 caracteres, de modo que pueda recordarlo fácilmente

Veamos algunas estadísticas encontradas por  Kevin Fogarty en IT World. Seis caracteres (letras y números, pero todo en minúsculas y sin símbolos) tiene 2,25 billones  de combinaciones.

  • Usando una aplicación web que realiza  1.000 suposiciones por segundo, puedo romper eso en 3.7 semanas.

  • Si me desconecto de la red  y uso servidores o computadores  de alta potencia, podría adivinar a una tasa de 100 mil millones por segundo y romper su contraseña en 0.0224 segundos.

  • Si fuese aún más lejos y uso clústeres de multiprocesamiento paralelos, podría adivinar a una velocidad de 100 trillones de segundo y romper su contraseña en 0.0000224 segundos.

Si usted agrega un símbolo y agrega 10 caracteres a su contraseña. Usted puede hacer mucho más difícil para mí obtener su contraseña.

  • Usando una app web – 54.46 millones de siglos

  • Offline con servidores de alta potencia – 54.46 años

  • Offline con clústeres multiprocesamiento paralelos - 2,83 semanas.

Si estoy determinado, podría invertir  unas pocas semanas, pero sólo lo haría si tuviera claro que tiene algu muy valioso detrás de esa contraseña. De lo contrario, ¿cuál es el punto? Podría estar haciendo mucho más con mi vida.

Use una Contraseña Única para cada una de sus cuentas

Parece obvio, pero usted se sorprendería de cuántas personas no hacen esto (80% + de las personas reúsan  contraseñas, de acuerdo con un estudio reciente). Si obtengo  su contraseña, intentaré iniciar sesión en todos los principales servicios en línea en los cuales creo que usted está suscrito. No voy a estar satisfecho con sólo tener acceso a sus correos electrónicos. Voy a utilizar sus correos electrónicos para determinar otros servicios que usted  tiene y voy a tratar de usar la misma contraseña para iniciar sesión en estos.

Quién sabe, podría encontrar una manera de entrar a  su correo electrónico corporativo  y luego a un sistema de trabajo interno que realiza un seguimiento de los datos financieros de sus clientes. Como ganarme una loteria.

Si tiene problemas para recordar todas esas contraseñas, lo cual espero que hagas porque no eres Sheldon del show Big Bang Theory, use un administrador de contraseñas. Si está gestionando una empresa, tenga un administrador de contraseñas como parte de su sistema interno. El personal puede almacenar y compartir contraseñas internas o interdepartamentales.

Techradar ha publicado una lista de Los mejores gestores de contraseñas en 2016. LastPass es el administrador de contraseñas número uno.

No Use Información Personal en sus Contraseñas

Supongo que es más conveniente y fácil crear una contraseña que tenga información memorable en ella: su cumpleaños o el cumpleaños de alguien que usted conoce, el nombre de la calle en la cual usted vive, su propio nombre o el nombre de un miembro de la familia, incluso el nombre de una mascota .

En el caso de que haya optado por la conveniencia sobre la seguridad, acaba de hacer mi vida mucho más fácil. ¿Recuerda el sofware para obtener contraseñas  que he mencionado anteriormente? Bueno, muchos de ellos vienen con una función donde puedo agregar su información personal y utilizar esta información para adivinar su contraseña.

Esto es aún mejor para mí porque puedo romper contraseñas más largas, mucho más rápido de lo que podría si su contraseña fuese completamente creada al azar.

Use Autenticación de dos Factores

También hay formas en las cuales podría romper las contraseñas si usted tuviese autenticación de dos factores.

Para aquellos que no lo saben, Autenticación de dos-factores añade otro factor para verificar su identidad y para iniciar sesión. Por ejemplo, un servicio puede solicitar su contraseña en combinación con su huella digital, una notificación push a su teléfono o incluso un token / tarjeta inteligente. La autenticación de dos  pasos es donde hay un segundo paso (es decir, una segunda contraseña).

Algunas de las principales herramientas de craqueo de contraseñas contienen características que le permiten también romper el segundo paso, asumiendo que el paso es también una contraseña y no otro factor.

La autenticación de dos factores no es una causa perdida. De hecho, si lo usa en combinación con una contraseña fuerte, sería exponencialmente más difícil para mí crackearla. Y si su contraseña se vuelve demasiado difícil de romper, sólo voy a mi enfoque en otra persona que sea un objetivo más fácil.

Muchos servicios web y aplicaciones permiten la autenticación de dos factores en la configuración, pero otros no. Si yo estuviera haciendo mi parte para la sociedad, que no la hago porque soy un  hacker, pensaría en poner en contacto con esos servicios y decirles cómo podrían realmente ayudar a sus clientes mediante la implementación de un segundo factor de autenticación.

Si usted es un negocio, puede implementar un segundo factor para todos sus empleados que están ingresando a los sistemas donde se almacenan los datos confidenciales. Un buen lugar para empezar es haciendo una auditoría de todos sus datos, sistemas y las personas que tienen acceso a él. Esto le ayudará a decidir el alcance del proyecto y obtener la compañía adecuada a bordo para ayudarle.

No se deje ganar de los malos

Los hackers rara vez son tan sofisticados como los chicos de la serie Mr Robot. La mayoría de las veces están buscando bases de datos que pueden vender, o simplemente están probando sistemas de vulnerabilidades. Tan pronto como encuentren que algo es demasiado difícil de romper, buscaran otra victima.

Una contraseña fuerte, la gestión de contraseñas y la autenticación de dos factores son las tres herramientas que tiene para garantizar que su contraseña esta segura de los malos.

Lo invitamos a ver nuestro webinar: Autenticación Basada en Certificados

Share this Post

Subscribe to our Blog