Buscar

2009/03/27

Adivinamos su contraseña: '1234'

Fuente: El Pais.

Desde Paris Hilton a Barack Obama, todos han visto desveladas algunos de sus datos por una humilde contraseña. Los estudios confirman año tras año que no damos importancia a nuestras palabras de paso, la mayoría fáciles de adivinar y de romper en segundos. Aunque conozcamos las normas básicas para crearlas y conservarlas, no las cumplimos. Un estudio del pasado mes de Sophos los confirma: de 676 internautas encuestados, el 33% emplean la misma contraseña para todos sus accesos web.

Obama cometió el error de usar un servicio, Twitter, donde una de sus técnicos tenía una contraseña muy débil: felicidad. Un estudiante de 18 años pudo romperla en pocas horas desde su ordenador personal e invitó a sus amigos a tomar el control de Twitter. Manipularon las cuentas de Obama y Britney Spears, y mandaron mensajes en su nombre.

Fue también un error común el de Paris Hilton y la gobernadora de Alaska, Sarah Palin: las preguntas de seguridad que escogieron para recuperar las contraseñas de su correo, en T-Mobile y Yahoo! respectivamente, eran tan fáciles que con una búsqueda en Google se hallaba la respuesta. Entraron en sus cuentas y divulgaron sus mensajes y fotografías.

El resto de los mortales no son más cuidadosos. El virus gusano Conflicker consiguió infectar más de nueve millones de ordenadores a finales de 2008 debido a que sus propietarios tenían contraseñas muy débiles.

Un reciente estudio de la consultora norteamericana Errata Security basado en 28.000 contraseñas de los clientes de un sitio web estadounidense desvela que la opción mayoritaria es usar el propio nombre o de familiares (16%), secuencias como 1234 (14%), títulos de series o películas (5%), la palabra password (4%) y otras como Whatever (lo que sea), Iloveyou (te quiero) o Yes (sí).

Esta desidia se ve año tras año en estudios parecidos. Shannon Riley citaba en 2006 investigaciones que se remontaban hasta 1995 para documentar la misma actitud: "Los usuarios siguen prácticas muy simples y predecibles a la hora de crear sus contraseñas, usan nombres o fechas fáciles de recordar o palabras comunes".

El estudio de Riley, basado en entrevistas a 300 estudiantes de la Universidad de Wichita (EE UU), mostraba que la mayoría de la gente usaba contraseñas en minúsculas, de menos de siete caracteres, y que jamás habían actualizado. La mitad tenían sólo una que utilizaban para todo. Las más comunes eran, entonces como hoy, nombres de mascotas, nombres de hijos, calles, números de teléfono y fechas de nacimiento o de bodas.

Ni el tiempo ni la geografía cambian los malos hábitos. El análisis de un archivo de 5.000 contraseñas del sitio Portal Latino, que fue robado en 2006 y hecho público en Internet, enseña que los españoles usan también el propio nombre o de familiares, secuencias numéricas, palabras comunes (macarrones, princesa), frases fáciles (nadaserio, putamadre) y referencias de música y cine (micasa, lalala). Siempre en minúsculas.

La conservación segura de estas contraseñas se toma igualmente a la ligera, como demuestra una encuesta que Infosecurity Europe realiza anualmente en el metro de Londres. En su primera edición, en 2002, dos de cada tres oficinistas accedieron a revelar sus contraseñas a cambio de nada. El año pasado la proporción fue la misma, pero a cambio del sorteo de un viaje a París.

Despreocupación

Proteger nuestras contraseñas de ojos indiscretos, renovarlas periódicamente o no usar palabras que aparezcan en diccionarios, ya que serán las primeras que probará un programa crackeador de contraseñas, parecen ser normas desconocidas de forma generalizada. Pero este desconocimiento no es tal.

Según Shannon Riley, la mayoría de encuestados conocía las normas, pero no las aplicaba: "El 51% sabe que debe combinar números, signos y letras, pero sólo el 5% lo hace. El 64% sabe que debe usar más de siete caracteres, pero sólo el 36% lo hace. El 71% sabe que no debe usar nombres que se puedan relacionar con ellos, pero el 50% lo sigue haciendo".

El experto en seguridad Chema Alonso, de Informática 64, lo achaca a diversas razones: "Las contraseñas complejas son difíciles de recordar. Si además hay que cambiarlas cada cierto tiempo, el trabajo de memorizar se complica. Por otra parte, son difíciles de teclear y no hay cosa que dé más rabia que equivocarte 10 veces metiendo la contraseña". A eso se añade, explica, que "hasta que no pasa algo, la gente no se da cuenta de su importancia".

La coach personal Silvia Pallerola coincide: "Vivimos en una sociedad con tantas prisas que no da tiempo de pensar en lo que podría pasar, ni queremos complicarnos la vida". Esta actitud se acentúa en el mundo de la informática: "Nos abruman con responsabilidades que no entendemos y sólo queremos algo fácil porque, si escojo una contraseña complicada, la tendré que apuntar en un papel y quizá me lo roben, con lo que me da igual".

Alonso destaca también la inflación de servicios que requieren contraseñas: "Entre que me levanto y me lavo los dientes he introducido más de 20: el correo, el Messenger, el Facebook, la cuenta de la empresa... Tengo que recordar un montón de letras y teclear más de 350 veces en el orden correcto para hacer mis cosas. ¿Es o no es un fastidio?".

Las cookies sirven para no tener que recordar algunas y también los nuevos servicios de identificador único, que permiten acceder a múltiples redes sociales desde una misma web, sin teclear cada vez la contraseña. El servicio identificador las guarda y da al internauta una única credencial para todo. Destacan en este campo OpenID, Facebook Connect y Friend Connect, de Google.

Mientras estos servicios mejoran, la solución para no crear contraseñas facilonas la dan decenas de programas y webs que las generan gratuitamente; pero al mismo tiempo evolucionan los programas para romperlas. Un nuevo sistema con tarjetas gráficas analiza contraseñas a velocidad de vértigo: 1.000 millones por segundo, frente a las 200 por segundo de los ordenadores. Romper las contraseñas difíciles es cada vez más fácil.

Trucos para recordar el 'password'

1. Dales ritmo: utiliza las primeras letras de un par de frases fáciles recordar, como (1Esbsltd1A) que significa (1 Elefante se balanceaba sobre la tela de 1 Araña).

2. Pon frases en vez de palabras: deben ser frases poco comunes, como la primera de un libro que te haya gustado, añadiendo mayúsculas, números y signos. "En un lugar de la Mancha" podría dar la contraseña: E1ldlM$$$.

3. Usa el teclado: dibuja líneas imaginarias en el teclado, como TgbyhN01. No uses pautas obvias como qwerty.

4. Juega con los números que parecen letras: A es como 4. S es como 5. I es como 1. 0 es como O. La contraseña puede ser: M4r1p054.

5. Usa pautas: utiliza la misma raíz en todas tus contraseñas. Por ejemplo, para el banco: 5mnb&banco. Para el correo: 5mnb&correo.

6. No cambies nunca tus contraseñas en viernes por la tarde. Te será difícil recordarlas el lunes.

7. No pongas información personal. Cuando te inscribas en un servicio y su sistema de recuperación de contraseñas te proponga diversas preguntas cuyas respuestas verificarán tu identidad, da respuestas falsas y apúntatelas por si el servicio te las pide otra vez.

No hay comentarios: