Cuando hablamos de seguridad en los equipos, siempre nos referimos a la necesidad de tenerlos actualizados con las últimas versiones del sistema operativo. Cómo los equipos más recientes, son los más seguros al incluir opciones como Windows hello o Face ID que mejoran el acceso a los mismos. Pero ¿qué ocurre cuando el agujero de seguridad lo generamos nosotros mismos?.
Eso es lo que pasa con las contraseña de seguridad usadas para acceder a nuestros terminales, ya sean en formato móvil o PC, así cómo a una gran cantidad de servicios a los que estamos conectados. De nada sirve contar con lo último en cuanto a seguridad para acceder al equipo si luego usamos como clave "1234".
Y no, no pienses que se trata de un hecho aislado. Pese a lo que siempre hemos leído, pese a las recomendaciones que nos hacen, las contraseñas accesibles (demasiado) siguen siendo muy usadas. Aunque el año que estamos a punto de terminar nos ha ensañado como se filtran miles de datos en la red en los que aparecen contraseñas, claves de acceso y nombres, pese a que la seguridad es cada vez más importante, siguen existiendo usuarios que hacen uso de contraseñas que podríamos llamar absurdas.
No hablamos de que el abuelo de turno lleve apuntado el PIN del móvil en un _stick_ en la funda. Hablamos de que hay un gran número de usuarios de todo tipo que usan contraseñas tan "difíciles" de descifrar con combinaciones de números como “123456” o palabras como “password” o "contraseña".
Usuarios que pasan de usar claves que combinan números, letras y signos. No ya sólo deben ser largas (algunos expertos recomiendan que no es imprescindible), sino que sobre todo se debe buscar que combinen caracteres “raros” a la vez que se ha de evitar el uso de fechas o palabras que se asocien con nosotros.
Y el ejemplo de que una gran parte de usuarios no actúa de la forma más adecuada lo muestra el estudio que ha llevado a cabo la firma de seguridad SplashData que ha recopilado las que pueden ser las 100 peores contraseñas de 2017. De hecho afirman que al menos un 10% de los usuarios, ha utilizado alguna de las 25 contraseñas que menos aconsejables. Estas son las 25 claves menos aconsejables para usar:
- 123456
- Password
- 12345678
- qwerty
- 12345
- 123456789
- letmein
- 1234567
- football
- iloveyou
- admin
- welcome
- monkey
- login
- abc123
- starwars
- 123123
- dragon
- passw0rd
- master
- hello
- freedom
- whatever
- qazwsx
- trustno1
Un listado en el que junto al uso de un clásico como es "123456", aparecen otros cómo “password” o “12345678” ocupando los tres primeros puestos del _podium_. Otros de los clásicos que vemos son "admin", "login" o "abc123" o "passw0rd", donde la letra "o" se sustituye por un "0". Una alternativa que como cuentan en SplashData no es de utilidad alguna. Estas son las 100 peores contraseñas de 2017
Pasos para crear una contraseña segura
Para crear una clave de acceso segura, podemos seguir una serie de pasos que además van a facilitar el que siempre la tengamos en mente y no la olvidemos.
- El primer paso es que las dos primeras letras de la contraseña serán las dos primeras del sitio donde nos registremos. Si nos vamos a registrar en Spotify sería "sp".
- Seguiremos la contraseña con las dos últimas letras del nombre de usuario. Si nos registramos como pepito, ya tendremos "spto".
- Lo siguiente será el número de letras del nombre del sitio. Spotify tiene siete, así que seguimos añadiendo: "spto7".
- Si el número anterior es impar, añadiremos un símbolo de dólar. Si es par, una arroba. Como el 7 es impar, nos queda "spto7$".
- Cogemos las letras del medio de la contraseña y las volvemos a escribir usando la letra siguiente del alfabeto. Lo entenderéis con un ejemplo: si tenemos "spto", reescribimos las dos del medio usando las siguientes letras del alfabeto, y nos queda "qu". De esta forma, nuestra contraseña queda "spto7$qu".
- Contamos el número de vocales que hay en la contraseña, le sumamos cuatro, y lo escribimos pero pulsando la tecla Shift, de forma que nos salga un símbolo. En este caso, tenemos 2 vocales, así que el símbolo será &, que está encima de la tecla 6. Ya llevamos así la contraseña "spto7$qu&".
- Y un último paso puede ser el sustituir algunas de las letras por mayúsculas. Podemos determinar que la segunda y la cuarta, por ejemplo, puedan ser mayúsculas. El resultado sería "sPtO7$qu&".
Autenticación en dos pasos
Otra opción puede venir dada por el uso que podemos hacer de la autenticación en dos pasos (también conocida como "autenticación de dos factores"). Es una opción por medio de la cual se añade una capa de seguridad adicional a la cuenta que vamos a usar. De esta manera, inicias sesión con un dato que conoces (tu contraseña) y con un dato que tienes (un código que recibes en tu teléfono).
Un sistema que busca añadir una verificación más de que eres tú y no una tercera persona quien está accediendo con tu cuenta. Para ello, el servicio comprueba que realmente tienes algo (móvil, token) que sólo tú deberías tener. Un proceso que sin embargo tiene un punto débil que se debe al uso de SMS para el envío de las claves.
El problema es que los SMS son vulnerables, así que la autenticación en dos pasos debería plantearse de otro modo y empresas cómo Google ya lo han solucionado al lanzar Google Prompt, un sistema que hace que esa verificación no se envíe a través de mensajes SMS, sino desde los servidores de Google, algo que hace más complejo interceptarlos. Una medida similar a la que ofrecen los generadores de tokens que se usan en algunos bancos.
Fuente | Motherboard
En Xataka | Autenticación en dos pasos: qué es, cómo funciona y por qué deberías activarla
Ver 2 comentarios