Esto es lo que tardaría un hacker en romper tu contraseña por fuerza bruta, pero ahí no acaba la cosa

Esto es lo que tardaría un hacker en romper tu contraseña por fuerza bruta, pero ahí no acaba la cosa
34 comentarios Facebook Twitter Flipboard E-mail

Las contraseñas importan. Lo hacen cada vez más, de hecho: nuestra dependencia de servicios online en los que usamos un usuario y una palabra clave es creciente, pero es difícil convencer a muchos usuarios de que deberían tener mucho cuidado a la hora de elegirlas y usarlas.

Dos son los consejos ya eternos en este ámbito: usar contraseñas fuertes (complejas) y no reutilizar contraseñas para diversos servicios. Cometer un error sobre todo en el primer caso nos expone de forma notable, y un estudio en el que se visualiza el tiempo que tardaría un hacker o un cracker en averiguar nuestra contraseña por fuerza bruta quizás logre convencer a muchos de una vez por todas de lo importante que es prestar atención a la elección y gestión de contraseñas.

Con las contraseñas no se juega

Estamos en 2020 y la gente sigue usando como contraseña '123456'. Luego nos extrañamos de que haya robos masivos de contraseñas que tienen consecuencias nefastas para los usuarios: la suplantación de identidad y los robos de información y dinero se han convertido en algo tristemente común en los últimos tiempos.

Visualiz

Lo cierto es que aun eligiendo contraseñas más complicadas la cosa puede ser igualmente peligrosa para los usuarios. La creciente potencia de cálculo de los sistemas con los que se crackean contraseñas por fueza bruta ha hecho que incluso cadenas más largas sean asumibles para alquien que tiene tiempo y recursos para tratar de averiguarlas por ese sencillo método.

Una visualización del usuario de Reddit hivesystems a partir de datos de HowSecureIsMyPassword.net ha permitido revelar lo que se tardaría en desvelar contraseñas de distinta longitud y que usan distintos tipos de juegos de caracteres en un PC de gama media actual. Ese estudio está inspirado en un artículo similar que Mike Halsey, MVP de Microsoft, publicó en 2012.

Usar sólo números es por ejemplo muy mala política: incluso con contraseñas largas de 16 dígitos sería posible averiguarlas en tan solo 2 días. La cosa mejora cuando empezamos combinaciones de números con letras mayúsculas y minúsculas, pero ya puestos lo ideal es además utilizar símbolos (de interrogación o admiración, signos de puntuación, paréntesis, guiones y barras, etc) para lograr contar con una contraseña fuerte que sea muy difícil de romper.

Xkcd Pass

El problema de usar esas combinaciones complejas es, lógicamente, que son difíciles de recordar. Ahí es donde entran en acción los gestores de contraseñas, aplicaciones y servicios web como 1Password, LastPass o Dashlane, en los que contaremos con una contraseña maestra —que debe ser fuerte y debemos recordar sí o sí— y en el que ciertas reglas mnemotécnicas (como sustituir una o -mayúscula o minúscula- por un cero o una ele minúscula por un uno) pueden ayudar mucho, como explican los propios responsables de LastPass.

Espera, que aún hay más

En esa visualización, no obstante, hay (al menos) una puntualización importante que va más allá del tiempo estimado para romper esas contraseñas: quienes tratan de romperlas no suelen hacerlo por fuerza bruta, sino que usan diccionarios con palabras y cadenas de caracteres que forman parte de cierto idioma y en las que además se pueden aplicar esas reglas mnemotécnicas de las que hablábamos para ampliarlos.

Password3

Así, una herramienta para desvelar contraseñas puede probar a comparar el hash de palabras como "laboratorio" con el hash de la contraseña del usuario que se quiere intentar crackear, pero también con variaciones como "1aboratorio" o "1ab0rat0ri0", por ejemplo. Los buenos diccionarios, muy cotizados entre quienes se dedican a estos menesteres, son una valiosa ayuda para esta tarea, y pueden reducir de forma notable esos tiempos de la tabla.

Aún así, elegir contraseñas suficientemente largas y que hacen uso de símbolos, números y letras suele hacer que esa tarea sea suficientemente compleja hasta para quienes dedican por ejemplo servidores basados en GPUs y dedicados a esta tarea —y los hay desde hace años—. Eso, unido a los gestores de contraseñas, debería hacer que cualquiera estuviera razonablemente tranquilo.

Lo de razonablemente, en cursivas. Por si las moscas.

Comentarios cerrados
Inicio