Guía OTT para crear una contraseña segura

Ahora es tan común que todos lo hacemos sin siquiera pensarlo: cree una contraseña que tenga al menos x caracteres, tenga al menos un número y un símbolo y no sea su nombre o apellido. Ya sea que esté trabajando o creando un ID de Apple, estos requisitos de contraseña para una contraseña "segura" están en todas partes.

Después de crear una nueva contraseña en un sitio un día, comencé a pensar en lo diferentes que eran todos los requisitos. Algunos sitios quieren contraseñas que no tengan menos de 3 caracteres y algunos aplican un mínimo de 8. Algunos quieren símbolos, otros no. Algunos se preocupan por su nombre y contraseñas anteriores, otros no. Entonces cual contraseña es realmente fuerte?

Investigué un poco y descubrí dos cosas cuando estás hablando de alguien que está "descifrando" tu contraseña: en primer lugar, existe la fuerza de tu contraseña y, en segundo lugar, la fuerza del cifrado que hace que la contraseña se convierta en un problema..

Rápidamente me di cuenta de que todo el concepto de una contraseña segura es muy matemático y se han realizado numerosos estudios sobre este tema. El que me llamó la atención y que mencionaré en este post es de un estudio de Carnegie-Mellon de 2011..

Pruebe su contraseña primero

Antes de entrar en lo que es una contraseña segura, veamos cuánto tardaría en descifrar su contraseña supuestamente segura. Para verificarlo, usaremos una herramienta en el sitio de PassFault:

https://passfault.appspot.com/password_strength.html

Así es como funciona. Escriba su contraseña y haga clic en Analizar. Tiene dos opciones que están ocultas por defecto, pero puede hacer clic en Mostrar opciones. Vamos a explicar lo que significan..

El hardware de craqueo utiliza por defecto un atacante de contraseña de $ 900, lo que sería posible para un pirata informático legítimo. También tienen la opción de elegir un atacante de contraseña de $ 180,000, que los chinos podrían usar si es tan caro. El menú desplegable Protección de contraseña le ofrece algunas opciones para el tipo de cifrado utilizado para almacenar la contraseña. El sistema Microsoft Windows es el más débil, no hay sorpresa allí. Luego tiene un punto de acceso WPA inalámbrico, UNIX SHA1, UNIX Blowfish y 100 rondas de SHA1.

Probé mi contraseña segura que uso en un par de sitios y me sorprendí al ver que se podía descifrar en 1 día!

Wow, eso es bastante malo. Entonces elegí las opciones de cifrado más fuertes (Unix Blowfish y 100 rondas de SHA1) y me alegró ver que los resultados tardarían más de un día: 1 año y 7 meses para Unix Blowfish y 2 meses y 2 días con 100 rondas de SHA1 . Sin embargo, con el atacante de contraseña de $ 180,000, se redujo a 11 días y 3 días, respectivamente. No es aceptable, pensé! Quiero que mi contraseña tarde años en romperse, incluso con un cracker de contraseñas muy caro. Pero, ¿cuál es la mejor manera ya que estoy usando una contraseña de 9 caracteres con números y un símbolo??

Lo que hace que una contraseña sea fuerte?

Aquí es donde el estudio de Carnegie-Mellon arroja algo de luz sobre todo el asunto. Básicamente, lo que encontraron es que cuanto más larga es la contraseña que usas, más fuerte es. Esto no significa necesariamente que la contraseña más larga tenga que tener muchos símbolos o números, simplemente debe ser larga. Con 16 caracteres, todo lo que debes evitar es usar palabras de diccionario súper fáciles.

¿No estás convencido de que sea posible? En el sitio de PassFault, use la siguiente contraseña, que tiene solo 15 caracteres y es muy fácil de recordar:

ilovemywifealot

Luego, para las opciones, elija el atacante de contraseña de $ 180,000 y elija el cifrado más débil (Microsoft Windows) y esto es lo que obtiene:

¡1 mes y 7 días! Eso es mucho mejor que mi contraseña siendo descifrada en 1 día. Entonces, ¿qué hay de malo con mi contraseña? Bueno, al parecer, si su contraseña es más corta, entonces necesita usar más símbolos, letras aleatorias y números para fortalecerla. Si es más largo, como más de 15 a 16 caracteres, entonces no tiene que preocuparse por agregar todo tipo de números y símbolos. Con una contraseña más larga, incluso puedes usar más palabras de diccionario y seguirá siendo muy seguro. Obviamente una contraseña como Hola hola hola Todavía apestaría aunque sean 15 caracteres:

Apesta porque va a estar en el diccionario y es la misma palabra tres veces. En mi primera contraseña, donde le confieso mi amor a mi esposa, la oración comienza rápidamente a parecer una tontería para una computadora y ningún diccionario de grietas tiene esa frase de 15 caracteres como una palabra. Los diccionarios tienen palabras de diccionario, siempre y cuando evites las palabras de diccionario directas, estarás listo. Mi contraseña podría haber sido incluso mejor si usé el nombre de mi esposa o un apodo para ella en lugar de la palabra "esposa". Captar la idea?

Obviamente, si también puede agregar un número de símbolo en una contraseña larga, entonces la contraseña se vuelve aún más ridículamente fuerte. Por ejemplo, digamos que coloco un signo de exclamación delante de la contraseña de mi esposa y agregué un número al final. Entonces, ¿cuánto tiempo tomaría para romper con las mismas opciones:

Vaca santa ¡Así que pasó de 1 mes 7 días a la friolera de 4 siglos y 1 década! Si siglos !! Ahora esa es una contraseña segura y no es muy difícil de recordar. Así que verifique su contraseña con esta herramienta gratuita en línea y si su contraseña se rompe dentro de unos días, podría ser el momento de pensar en algo nuevo, especialmente para su información confidencial como contraseñas bancarias, etc..

Recuerde, muchos de estos sitios en línea son pirateados todo el tiempo, por lo que su contraseña nunca es segura. Sin embargo, si utilizas una contraseña realmente segura, incluso si el cifrado es muy débil, ¡una súper computadora tardará una eternidad en descifrarla! Si probó su contraseña en el sitio mientras leía esta publicación, háganos saber en los comentarios cuánto tardaría en descifrarla. Disfrutar!