Año nuevo, clave nueva: consejos para crear las mejores contraseñas seguras
Es una buena idea utilizar ciertos momentos o situaciones del año para cambiar algunos hábitos o costumbres. Algo así como sistematizar o programar acciones. En este caso creo que es un buen momento (frase futbolera si las hay) el inicio de cada año para cambiar la contraseña de los servicios más importantes, o del servicio más importante, si usan un gestor de contraseñas como LastPass y Keepass. Aunque, si hacen esto, tampoco sería mala idea cambiar también las contraseñas de los servicios más importantes, como el acceso al correo electrónico y las redes sociales, entre otras plataformas online. Esto es muy importante porque he conocido mucha gente que se acostumbró a usar un LastPass y nunca cambia el password de Facebook, al que terminan hackeandoselo por haber sido siempre el mismo desde 2007: 123456 o alguna otra similar.
Y aunque parezco una locura – bueno, de hecho lo es – recomendar el cambio de contraseña una vez por año cuando por lo general los mismos servicios recomiendan cambiarla cada 2 meses, todos sabemos muy bien que para la mayoría de la gente normal cambiar la contraseña cada 2 meses termina en claves olvidadas y en cuentas inaccesibles.
El ser humano promedio no puede mantener tantas claves: el pin del cajero automático y la tarjeta de débito, la del correo electrónico, la de Facebook, Twitter, Instragram y el pin o clave de su teléfono celular. En fin, lo que sucede es que por lo general se termina por elegir solamente un password para todo. Es así, nos guste o no a los que somos un poquito más "cuidadosos" con la seguridad: algunas personas usan la misma contraseña para todo. Y lo hace porque acordarse muchas contraseñas es una tarea titánica, casi imposible.
Sea como fuere, el objetivo de este pequeño artículo es concientizar el cambio de contraseñas, y mejorarlas. Para eso, vamos a dar algunos consejos que son bastante básicos pero que sirven y bastante. Vamos con ellos.
Usá un gestor de contraseñas
No es absolutamente necesario, claro. Pero si, extremadamente recomendado. Hoy tenés mil cuentas distintas, desde las más importantes a la cuenta del foro del club del auto o de la bici, pasando por cuentas de mediana seguridad como la de la obra social ¿Es posible recordar todas estas cuentas? Para nada, y lo peor es que una vez al mes, al menos, solemos entrar y si no tenemos un gestor que las recuerde por nosotros nos volvemos locos.
Un gestor de contraseñas es una especie de baúl en donde guardamos todas las claves que nosotros queremos. Este baúl debe estar asegurado con una llave maestra lo suficientemente fuerte como para poder tener seguras todas las claves dentro y se lo llama "master password".
Lo genial de estos gestores es que se integran de una manera muy intuitiva con los navegadores. Por ejemplo, supongamos que tenemos LastPass. Una vez instalado y con la clave maestra ingresada, el sistema "aprende" los nombres de usuario y contraseñas de las cuentas que nosotros queramos, y la próxima vez que las vamos a usar el complemento las ingresa de forma automática por nosotros mismos (con asteriscos o puntitos y un iconito que nos avisa que la misma ha sido guardada por el complemento).
Cabe aclarar desde hace un tiempo, Chrome, gracias a su sistema de inicio de sesión conjunto con la cuenta de Google, tiene un sistema de "guarda de contraseñas" similar a LastPass o Keepass. Funciona, pero es menos potente, claro. Lo genial es que al sincronizarse entre distintos dispositivos podemos entrar a nuestras cuentas desde el smartphone o la tablet como si nada. No pasa lo mismo con los gestores tradicionales, que por lo general son pagos en sus versiones móviles.
Lo importante en este caso es recordar cerrar sesión cuando se utilice en una PC ajena (si es que alguien sincroniza el navegador en una cuenta ajena) ya que instalar una extensión no es algo que uno hace en una máquina que no es de uno, Por eso, por costumbre y porque siempre me funcionó perfectamente, yo recomiendo LastPass, pero siempre y cuando se use una contraseña maestra larga, compleja y además un sistema de doble verificación.
El sistema de doble verificación compatible con LastPass más simple es Google Authenticator. Basta solamente con tener la App instalada en un smartphone de nuestra propiedad y se nos pasará un número cuando iniciemos sesión en un nuevo equipo ¿Perdimos el teléfono o fue robado? Bastará conque el sistema nos llame a un número fijo, configurado previamente. También existen sistemas de doble autenticación biométricos compatibles con LastPass, como llaves USB o también lectores de huellas digitales, pero por lo menos, si vas a usar algo tan importante para salvaguardar toda tu vida online detrás, tenes que tener una doble vía de seguridad.
Usá reglas nmemotécnicas, en lugar de super passwords
La mnemotecnia o nemotecnia es una técnica de memorización basada en la asociación mental de la información a memorizar con datos que ya sean parte de nuestra memoria. Esta técnica aprovecha la capacidad natural que tiene nuestro cerebro para recordar imágenes y para prestarle más atención a los sucesos poco comunes o extraordinarios.
Eso dice Wikipedia. Y como habiamos dicho, uses o no un gestor de contraseñas, es buena idea tener claves seguras en los servicios que más usás y cambiarlas habitualmente, pero… ¿cómo memorizarlo?
El gran problema acá es que si por ejemplo querés una contraseña fuerte, un sistema de generación te va a largar algo así como #43!ojxa)B92?Xa2 que si bien es una clave tremenda, es imposible de recordar. Ahora, ¿es posible crear una clave que sea tan fuerte como esa y la podamos recordar? Si, es posible.
Acá hay que tener un par de consideración antes de seguir:
- Si te sacan una clave con un keylogger, malware o ataque de avanzada, por más que tengas una contraseña imposible y de 40 caracteres, te la roban con un simple copypaste.
- ¿Ataque de diccionario? Con la regla nmemotécnica es improbable que alguien haya usado tu misma clave alguna vez.
- ¿Fuerza bruta? Si usamos CAPS, minúsculas, caracteres y números, la clave es tan fuerte como una de las inentendibles.
Entonces, una buena idea es crearse una regla con este estilo:
Mi nombre + Palabra en CAPS + Número + Letra inicial y final del servicio + 2 caracteres raro.
Por ejemplo:
GuillermoVENTILADOR2019+TR!$
Ahí tenemos un password que nunca nadie usó (o eso se supone) por lo que es fuerte ante ataques de diccionario, es largo, por lo que es fuerte ante ataques de fuerza bruta y además, es sencillo de aprender. Es fundamental recordar, básicamente los 2 caracteres raros, que no deberían repetirse.
Existen muchas alternativas, claro. Algunos escriben una frase, usando por ejemplo la 3 en lugar de la E y el 1 en lugar de la I, algo así cómo: M3 Gusta La P3ps1!. Allí tenemos las palabras que comienzan con mayúscula, un final con un caracter raro (más los espacios que también son caracteres raros) y los números por letras, como usa la comunidad leet.
Estamos viviendo el final de los passwords tal como los conocemos. Es probable que nos acompañen por varios años más pero no solos, sino que en conjunto de otras vías de autenticación que refuerzan la seguridad de nuestras cuentas. Quizás, por eso, y si no sos un paranoico (algo que quizás deberías ser) cambiar la contraseña como primer medida del año sea una buena idea, y si es fuerte, mejor.
De paso aprovecho, ¿qué sistema usás para tratar de mantener tus contraseñas seguras?