Año nuevo, clave nueva
Consejos para crear las mejores contraseñas segura
Es una buena idea utilizar ciertos momentos o situaciones del año para cambiar algunos hábitos o costumbres. Algo así como sistematizar o programar acciones. En este caso creo que es un buen momento (frase futbolera si las hay) el inicio de cada año para cambiar la contraseña de los servicios más importantes, o del servicio más importante, si usan un gestor de contraseñas.
Aunque, si hacen esto, tampoco sería mala idea cambiar también las contraseñas de los servicios más importantes, como el acceso al correo electrónico y las redes sociales, entre otras plataformas online.
Esto es muy importante porque he conocido mucha gente que se acostumbró a nunca cambiar el password de Facebook, es al que terminan hackeando por haber sido siempre el mismo desde 2007: 123456 o alguna otra similar.
Y aunque parezca una locura - bueno, de hecho lo es - recomendar el cambio de contraseña una vez por año cuando por lo general los mismos servicios recomiendan cambiarla cada 2 meses, todos sabemos muy bien que para la mayoría de la gente normal cambiar la contraseña cada 2 meses termina en claves olvidadas y en cuentas inaccesibles.
El ser humano promedio no puede mantener tantas claves: el pin del cajero automático y la tarjeta de débito, la del correo electrónico, la de Facebook, Twitter, Instragram y el pin o clave de su teléfono celular.
En fin, lo que sucede es que por lo general se termina por elegir solamente un password para todo. Es así, nos guste o no a los que somos un poquito más “cuidadosos” con la seguridad: algunas personas usan la misma contraseña para todo. Y lo hace porque acordarse muchas contraseñas es una tarea titánica, casi imposible.
Sea como fuere, el objetivo de este pequeño artículo es concientizar el cambio de contraseñas, y mejorarlas. Para eso, vamos a dar algunos consejos que son bastante básicos pero que sirven y bastante. Vamos con ellos.
Usa un gestor de contraseñas
No es absolutamente necesario, claro. Pero si, extremadamente recomendado. Hoy que tenemos mil cuentas distintas, desde las más importantes a la cuenta del foro del club, pasando por cuentas de mediana seguridad como la de la obra social ¿Es posible recordar todas estas cuentas? Para nada, y lo peor es que una vez al mes, al menos, solemos entrar y si no tenemos un gestor que las recuerde por nosotros nos volvemos locos.
Un gestor de contraseñas es una especie de baúl en donde guardamos todas las claves que nosotros queremos. Este baúl debe estar asegurado con una llave maestra lo suficientemente fuerte como para poder tener seguras todas las claves dentro y se lo llama “master password”.
Lo genial de estos gestores es que se integran de una manera muy intuitiva con los navegadores. Por ejemplo, supongamos que tenemos ya un gestor. Una vez instalado y con la clave maestra ingresada, el sistema “aprende” los nombres de usuario y contraseñas de las cuentas que nosotros queramos, y la próxima vez que las vamos a usar el complemento las ingresa de forma automática por nosotros mismos (con asteriscos o puntitos y un iconito que nos avisa que la misma ha sido guardada por el complemento).
Cabe aclarar desde hace un tiempo, Chrome, gracias a su sistema de inicio de sesión conjunto con la cuenta de Google, tiene un sistema de “guarda de contraseñas” similar a LastPass o Keepass. Funciona, pero es menos potente, claro. Lo genial es que al sincronizarse entre distintos dispositivos podemos entrar a nuestras cuentas desde el smartphone o la tablet como si nada. No pasa lo mismo con los gestores tradicionales, que por lo general son pagos en sus versiones móviles.
Lo importante en este caso es recordar cerrar sesión cuando se utilice en una PC ajena (si es que alguien sincroniza el navegador en una cuenta ajena) ya que instalar una extensión no es algo que uno hace en una máquina que no es de uno, por eso, por costumbre y porque siempre me funcionó perfectamente, yo recomiendo LastPass, pero siempre y cuando se use una contraseña maestra larga, compleja y además un sistema de doble verificación.
El sistema de doble verificación compatible con LastPass más simple esGoogle Authenticator. Basta solamente con tener la App instalada en un smartphone de nuestra propiedad y se nos pasará un número cuando iniciemos sesión en un nuevo equipo ¿Perdimos el teléfono o fue robado? Bastará con que el sistema nos llame a un número fijo, configurado previamente. También existen sistemas de doble autenticación biométricos compatibles con LastPass, como llaves USB o también lectores de huellas digitales, pero por lo menos, si vas a usar algo tan importante para salvaguardar toda tu vida online detrás, tenes que tener una doble vía de seguridad.
Reglas nmemotécnicas
La mnemotecnia o nemotecnia es una técnica de memorización basada en la asociación mental de la información a memorizar con datos que ya sean parte de nuestra memoria.
Esta técnica aprovecha la capacidad natural que tiene nuestro cerebro para recordar imágenes y para prestarle más atención a los sucesos poco comunes o extraordinarios.
Eso dice Wikipedia. Y como habíamos dicho, uses o no un gestor de contraseñas, es buena idea tener claves seguras en los servicios que más usas y cambiarlas habitualmente, pero. ¿cómo memorizarlo?
El gran problema acá es que si por ejemplo quieres una contraseña fuerte, un sistema de generación te va a largar algo así como #43!ojxa) B92?Xa2 que si bien es una clave tremenda, es imposible de recordar. Ahora, ¿es posible crear una clave que sea tan fuerte como esa y la podamos recordar? Sí, es posible.
Hay que tomar en cuenta:
Si tienes una clave con un keylogger, malware o ataque de avanzada, por más que tengas una contraseña imposible y de 40 caracteres, te la roban con un simple copypaste.
¿Ataque de diccionario? Con la regla nmemotécnica es improbable que alguien haya usado tu misma clave alguna vez.
¿Fuerza bruta? Si usamos CAPS, minúsculas, caracteres y números, la clave es tan fuerte como una de las inentendibles.
Entonces, una buena idea es crear una regla con este estilo:
Mi nombre + Palabra en CAPS + Número + Letra inicial y final del servicio + 2 caracteres raro.
Por ejemplo: GuillermoVENTILADOR2019+TR!$
Ahí tenemos un password que nunca nadie usó (o eso se supone) por lo que es fuerte ante ataques de diccionario, es largo, por lo que es fuerte ante ataques de fuerza bruta y además, es sencillo de aprender. Es fundamental recordar, básicamente los 2 caracteres raros, que no deberían repetirse.
Existen muchas alternativas, claro. Algunos escriben una frase, usando por ejemplo la 3 en lugar de la E y el 1 en lugar de la I, algo así cómo: M3 Gusta La P3ps1!. Allí tenemos las palabras que comienzan con mayúscula, un final con un caracter raro y los números por letras.