Contraseñas, ¿son realmente seguras?

Contraseñas, ¿son realmente seguras?

Estamos muy acostumbrados a que la mayoría de páginas web nos hacen elegir, por nuestra seguridad, un usuario y una contraseña. Normalmente, estas palabras clave suelen tener una longitud mínima. Incluso en algunas páginas web, nos obligan a usar mayúsculas, minúsculas y posiblemente algún dígito numérico. Pero, realmente, ¿las contraseñas son seguras?

La seguridad de las contraseñas

Al introducir una contraseña en alguna web, esta web, no debería guardar la contraseña en modo texto plano. Es decir, tal y como la escribimos. En el caso contrario, si su servicio fuera hackeado, estas contraseñas serían descubiertas por los hackers. Así pues, las contraseñas normalmente suelen ser almacenadas en las bases de datos mediante algún tipo de encriptación. Estos métodos de encriptación suelen ser muy efectivos, ya que nos ocultan a simple vista el significado o estructura de la palabra. Así pues la típica contraseña “123456” encriptada con el método MD5 sería algo como: “e10adc3949ba59abbe56e057f20f883e“. Para poder realizar el proceso inverso, solo hay un camino válido, llamado ataque por fuerza bruta. Este tipo de ataque se basa en probar todas las combinaciones posibles y comparar el resultado obtenido. De esta manera, sería cuando el ordenador empiece por la combinación “000000” y termine por la “999999” almacenando los resultados de aplicar la función de encriptación MD5. Una vez terminado este proceso, compararíamos los resultados y si alguno coincidiera con : “ e10adc3949ba59abbe56e057f20f883e” podríamos saber que palabra clave a generado este resultado. Evidentemente, este es un caso muy simple, donde la posibilidad de combinatoria es tan solo de 10⁶ ya que normalmente nos suelen “recomendar” usar letras, mayúsculas, y números conjuntamente. Pero… ¿qué pasa si nos “obligan” a usar estas restricciones de caracteres? Hacen estas restricciones más seguras nuestras contraseñas? La respuesta es NO. Cada restricción obligatoria es una reducción de posibilidades de combinatoria. Por lo tanto, en ningún caso esto ayuda a que la contraseña sea segura. En la mayoría de casos, cuantas más restricciones obligatorias tengamos, el hacker sabe que su tiempo probando posibles contraseñas va a disminuir, incluso en algunos casos al 50%.

Recomendaciones para una contraseña segura

Es muy recomendable escoger una contraseña lo más larga posible. Piensa que por cada carácter extra que incluyas a la contraseña, elevarás la posible combinatoria. Actualmente, existen bases de datos en Internet donde ya están pre-calculadas todas las contraseñas hasta cierto límite de caracteres. Así que una contraseña de 6 caracteres puede ser calculada con toda su combinatoria por un ordenador en tan solo 5 minutos. Por el contrario, las contraseñas a partir de 9 caracteres ya solo es posible ir a buscarlas a bases de datos de pre-calculo. Se realizará así hasta que no salgan los ordenadores cuánticos, que serán capaces de resolver contraseñas larguísimas en ínfimos espacios de tiempo. Estas bases de datos con las contraseñas pre-calculadas suelen encontrarse fácilmente en muchas páginas web y servidores. No hacen otra cosa que generar esta inmensa base de datos que crece día a día. La finalidad es vender estos cálculos a terceros. Incluso, existen páginas web donde es posible subir el fichero con las contraseñas encriptadas y, al momento, poder bajarse los resultados. Pues es mucho más fácil buscar un resultado en una base de datos que calcularlo. Es normal pensar que pasará con la seguridad de las páginas web y servicios cuando esta potencia de cálculo cuántica este en manos de pocas empresas o estados. Estaremos delante de un cambio radical, un hito del modelo en la seguridad personal y seguridad del acceso.