Software

¿Cómo decidimos qué contraseña usar, y porqué son tan fáciles de hackear?

2 diciembre, 2013 21:03

A la hora de elegir una contraseña para un nuevo servicio, la calidad de esta suele depender de lo artísticos o de lo vagos que nos sintamos en ese momento. Hay veces que nuestra musa nos visita e ideamos una especialmente buena, o al menos eso creemos; en realidad estamos repitiendo los mismos errores de siempre, pero no nos damos cuenta. En realidad hemos sido influenciados por nuestro entorno, nuestras experiencias pasadas, e incluso por la página en la que estamos en ese momento.

Claro, que siempre podemos ir a lo sencillo y escribir “123456” como un gran número de personas, confiando en que la fortaleza del cifrado del servicio nos evite problemas; al fin y al cabo, muchas veces cuando se produce un robo de contraseñas los propietarios de los servicios nos afirman que no pasa nada porque las contraseñas han sido “hasheadas”, o pasadas por una función hash. Así que lo que han obtenido los atacantes es una ristra de caracteres sin ningún sentido, como “e10adc3949ba59abbe56e057f20f883e”, ¡Estamos salvados!

Y sin embargo, en ese caso, prácticamente estaríamos diciéndole la contraseña al oído a posibles atacantes. Eso es porque las funciones de hash, pese a que usan un proceso que no se puede revertir, siempre dan el mismo resultado. Eso significa que todos aquellos que hayan puesto “123456” como su contraseña, tendrán el hash “e10adc3949ba59abbe56e057f20f883e”. Una vez que los hackers saben esto, tienen a su alcance la contraseña de miles de usuarios de un servicio. 

trucos-elegir-contraseña

trucos-elegir-contraseña

Por tanto, es mejor poner una contraseña personalizada… ¿o no? Al fin y al cabo, para poder “crackear” un cifrado competente, los atacantes gastarán mas tiempo y dinero del que merece la pena. Pero la realidad es que este tipo de ataques, llamados “de fuerza bruta”, ya prácticamente no se usan. Así lo asegura Per Thorsheim, investigador de seguridad, llegando al punto de definirlo como “último recurso”. Los ataques de fuerza bruta se basan en probar todas las combinaciones posibles de caracteres, una tarea muy costosa en términos matemáticos y por tanto computacionales. Pero los hackers de hoy en día se han dado cuenta de que no merece la pena intentarlo.

¿Para qué gastar tiempo crackeando en términos matemáticos, cuando podemos crackear en términos sociales? No olvidemos que, detrás de esa ristra de caracteres hay una persona que los ha elegido. Sale mas a cuenta saber cómo piensa esa persona que meterse a hacer cálculos. Porque la verdad es que somos bastante predecibles e influenciables.

facebook-ads

facebook-ads

Por ejemplo, estudios han confirmado que tendemos a usar contraseñas relacionadas con el color azul cuando usamos servicios como Facebook, Twitter o Google. Ambas redes sociales tienen el azul como protagonista en sus diseños y logotipos, y en el caso de Google es un color que se usa dos veces, una de ellas en la gran G inicial, así como en el favicon. Puede que parezca un detalle sin importancia, pero influye y mucho en la elección de la contraseña.

El caso de los números es similar. A la hora de elegir un número PIN de seguridad o una contraseña con solo números, ciertos números se usan mucho mas que otros. En particular, cuando hay que elegir un PIN de cuatro dígitos, de las 10,000 combinaciones posibles el 80% de las personas se queda con las 100 combinaciones mas populares. 

Pero sin duda alguna el mayor problema es que somos vagos. Según los estudios, hay una posibilidad del 70% de que si un atacante consigue la contraseña de un servicio de correo, pueda usarla para iniciar sesión en otros servicios. Repetir contraseñas debería ser lo que mas tenemos que evitar, pero a la hora de la verdad no podemos esperar crear tantas y acordarnos de ellas. Tal vez sea el momento de empezar a usar algún gestor de contraseñas.

Fuente | BBC