Empecemos con una simple pregunta , ¿cuantos servicios online dispones que te soliciten una contraseña, pin , clave? seguro que es mas de 1 mas de 10 y mas de 50, hoy en día tenemos un montón de contraseñas y la tarea de mantenerlas, actualizarlas y protegerlas se convierte en una misión casi imposible.
Pero os voy a proporcionar unos consejos básicos que harán que esta ardua tarea sea mucho más cómoda sin necesidad de hacer un master en seguridad informática.
Lo primero es tomar conciencia de que una contraseña frágil o débil puede ser un problema y aquí viene el primer dilema , que es para nosotros una contraseña débil, pues básicamente es una contraseña muy corta (menos de 8 caracteres ) o que esté dentro de las más utilizadas, puedes ver un listado de contraseñas más usadas en esta web: http://www.passwordrandom.com/most-popular-passwords , si tu contraseña está entre las 100 primeras corre a cambiar tu contraseña lo antes posible , pero antes termina de leer este artículo porque te vamos a dar unos consejos que tienes que tener en cuenta.
El porque puede ser un problema para ti , para tu familia o para tu empresa es fácil de explicar , los eslabones de una cadena siempre se rompen por el eslabón más débil y en este caso los usuarios y sus contraseñas son el eslabón más débil de la cadena. Si consiguen de alguna forma hacerse con una contraseña de un servicio por ejemplo con nuestro correo electrónico, pueden resetear contraseñas de otros servicios, suplantar nuestra identidad, intentar engañar a nuestros contactos y un largo etc…..
1º BriConsejo [No Reutilizar Contraseñas]
A día de hoy los CiberDelincuentes saben perfectamente que los usuarios reutilizan sus contraseñas, esto se convierte en un problema cuando por ejemplo un servicio es comprometido “algunos de los servicios comprometidos más famosos : Linkedin, Dropbox, Adobe “ en esta página podéis ver muchos más seguro que os suena más de uno https://haveibeenpwned.com/. Normalmente cuando una página web es comprometida lo que se consigue es una combinación de [Correo Electrónico:Contraseña] en consecuencia los delincuentes van a probar esta combinación en todos los servicios para ver si hay suerte y has reutilizado la misma combinación.
En esta captura podemos ver un listado de correo electrónico /contraseñas de un servicio comprometido, publicado de forma pública en el servicio pastebin.
2º BriConsejo [Estar Informado]
Lo primero que deberías de hacer es estar al tanto de cuando tu contraseña es comprometida o mejor dicho tu cuenta de correo electrónico y contraseña que como hemos visto suelen ir de la mano.
Para esta tarea podemos usar la pagina web https://haveibeenpwned.com/ ponemos nuestros emails los que usemos y comprobamos que no han sido comprometidos, puede que tengas suerte y tu cuenta esté intacta pero por lo normal es que tendrás por lo menos algún servicio comprometido en tu historial, como el siguiente email que he comprobado.

Yo creo que David ha reutilizado muchas veces su contraseña ¿no crees?
Esta web además de darnos información sobre los servicios comprometidos también puede avisarnos si encuentran nuestro email implicado , para ello puedes suscribirte a este servicio , altamente recomendable.

Rellenas el formulario con tu dirección de correo electrónico y pulsas en [ No soy un robot ] ALTO si eres un robot no podrás hacer esto “que triste la vida de los robots los creamos y luego no les dejamos hacer nada “ No me hagáis caso cosas mías.
Te llegará un correo electrónico a tu cuenta que deberás de confirmar para asegurarte de que te has suscrito voluntariamente.
Si disponéis de un dominio propio también podéis hacer uso de este servicio y lo que es mejor os mantendrá informado de todas las cuentas que tengáis creadas con vuestro dominio [ [email protected]], sin necesidad de añadir una por una.
Una vez relleno los datos que os solicita os informará de las maneras que hay de validar la propiedad de ese dominio.
3º BriConsejo [Crear Una Contraseña Segura]
Lo siguiente que tenemos que crear es una contraseña segura ¿ y esto como se hace ? pues la clave aquí es la longitud no me seáis malpensados en cm no, en número de caracteres, crear una contraseña complicada agrega complejidad y siempre será más segura, pero también evita nuestra retención de la misma , veamos un ejemplo.
Contraseña larga: dequecoloreselcaballoblancodesantiago
Contraseña complicada: Wdmf3f$%63^2V!nwMJYh8X5aS4!fpSQzP9pP2
Las dos cadenas de caracteres tienen la misma longitud 37 caracteres , crees que son débiles?, no lo creo aunque habría que darles una vuelta más para que sean seguras.
Podemos comprobar nuestra contraseña con los siguientes servicios y comprobar que tal es la contraseña que usamos y de paso ver en cuanto tiempo podrían conseguir descifrarla ( muy orientativo ):
https://password.kaspersky.com/es/
https://howsecureismypassword.net/
https://www.betterbuys.com/estimating-password-cracking-times/
A día de hoy cualquier cadena de más de 16 caracteres sin apenas caracteres extraños algún número sin símbolos es suficiente para proteger nuestros datos, por supuesto según la criticidad de lo que vayas a proteger se debería de acortar el tiempo de renovación siendo el mínimo 6 meses y el máximo 3 años.
Lo importante para crear una buena contraseña es crear una frase y cambiar apenas algún dato de forma de que sea fácil de recordar e intentar evitar que todas las palabras que se usen estén en un diccionario.
De este modo podríamos considerar segura la siguiente contraseña:
dequecoloreselcaballo#FFFFFFdesantiago
para los que no lo entiendan #FFFFFF es el código que corresponde al blanco en hexadecimal
Si queréis ver la entrevista donde Snowden da sus consejos sobre contraseñas en un programa de televisión británico, aquí tenéis:
4º BriConsejo [Guadar Nuestras Contraseñas]
De alguna manera tenemos que guardar nuestras contraseñas , si creamos contraseñas seguras y una para cada servicio al final tendremos un montón de claves , por lo que tenemos que tener un sitio seguro donde almacenar todas estas contraseñas , para ello podemos usar cualquiera de los gestores de contraseñas que existen en el mercado, cada uno tiene sus pros y su contras , unos online otros offline y la mayoría dan un buen servicio , solo es cuestión de gustos, yo por ejemplo uso LastPass pero para ayudarte te dejo algunas revisiones de sitios especializados donde hacen un repaso a estos servicios.
https://www.pcmag.com/article2/0,2817,2407168,00.asp
https://www.tomsguide.com/us/best-password-managers,review-3785.html
https://www.pixel4brain.com/programas-gestionar-contrasenas/
Lo que no hay que hacer nunca es apuntar tus contraseñas en una libreta o pos-it y menos si el sitio donde lo dejas no es seguro.
Puede que tengas la tentación de usar los gestores de contraseñas de los navegadores , no te lo recomiendo normalmente por muy bien que funcionen están diseñados para simplificar la vida al usuario pero no estamos seguros de como funciona y además no tienen las ventajas que tienen los gestores de contraseñas, además de ser el primer objetivo de los delincuentes.
5º BriConsejo USAR LA VERIFICACIÓN EN DOS PASOS
Llegado a este momento estamos ya bastante seguros pero para lo más valientes vamos a darle un toque extra de seguridad a nuestras contraseñas, añadiendo otra capa más de seguridad se llama Autenticación de doble factor o 2FA.
Para que comprendas esta parte te explico de forma sencilla de que las autenticaciones se pueden hacer en tres niveles:
- Nivel 1 Algo que sé: Una contraseña
- Nivel 2 Algo que tengo : Código por software o token físico tipo usb , smartcard, Dni Electrónico, Certificado Digital ….
- Nivel 3 Una característica física: Huellas dactilares, Reconocimiento Facial, Voz, Iris …
No todos los servicios proveen esta característica pero cada vez son más los que la implementan podéis ver de forma sencilla los servicios más populares que aceptan este nivel en la siguiente página web:
Esta característica y es conveniente activarla sobre todo para datos importantes, como tus cuentas bancarias, Compras , perfiles de redes sociales , cuentas de correo electrónico, servidores.
De los distintos sistemas de verificación 2FA el más utilizado y sencillo de usar es por software ya que no hay que hacer muchos cambios y se tiene configurado en unos minutos.
- Google Authenticator
- Microsoft Authenticator
- Amazon MFA
- Duo Mobile
- Facebook Generador de códigos
- Authy
Este tema es como los Gestores de contraseñas escoge con el que estés más cómodo. Yo personalmente uso Google Authenticator pero Authy también lo he probado y es más cómodo a la hora de trasladar cuentas de un dispositivo a otro en caso de pérdida o avería.
El proceso para activar la autenticación en dos factores depende del servicio pero suelen ser muy parecidos aquí te dejo dos enlaces para activar esta funcionalidad en Google y Linkedin.
- https://support.google.com/accounts/answer/185839?hl=es
- https://www.linkedin.com/help/linkedin/answer/31700/activar-y-desactivar-la-verificacion-en-dos-pasos?lang=es
Conclusión Final
Por supuesto estas no son las únicas medidas que tenemos que tener en cuenta a la hora de usar contraseñas pero por lo menos, estaremos mas protegidos, pero no estemos equivocados, la seguridad al 100% no existe pero vamos a ponerlo un poco más difícil ¿no?
Fuentes y material extra usado para crear esta publicación:
https://www.incibe.es/protege-tu-empresa/blog/dos-mejor-uno-doble-factor-acceder-servicios-criticos http://www.passwordrandom.com/most-popular-passwords https://www.tomsguide.com/us/best-password-managers,review-3785.html https://www.pcmag.com/article2/0,2817,2407168,00.asp https://www.reddit.com/r/dataisbeautiful/comments/322lbk/time_required_to_bruteforce_crack_a_password/ https://support.google.com/accounts/answer/185839?hl=es https://www.linkedin.com/help/linkedin/answer/31700/activar-y-desactivar-la-verificacion-en-dos-pasos?lang=es https://support.google.com/accounts/answer/1066447?hl=es https://www.microsoft.com/en-us/store/p/authenticator/9wzdncrfj3rj https://aws.amazon.com/es/iam/details/mfa/ https://guide.duo.com/third-party-accounts https://www.facebook.com/help/270942386330392 https://authy.com/ https://twofactorauth.org/ https://www.pixel4brain.com/programas-gestionar-contrasenas/ https://www.youtube.com/watch?v=yzGzB-yYKcc https://password.kaspersky.com/es/ https://howsecureismypassword.net/ https://www.betterbuys.com/estimating-password-cracking-times/ http://www.passwordmeter.com/ https://haveibeenpwned.com