El FBI dice que las contraseñas que creíamos que eran seguras no lo son

El FBI dice que las contraseñas que creíamos que eran seguras no lo son

Alberto García

El FBI suele dar consejos de seguridad con bastante frecuencia, a pesar de que la agencia se popular por querer saltarse cualquier mecanismo de seguridad en sus investigaciones, como la protección que utilizan los móviles. Ahora, han dado nuevos consejos sobre cómo crear contraseñas seguras.

Crear una contraseña segura no nos asegurará evitar ser hackeados, ya que incluso aunque pongamos una de 15 caracteres, ésta puede ser robada si el servicio en el que la usamos es hackeado. O aún peor, si reutilizamos esa contraseña en otro servicio que sea hackeado, y luego alguien intente acceder a nuestra cuenta de otro servicio con esa misma contraseña.

El FBI dice que los gestores de contraseña son una buena idea

Y a pesar de todos estos consejos, muchos usuarios todavía siguen usando contraseñas como “123456” o “password”. Este tipo de acciones no tienen perdón, sobre todo cuando hay gestores de contraseña como el de la propia Google, donde sólo tienes que recordar una única contraseña segura de tu email para acceder a todas las demás. Desde el FBI recomiendan su uso, ya que aunque un hacker pueda acceder a todas tus contraseñas con sólo averiguar la del programa, su uso entraña muchas más ventajas, como la generación de contraseñas únicas para cada servicio.

Para proteger a los usuarios estadounidenses de hackeos externos y amenazas de ciberseguridad, el FBI ha creado una serie de directrices para que las contraseñas sean totalmente seguras, que en lugar de usar palabras, usen frases enteras.

El crackeo de contraseñas por fuerza bruta es cada vez más peligroso; sobre todo si no se cifran usando bcrypt u otros cifrados seguros. Por ello, es conveniente que las contraseñas tengan mínimo 8 caracteres, y es recomendable que la cifra sube hasta los 10 o 12 si queremos estar plenamente seguros.

Contraseñas largas mejor que contraseñas complejas

De hecho, es mucho mejor que una contraseña sea larga que que sea compleja, ya que si es larga se aumenta el número de caracteres que hay que comprobar. Por ejemplo, es más difícil crackear “CocheMesDirectorMandato”, que “CocheM€s”. El National Institute of Standards and Technology (NIST) recomienda, por tanto, que la longitud sea de al menos 15 caracteres, y al ser frases de palabras combinadas, es más fácil de recordar. Y si usamos palabras que no existen en diccionarios, o palabras que no tienen nada que ver entre sí, pero que podemos recordar fácilmente, mucho mejor.

Así, no es necesario ni siquiera combinar mayúsculas, números o caracteres especiales como nos obligan a hacer muchas páginas, sino que con que sea larga ya es más que suficiente. Algo tan tonto como “tecnoleerwebadslzone” es imposible de crackear por fuerza bruta, pero muy fácil de recordar.

Por tanto, las recomendaciones del FBI son:

  • Contraseñas combinadas de 15 o más caracteres
  • Sólo pedir que alguien cambie su contraseña si cree que hay razones para creer que la web o servicio ha sufrido un hackeo
  • Evitar que se utilicen contraseñas que hayan sido hackeadas previamente, tal y como hace Microsoft
  • No bloquear cuentas de usuario al introducir contraseñas por error para evitar ataques DDoS
  • No permitir que haya sugerencias de contraseñas.