Luego de que se han hecho públicos los ataques a más de 10.000 cuentas de Hotmail se detectó que también fueron afectadas gran cantidad de cuentas de Yahoo y Gmail, publicándose los datos de las mismas nuevamente en el sitio pastebin. En todos los casos las contraseñas fueron obtenidas porque usuarios descuidados las entregaron o por ser combinaciones débiles.

Ante esto, la gente de Gmail decidió escribir en su blog un post con consejos para escoger una contraseña segura, de manera de ayudar a sus usuarios a proteger sus cuentas. Me pareció muy interesante para que los usuarios de cualquier servicio protegido con contraseñas lo tengan en cuenta y por ello lo resumo y traduzco aquí. He decidido listar numerados los problemas y luego sus correspondientes soluciones.

Problemas

  1. Re usar contraseñas en diferentes sitios: es muy común que debido a la cantidad de sitios que requieren una password los usuarios terminen utilizando siempre la misma. Esto hace que al comprometerse la contraseña el atacante pueda tener acceso a muchos servicios sensibles (como el correo electrónico, home banking y otros).
  2. Utilizar palabras sencillas o de diccionario: los usuarios suelen utilizar palabras que pueden ser encontradas en un diccionario o combinaciones de caracteres seguidos en el teclado (qwerty por ejemplo). Esto reduce muchísimo las posibles contraseñas y simplifica la tarea del atacante (hay programas que son capaces de probar miles de palabras de diccionario por minuto).
  3. Escoger contraseñas basadas en datos personales: hay mucha información personal que compartimos con gran cantidad de personas. Por ello, utilizar este tipo de información para una contraseña es muy desaconsejable.
  4. Escribir las contraseñas y guardarlas en un lugar inseguro: para los que utilizamos muchos servicios con contraseñas diferentes es muy común escribirlas hasta aprenderlas. Lo malo es dejarlas en un lugar de fácil acceso.
  5. Recurrir a “recordar contraseña”: cuando se utilizan contraseñas difíciles y diferentes aumenta la probabilidad de olvidar alguna, teniendo que recurrir a los métodos para recordar la contraseña (enviar un email con una nueva o responder una pregunta secreta, entre otros).

Soluciones

  1. Usar contraseñas únicas: para los servicios sensibles es muy recomendable utilizar contraseñas diferentes. Para el resto de los servicios, es una buena idea también tener conjuntos de contraseñas agrupadas según importancia o tipo de servicios, reduciendo así el impacto si una contraseña es descubierta.
  2. Componer letras, números y caracteres especiales: la contraseña más segura debería ser el resultado de una combinación aleatoria de números, letras mayúsculas y minúsculas y caracteres especiales, con una longitud mínima de 8 caracteres. Los requisitos enunciados dan como resultado un total de 94^8 combinaciones, lo que es un número muy aceptable para proveer buena seguridad.
  3. Crear contraseñas que no se relacionen con datos personales: simplemente evitar nombres de familiares, direcciones, fechas y demás. Valerse de lo enunciado en el punto 2 para lograr contraseñas seguras.
  4. Guardar las contraseñas en un lugar seguro: al anotar las contraseñas es importante tener la precaución de que no queden expuestas a la vista de otra gente ni sean de fácil acceso para otras personas.
  5. Mantener los datos de recuperación de contraseña actualizados: es fundamental que los datos para recuperar nuestras contraseñas estén actualizados (en el caso de que se envíe la contraseña a nuestro mail por ejemplo) y además seguros, si por ejemplo se tratara de una pregunta secreta. Es claro que de nada sirve una contraseña compleja si la pregunta secreta tiene una respuesta sencilla.

Por mi parte, agregaría también dos consejos más:

  • Nunca compartir la contraseña con nadie: como digo, no comentar la contraseña a otra persona ni enviarla por teléfono, mail o mensajería instantánea. En caso de que esto fuera necesario, cambiarla luego lo antes posible.
  • Cambiar la contraseña periódicamente: cambiar las contraseñas cada cierto período de tiempo es el último eslabón para lograr una protección realmente fuerte de nuestras cuentas.

Espero que los consejos hayan sido útiles y que de alguna manera sirvan para generar conciencia. Probablemente esté escribiendo algo más con este fin en poco tiempo.