Como hacer una buena gestión de contraseñas

insertar contraseña

Con el creciente número de ordenadores y otros dispositivos así como los servicios online, la gestión de contraseñas empieza a volverse un problema para el usuario medio de la red. La gestión de contraseñas siempre es algo complicado bien por su elección o bien por la cantidad cada vez mayor de contraseñas que tenemos.

Por ello terminamos usando muchas veces la misma contraseña para todos los sitios web y eso puede resultar un grave problema cuando alguna de ellas se ha visto comprometida.

Aunque en ocasiones no es posible porque hay sitios que nos piden por nuestra propia seguridad una contaseña que cumpla ciertos requisitos de complejidad, con lo que al final acabamos teniendo la misma contraseña en todas partes menos en dos o tres sitios donde tenemos otra, que seguramente no vamos a recordar.

Otro tema a tratar es la de loguearnos en servicios web usando las credenciales de otros sitios como facebook, twitter, google o openid. En este caso recordar que menos el openid (que podemos tener un sitio nuestro) el resto son sitios de los que no somos , propietarios y que nos pueden cancelar la cuenta en algún momento en contra de nuestra voluntad, pero es un tema que vamos a dejar para otro momento.

Os proponemos un par de soluciones.

1- Usar tres contraseñas distintas.

Tener una contraseña de nivel bajo, medio y alto.

Para aquellos servicios que no sean importantes, o que nos registremos para poder descargar algo, usar una versión de prueba o un servicio podemos utilizar la contraseña de nivel bajo como por ejemplo registrarse en foros, blogs, el reproductor de música online, etc…

La contraseña de nivel medio (algo más complicada) guardarla para los sitios que nos importan como nuestras cuentas en redes sociales, nuestro blog y otro tipo de servicios que para nosotros sean importantes.

Y por último la contaseña de nivel alto (cumpliendo los requisitos de complejidad) para los sitios confidenciales y críticos para nosotros o que impliquen acceso a dinero. Acceso al ordenador, nuestro correo electrónico, acceso a la banca online, compras, etc…

podium 1 2 3

2- Usar un gestor de contraseñas.

Podemos usar programas gestores de contraseñas que sirven para guardar los usuarios y contraseñas que tenemos en cada sitio. Existen gestores online a los que podemos acceder por internet desde un navegador o programas de escritorio, tanto de pago como open source.

Por supuesto para acceder a nuestro gestor de contraseñas utilizaremos un usuario y contraseña que tiene que ser la más segura de todas ya que da acceso a todas las demás. En las aplicaciones online confiamos en la seguridad del proveedor del producto que elijamos y en los programas de escritorio la base de datos donde se guarda va fuertemente encriptada con parámetros de seguridad que podemos escoger.

Algunos de las aplicaciones online nos van a permitir tener una copia en nuestro ordenador de las contraseñas para cuando no tenemos conexión, generalmente usando una extensión de los navegadores.

Aplicaciones online gestores de contraseñas: Passpack, Clipperz, Mittto, Mysafebox

En algunos de los programas de escritorio se puede replicar la base de datos entre varios ordenadores y dispositivos para tener nuestras contraseñas en todos ellos. O también se puede sincronizar la copia local (de nuestro ordenador) con una base de datos en internet (que ha de estar en un servidor o espacio nuestro) de forma que podremos acceder desde cualquier lugar con conexión.

Programas de escritorio gestores de contraseñas: Lastpass, 1Password, Password safe, Keepass

Recomendaciones y contraseñas inseguras.

En cualquiera de los casos aparte de la típica de no usar fechas o nombres personales, hay una serie de recomendaciones para elegir una contraseña con un buen nivel de seguridad.

  • Que la contraseña sea mayor de 8 carácteres.
    Cuanto más larga sea la palabra más dificil será acertarla mediante un ataque de fuerza bruta. Cada carácter de más supone muchas nuevas permutaciones que el ataque tendría que probar y por tanto más tiempo para intentar conseguir la contraseña.

  • Evitar en lo posible que sea una palabra que exista en el diccionario.
    O si lo es que tenga alguna variación que la haga diferente. Este consejo es para evitar los ataques de diccionario que en vez de hacer todas las combinaciones posibles lo que hacen es probar secuencialmente palabras del diccionario (en varios idiomas).
  • Que mezcle minúsculas, mayúsculas y símbolos.
    Para un sistema informático la misma letra en mayúsculas y minúsculas son dos carácteres distintos, por eso si escribimos la contraseña en mayúsculas no funciona. Hacer esta mezcla ayuda a los dos anteriores puntos y los ataques que hemos comentado en ellos. Por un lado no será una palabra que existe en un diccionario y por otra añadimos complejidad para que el ataque de fuerza bruta tenga más combinaciones con las que probar al usar símbolos.

Para terminar os dejamos una curiosa lista de las peores contraseñas de 2011. Es un ranking realizado por SplashData con las contraseñas robadas y publicadas en la red por hackers.

letras aleatorias

  • 1. password
  • 2. 123456
  • 3.12345678
  • 4. qwerty
  • 5. abc123
  • 6. monkey
  • 7. 1234567
  • 8. letmein
  • 9. trustno1
  • 10. dragon
  • 11. baseball
  • 12. 111111
  • 13. iloveyou
  • 14. master
  • 15. sunshine
  • 16. ashley
  • 17. bailey
  • 18. passw0rd
  • 19. shadow
  • 20. 123123
  • 21. 654321
  • 22. superman
  • 23. qazwsx
  • 24. michael
  • 25. football