En:

login-username-password

La pregunta que siempre nos hacemos a la hora de registrarnos en cualquier sitio web es la misma: ¿Qué contraseña ponemos? Sabemos que lo ideal es tener una para cada servicio, que sea larga y que mezcle caracteres y números, pero ¿realmente es suficiente? ¿Son nuestras contraseñas seguras?La respuesta es probablemente no.

La regla de los 8 caracteres es conocida por mucha gente. Simplemente crea una contraseña de ocho caracteres que incluya números y al menos un símbolo, y estas seguro. Al fin y al cabo, con esa configuración es posible crear 6.1 cuatrillones de posibilidades distintas, e incluso al ordenador mas rápido le llevaría mucho tiempo pasar por todas ellas hasta que encontrase la apropiada. Sin embargo, esta regla no tiene en cuenta al eslabón de la cadena mas débil: el ser humano.

Sí, en teoría una contraseña así de larga y con caracteres extraños es muy segura, pero en la realidad solemos tirar hacia lo conocido. Es muy raro que usemos una contraseña para cada servicio, por lo que un atacante puede obtener de golpe el acceso a varias cuentas si consigue hackear la de seguridad mas débil. El usuario medio tiene cuenta en mas de veinte servicios, pero solo usa cinco contraseñas distintas.

Y tampoco es que sean muy seguras. Las 1000 contraseñas mas usadas sirven para iniciar sesión en el 98.1% de las cuentas abiertas. Y 1000 es un número muy inferior a 6.1 cuatrillones. Si un hacker prueba primero esas mil, es muy probable que consiga acceso en unos segundos.

Por eso, no es tan importante la longitud o los caracteres utilizados, como que la contraseña sea única. En ese sentido los seres humanos tenemos desventaja, ya que nos cuesta memorizar algo mas que 7 números en nuestra memoria de corto plazo. Por eso puede venir bien algún programa que guarde nuestras contraseñas encriptadas, pero eso de poco serviría si la contraseña usada para la encriptación es sencilla, o si las repetimos en varios servicios. Al final, los auténticos objetivos de muchos hackers no son los ordenadores, sino las personas que los utilizan.

Fuente | The Wall Street Journal

  • Dave Munthier

    ¿Y quién sabe cuáles son las contraseñas de las cuentas? ¿Por qué alguien tiene acceso a ellas? A mi nadie me ha pedido permiso ni avisado de que mis contraseñas se ceden a estudios, aunque sea de forma anónima.

    Luego nos escandalizamos de que Google registra nuestras búsquedas anteriores para darnos mejores resultados, pero esto… ¿a nadie le parece mal?

    • Dex

      Probablemente no ha sido mediante alguien que tiene acceso a tus contraseñas, sino montando un programa/script que vaya probando una serie de contraseñas (las “comunes”, sacadas simplemente por ir probando o por lógica) en varios servicios, y ver cuales son las que se repiten más
      Es un script bastante sencillo de montar en muchísimas webs, por suerte/desgracia (según desde el punto de vista de quien lo mires)

      Una buena defensa de una web es simplemente poner un tope de intentos por contraseña fallida
      Con eso anulas la eficacia de esos scripts

  • Bxo

    “Al final, los auténticos objetivos de muchos hackers no son los ordenadores, sino las personas que los utilizan”
    ingeniera social por ejemplo

  • Leonardo C

    Kali linux ya te viene con una carpeta con las 10000 contraseñas mas usadas para hackear casi cualquier perfil, incluso de de móviles.