Cómo gestionar contraseñas seguras

La seguridad de nuestra información y privacidad depende de las contraseñas que utilicemos en nuestros servicios y aplicaciones. Por ello, es fundamental gestionar contraseñas seguras.

Las contraseñas son las llaves que dan acceso a nuestra información personal y servicios, por lo que si alguien las descubre, puede suplantar nuestra identidad operando y publicando en nuestro nombre en redes sociales, leer y contestar a correos electrónicos, acceder a nuestra banca online, utilizar nuestra identidad haciendo estafas, etc.

El problema llega cuando creamos cuentas en decenas de servicios en Internet y nos toca recordar el usuario y la contraseña para cada uno. Entonces, ¿cómo gestionar una gran cantidad de contraseñas diferentes y, además, seguras?   Para eso, hay varias opciones:

Algoritmo propio

Generador de contraseñas aleatorias

Gestor de contraseñas

letras blancas tamaños 14

1.- Introducción  a  las  contraseñas

La contraseña es la llave de acceso a muchos servicios en Internet, por lo tanto, el primer objetivo es crear una contraseña que sea, lo suficientemente robusta, como para evitar problemas de seguridad.

¿Qué es una contraseña?

Una contraseña es una combinación de caracteres que nos sirve para acceder a un determinado servicio y verificar nuestra identidad puesto que, teóricamente, la contraseña es algo de carácter personal e intransferible.

¿Qué es una contraseña débil?

Una contraseña es débil cuando es  vulnerable, susceptible de ser averiguada sin un esfuerzo muy grande por cualquiera. En este grupo podríamos incluir las contraseñas generadas por defecto de los dispositivos.

¿Qué es una contraseña robusta o segura?

Una contraseña robusta o segura es una cadena larga de caracteres que, o bien se ha generado al azar, o solamente el propio usuario es capaz de averiguarla. En el caso de que alguien intente averiguarla necesitará mucho tiempo y recursos para hacerlo.

2.- INFOGRAFIA Cómo  gestionar  contraseñas  seguras

(imagen: con doble clic/tocar imagen, zoom en ventana nueva  navegador)

3.- Consejos  básicos  para  gestionar  contraseñas  seguras

Es importante no descuidar la configuración de las contraseñas. A continuación, vamos a ver algunos consejos básicos:

No usar contraseñas de longitud menor de 8 caracteres

Usa contraseñas largas (12 caracteres es suficiente para que un ataque por ‘fuerza bruta’ sea prácticamente imposible, ni en unos cuantos años), y, sobre todo, palabras que no sean comunes.

Utilizar combinaciones de mayúsculas, minúsculas, números, letras. También  símbolos y caracteres especiales  (si lo  permiten)

No usar combinaciones fáciles con las letras del teclado (qwerty,1234567) o palabras muy comunes

La contraseña  más repetida por los usuarios es “123456”, seguida de  “password”. Otros ejemplos son: welcome, qwerty, login, monkey, passw0rd.

No usar la misma contraseña para todo         

Reutilizar tus contraseñas entraña un riesgo y, si la descubren, no sólo podrán acceder a un servicio, sino también a todos los demás. 

No revelar jamás la contraseña

Es conveniente guardar esa información en un sitio seguro y no revelarla a nadie.

No compartir tus contraseñas con nadie

Por ejemplo, hay usuarios que comparten sus contraseñas con su pareja sentimental. Aunque tengamos confianza con cualquier persona, compartir nuestra contraseña puede suponer, en muchas ocasiones, el acceso directo a nuestros datos bancarios, personales, o nuestra imagen en una red social.

Evitar las palabras del diccionario

Por ejemplo: ‘TortillaDePatata’, es una contraseña larga pero con tres palabras sencillas de averiguar con un  tipo de ‘ataque de diccionario’ que se basa en probar con todas las palabras que están incluídas en el diccionario.

No mantener las contraseñas por defecto del dispositivo
Los router, por ejemplo, vienen configurados con una contraseña por defecto. Este tipo de contraseñas, las que vienen configuradas en un router por defecto, están almacenadas en repositorios accesibles fácilmente. 

Los llamados “ataques de repositorio” se valen de este tipo de bases de datos para, conociendo el SSID, localizar fácilmente la clave correspondiente. Así que si mantienes la contraseña original, fácilmente podrán acceder a la configuración.

Evitar emplear la información de tipo personal

No utilizar tus datos personales, fechas especiales, número de teléfono, nombres de familiares, etc. Es posible que alguien que sí te conozca bien: familiar, amigo, colega descubra tu contraseña.

Cambiar las contraseñas periódicamente

Aunque tú no lo hayas detectado, alguien podría haber descubierto tu contraseña y estar accediendo sin que tú lo sepas. Es recomendable que modifiques, de forma periódica, la contraseña de los servicios que utilices habitualmente.

4.- ¿Cómo  se   protegen  mis  contraseñas  en  los  servidores?

Ninguno de los consejos que te acabo de dar servirá para nada si las contraseñas no están bien protegidas en los servidores en los que nos registramos. Cuando les damos nuestra contraseña, ésta se almacena en sus Bases de Datos.

[bctt tweet="La seguridad de las contraseñas dependerá del nivel de seguridad del servidor." username="rosapanos"]

• Una primera opción es que la almacenen en texto plano:

El almacenamiento en texto plano (extensión .txt) es la opción más vulnerable.

• La siguiente opción más segura es por hash, normalmente .MD5: 

MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) El MD5 es, simplificando, como una huella digital. De esta forma,  el servidor no almacena la contraseña, sino su huella digital.  Así, si alguien ataca al servidor no podrá ver tu contraseña, sino una huella imposible (teóricamente) de revertir. Es decir, uno de sus usos es el de comprobar que algún archivo no haya sido modificado.

• La opción más segura es utilizar Gestores de contraseñas: 

En estos servicios las contraseñas se almacenan, (cifradas y generadas aleatoriamente, y, en algún caso, con datos adicionales de seguridad), usando nuestra ‘contraseña maestra’ . Así, nadie más que nosotros puede leerlas.

Podemos crear contraseñas muy seguras sin que haga falta que nos acordemos de todas ellas: ya lo hace el gestor de contraseñas por nosotros.

5.- Algoritmo  propio  para  crear  contraseñas seguras

Podemos crear un algoritmo para nuestra ‘contraseña segura’ del que nos podamos acordar fácilmente, y sin complicarnos demasiado la vida. Tiene el inconveniente de ser un método ‘fijo’ para todas/algunas cuentas de usuario.

Proceso de algoritmo propio para generar contraseñas (Ejemplos)

• 1

Elegir una frase, refrán o cita célebre fácil de recordar: 

'Por las mañanas me levanto con hambre de lobo'

'Hagas lo que hagas, hazlo bien' Abraham Lincoln (1808-1865) Político estadounidense

• En el apartado de 'Fuentes y Referencias' de este artículo puedes consultar los enlaces de sitios web para más ideas

• 2

A.- Elegir la letra inicial de cada palabra. Con esto ya tenemos una base.

‘Por las mañanas me levanto con hambre de lobo’ = Plmmlchdl

B.-  Elegir la primera silaba de cada palabra

En el ejemplo “Hagas lo que hagas, hazlo bien” = Haloquehahazbi

C.- En la frase elegida también puedes cambiar las vocales por números o caracteres especiales.

 Por ejemplo:  “Mi carro me lo robaron” -> m1c4rr0m3l0r0b4r0n*

• 3

Añade un número y caracteres especiales

Añade tu número de la suerte, el mes actual, o el año actual, etc.

Añade, por ejemplo, un guión (-) cuando el número sea par y, si el número es impar, añadimos el símbolo (+)

En el primer ejemplo: Plmmlchdl-10

• 4

Añadir el nombre del servicio (o la inicial) en mayúsculas para que la contraseña sea distinta para cada sitio:  Plmmlchdl10-GMAIL

Para actualizaciones periódicas: puedes añadir el número del mes y/o año actuales al final de la contraseña.

Éstas son sólo algunas ideas para que tú mismo puedas crear tu propio algoritmo. Seguro que se te ocurren más. La cuestión es usar un método fácil de recordar para nosotros y que no sea demasiado sencillo para que lo averigüe cualquiera.

[bctt tweet="No nos sirve de nada crear una contraseña segura si no nos acordamos de ella" username="rosapanos"]

6.- Servicios  web  generadores  de  contraseñas  aleatorias

Servicios que mediante su algoritmo crean contraseñas sumamente seguras difíciles de descifrar o adivinar. Para su diseño se puede seleccionar entre varias criterios. Cuantas más opciones se elijan, más seguras serán las contraseñas.

Una opción puede ser usar estas contraseñas aleatorias por sí mismas en los sitios web.

Otra segunda opción es usarlas como 'contraseña maestra' en un servicio gestor de contraseñas.

Otra tercera opción puede ser utilizar este método para las principales redes sociales: Facebook, Twitter, correo electrónico, Linkedin, etc. Posteriormente, emplearlas en sitios web donde puedas registrarte mediante esas cuentas de redes sociales (ya con contraseña segura).

6.1.- VIDEOTUTORIAL:  Servicios  web  generadores  de  contraseñas  aleatorias

6.2.- Servicio  Generate Password

El servicio Generate Password (enlace) es un generador  de  'contraseñas pronunciables' que son igualmente seguras pero más fáciles de recordar.

Genera dos contraseñas: una fuerte, completamente aleatoria, y otra pronunciable, que nos servirá para acordarnos de la contraseña sin comprometer la seguridad.

Al entrar, ya tienes generadas unas contraseñas aleatorias. Para realizar un nuevo cálculo sólo hay que hacer clic en el botón de 'Generar nuevas contraseñas'.

Está disponible en multitud de idiomas (ver las banderas en la parte inferior)

6.3.- Servicio  New-Password-Generator

El servicio New Password Generator (enlace) en del mismo estilo de claves pronunciables que el anterior.

Permite crear dos tipos de contraseña, en la parte izquierda vamos a ver la contraseña ‘pronunciable’ que es una combinación entre letras y números que es completamente aleatoria. Permite elegir:

• Elegir el número de letras
• Elegir el número de dígitos
• Elegir si los dígitos van al principio de la contraseña (más a la izquierda)

En la parte derecha,  una contraseña más fuerte  segura y más aleatoria:

• Elegir el tamaño de la contraseña
• Elegir el uso (o no) de letras minúsculas
• Elegir el uso (o no) de letras mayúsculas
• Utilizar (o no) números
• Utilizar (o no) símbolos

(imagen: con doble clic/tocar imagen, zoom en ventana nueva  navegador)

6.4.- Servicio  Norton Identity Safe

Norton Identity Safe  ya no ofrece este servicio gratis.

7.- Gestores  de  contraseñas

Otra opción es dejar que los gestores de contraseñas nos hagan el trabajo: ellos generan contraseñas aleatorias y las recuerdan por nosotros. Simplemente hay que recordar la ‘contraseña maestra’ que da acceso a nuestras cuentas.

Esta ‘contraseña maestra’ debe ser una contraseña compleja y segura, pero que todavía podamos recordar o calcular.

Algunos gestores de contraseñas pueden generar contraseñas muy seguras, es decir que tienen muchos caracteres, incluyen combinaciones de letras, números y caracteres especiales (en caso de que el sitio web las acepte).

Con ello, intentan construir palabras carentes de sentido para establecer una contraseña única para cada sitio. Con esto, el usuario se evita emplear patrones que pueden volver sus contraseñas predecibles, o bien el utilizar una misma contraseña para todo.

Las contraseñas se almacenan en una Base de Datos cifrada usando nuestra 'contraseña maestra' (y, en algún caso, datos adicionales), de tal forma que nadie más que nosotros puede leerlas.

Permiten iniciar sesión de forma automática: como no hay que recordar contraseñas, también te puedes olvidar de rellenar otra información a la hora de entrar en los sitios web.

El gestor reconocerá que has llegado a un sitio y buscará en la Base de Datos cuál es el nombre de usuario y contraseña que debes usar ahí. Luego, rellenará los formularios de forma automática.

8.- LastPass,  gestor  de  contraseñas  seguras

LastPass (enlace) es uno de los más conocidos y utilizados gestores de contraseñas seguras que puede organizar, clasificar y administrar las contraseñas guardadas en su ‘bóveda de seguridad’. 

Características principales de LastPass

• 1

Contraseña maestra

Puedes organizar, clasificar y administrar las contraseñas guardadas a partir de tu correo electrónico y tu contraseña maestra segura. Tiene la posibilidad de introducir nuestra contraseña a través de un teclado en pantalla y así despistar a los espías y keyloggers. 

• 2

Sincronización entre navegadores

LastPass es, a la vez, un servicio en línea y una extensión que se ejecuta localmente en tu navegador para proporcionar el servicio. Ofrece sincronización entre los principales navegadores: Firefox, Chrome, Safari, IE y Opera.

• 3

Generación de contraseñas aleatorias seguras

LastPass dispone de un generador de contraseñas aleatorias que te permite crearlas con tantos caracteres como quieras, con mayúsculas, símbolos y números.

• 4

Acceso desde cualquier dispositivo

LastPass es multiplataforma, funcionando sobre PC (Windows, Mac OSX, Linux). En móviles y tabletas  (Android, iOS, Windows Phone) para la versión Premium. También tiene una versión portátil.

• 5

Ofrece varias versiones: Personal (Free, Premium, Familias) y Empresarial (Teams, Enterprise).

La versión GRATUITA tiene sincronizacion para dispositivos del mismo tipo (si usas PC de sobremesa sí sincroniza entre Windows, Mac OSX y Linux). Pero para sincronizar con dispositivos de distinto tipo (PC con móviles) y usar más funcionalidades, debes contratar la versión de pago.

Su versión gratuita funciona muy bien tanto en las versiones de ordenador como en los complementos para navegador, pero si deseas probar sus versiones para móviles y más funcionalidades, debes usar una versión de pago.

• 6

Modernos algoritmos de encriptación

Los datos del usuario se cifran y descifran a nivel de dispositivo. La contraseña maestra y las contraseñas en la bóveda se mantienen en secreto, incluso de LastPass.

Utilizan los mejores: bit de encriptación AES-256 con PBKDF2 SHA-256 y hashes para garantizar la seguridad completa en la nube.

• 7

Rellenar formularios automáticamente

Puedes rellenar la información de tus formularios en sitios web de forma automática usando distintos perfiles que definidos en LastPass.

• 8

Notas Seguras

Permite guardar textos y notas de forma segura en su 'bóveda de seguridad'.

• 9

Acceso de emergencia

Con la función de 'acceso de emergencia', se puede dar a la familia y amigos de confianza para acceder a su cuenta de LastPass en caso de una emergencia o crisis. Su contacto 'acceso de emergencia' designado (s) puede solicitar el acceso a su cuenta de forma segura y recibir las contraseñas y notas sin conocer su contraseña maestra. 

• 10

Importación y Exportación de contraseñas

Provee funciones de importación desde una gran cantidad de servicios y formatos, pero la exportación sólo se realiza a un archivo CSV (Comma-Separated Values)

• 11

Contraseñas de un solo uso 

Un sistema de contraseñas de ‘usar y tirar’ permite designar una o más contraseñas para ser de un solo uso. De esta manera, el usuario puede acceder a su gestor de contraseñas una vez, incluso si el sistema utilizado está comprometido, debido a que la contraseña no va a servir para otra ocasión.

• 12

Autenticación en dos pasos 

Dispone de servicios de  autenticación en dos pasos  para incrementar la seguridad, que añade además de la contraseña,  un segundo paso de seguridad que suele ser un código enviado al móvil.

• 13

Versión 'LastPass portátil'

Para los usuarios de Windows, Mac, y Linux (Firefox Sólo-portátil) hay una versión de LastPass que es compatible con el navegador Firefox Portátil (Firefox 2.0+) (enlace) Y Chrome Portátil  (enlace) (Chrome 18+, Windows y Linux solamente) que se pueden instalar en su unidad flash USB.

Si utilizas con frecuencia los ordenadores públicos o en los que no confías, la opción Portátil es una forma ideal para acceder de forma segura a tu 'bóveda de LastPass'.

• 14

‘LastPass Bolsillo’: versión para USB

‘LastPass bolsillo’ es una aplicación independiente (disponible para Windows y Linux) que se puede instalar en el PC de escritorio como una opción no-navegador. O se puede  instalar en un dispositivo de memoria USB, Así puedes llevar tus datos de LastPass contigo. Esta versión proporciona la capacidad de copia de seguridad y acceso sin conexión. 

Si deseas una versión móvil de LastPass con funcionalidad completa, te recomiendan ‘LastPass Portátil ‘.

Consultar enlace: helpdesk-lasstpas  

9.- Ahora  tú

Crea una (o varias) contraseñas  seguras con alguno de los tres métodos que hemos visto: algoritmo propio, generación de contraseñas aleatorias o con un gestor de contraseñas como LassPast.

10.- Fuentes  y  Referencias

• 

  Proverbia (enlace)

• 

  Frases Célebres (enlace)

• 

  Generate Password (enlace)

• 

  New-Password-Generator (enlace)

• 

  LastPass (enlace)

  Soporte Ayuda  (enlace)

imagen destacada by Rosa Paños Sanchis

¿Cuál o cuáles de los métodos para las contraseñas utilizas? 

¿Tus contraseñas 'en la nube' o no te fìas? 

Déjanos  tus comentarios ...