Ningún sistema de almacenamiento de datos es infalible, a menudo recibimos noticias de criminales que acceden a bases de datos que creíamos seguras. Sin embargo, en la gran mayoría de los casos, cuando las medidas de seguridad han sido bien implementadas, la información está a salvo.
Hay sin embargo un aspecto de la seguridad que es sumamente importante y responsabilidad exclusiva del usuario, las claves de acceso.
Para empezar nuestro recorrido con algunas advertencias y consejos para el armado de contraseñas nos ocupamos de dos de los peores errores que todavía se cometen, las claves ultra sencillas y las que contienen referencias al usuario.
La clave demasiado simple para ser pensada
Debido a que la idea de una contraseña supone la búsqueda de una palabra que no puede imaginarse de una forma sencilla existe cierta idea de que el uso de un término simple es lo último que se le ocurrirá a alguien que intente ingresar a una cuenta ajena.
El problema es que muchos intentos de acceso se realizan a través de sistemas automáticos, y aún los ataques manuales a menudo tienen en cuenta la desidia de los usuarios.
Según la empresa Nordpass, creadora de un manager de claves, las peores 10 contraseñas de 2020 son, de la última a la primera:
Senha (contraseña en portugues), 1234567890, 12345, 123123, 111111, 12345678, pasword, picture1, 123456789 y, finalmente, 123456.
La clave autoreferida
Este es quizás uno de los errores más evidentes pero usuales. Ocurre cuando el usuario utiliza datos vinculados a su persona que son accesibles de una forma para un potencial atacante. En esta categoría podemos incluir nombres y apodos propios, nombres de familiares y mascotas, fechas de cumpleaños, nombres de clubes de futbol, libros favoritos, ciudades a las que se va de vacaciones, etcétera.
Una escena que se repite mucho en las películas es la del protagonista descubriendo la claves de una computadora o un archivo observando un libro en una biblioteca o recordando algo sobre la vida del dueño del equipo.
Parece ridículo, pero a veces basta con pensar que nadie va a enfocarse en nosotros y tomarse la molestia de indagar en nuestras vidas.
Agregando algo de complejidad
Existen pautas que podemos seguir para agregar complejidad a las claves. A continuación repasamos algunas de ellas. Cabe destacar que muchos sistemas establecen exigencias para la construcción de contraseñas que están en línea con estas recomendaciones, pero es bueno considerarlas de todas maneras.
Mayúsculas
Utiliza mayúsculas en tus claves, una sola de ellas supone duplicar las variantes posibles en el caso de las letras.
Extensión
Cuanto más extensa es una clave más segura es, sobre todo porque los sistemas automáticos destinados a irrumpir en cuentas ajenas deben realizar un mayor número de permutaciones. Un simple ejercicio matemático nos indica que con cada carácter extra multiplicamos las posibilidades por 38 considerando solamente letras y números.
Las claves con 9 caracteres son mucho más seguras que las que tienen 8 y las que tienen 10 aún más.
Por supuesto, claves muy extensas pueden ser difíciles de recordar.
Como recordar una clave
Una forma sencilla de recordar una clave es construir una secuencia que tenga términos que sean fáciles de asociar.
“Pulpomarazul” tiene sentido y se guarda en nuestra mente como una sola imagen. También es posible crear claves algo más abstractas, como “Llavesinmanos”.
Una alternativa es crear contraseñas que sean frases. Por ejemplo: Permisoyconcuidado, Recordandobuenostiempos.
Toma estos ejemplos como ilustraciones, seguramente se te ocurrirán mejores alternativas.
Olvidarse una clave puede ser muy problemático.
Números
Agregar números a las claves es relativamente sencillo y no suele dificultar la memorización. De esa forma podemos obtener, por ejemplo: Pulpo7marazul.
No existe razón alguna para no incluir un número en una clave, son especialmente buenos para interrumpir secuencias.
Caracteres especiales y reemplazos
Las letras y números son, hasta cierto punto, predecibles, si escribimos “pulp” es muy probable que la siguiente letra sea una “a”, o una “o”, algo similar ocurre si escribimos “llav”.
La cantidad de caracteres posibles es menor y por tanto las permutaciones disminuyen.
Existen dos formas sencillas de agregar complejidad a las claves.
Una de ellas es utilizar caracteres especiales. Lo único que hay que tener en cuenta es que estos deben ser fáciles de reproducir y accesibles en cualquier configuración de teclado. El clásico @ es una buena opción.
Otra alternativa implica el reemplazo de ciertas letras por otras.
Tomemos entonces nuestra clave “Pulpomarazul7” y apliquemos algunas de estas consideraciones. Un posible resultado sería: Pulpo7mar@sul.
El problema de la complejidad
En este momento es posible que estés pensando cuál será el punto de equilibrio entre una clave más compleja y segura y una más simple y fácil de manejar. Efectivamente, es importante mantener cierto equilibrio.
Un reciente estudio de la Universidad James Cook indagó en el modo en que los usuarios reaccionan al aumento de complejidad exigido por los sitios web para la elaboración de contraseñas.
En general cuantas más restricciones se imponen más seguro se siente el usuario sobre el destino de sus datos
Pero al mismo tiempo crece cierto sentimiento de frustración.
La complejidad de las contraseñas ha hecho que el 75% de los usuarios utilizara estrategias para recordar sus claves, incluyendo algunas que perjudicaban su seguridad.
En otras palabras, existe una tensión entre el nivel de elaboración de una clave y su practicidad.
Y de una forma contra intuitiva, ser demasiado exigente para la creación de la clave de acceso puede ir en contra del nivel de seguridad.
Una clave para todas las cuentas
Una de las opciones utilizadas para superar las molestias que supone tener que recordar claves complejas es el uso de una misma clave en varios sitios. En teoría si una clave es segura en uno lo debe ser en todos.
Pero el problema no pasa en sí por la clave, sino por los sitios. Repetir una clave es poco recomendable porque supone que toda la información es tan segura como el más vulnerable de todos los espacios en la que la estamos utilizando.
En particular, no conviene reproducir las claves del home banking y el correo. En el primer caso es claramente por el daño que puede producirse, en el segundo porque muchos sistemas de recuperación funcionan asociando cuentas a direcciones de correo y este puede ser el medio para confirmar acciones sospechosas o recuperar el control de una cuenta.