¿Quieres que tu cuenta sea accedida en el primer intento del atacante? Usa como contraseña cualquiera de las siguientes: “password”, “123456”, o “12345678”. Si pensaste en ellas y las usas, no eres el único. Que te sirva de consuelo que son las tres contraseñas más utilizadas en Internet, en ese orden. La cuarta y quinta contraseñas más utilizadas son “abc123” y “qwerty”.
El mes pasado, SplashData, proveedor de soluciones para la gestión de contraseñas, publicó su lista anual de las 25 peores contraseñas en 2012. Si utilizas alguna de ellas, tu identidad -y cuentas comerciales o de finanzas en linea- están en riesgo.
Ahora bien, si la contraseña que usas no está en la lista entonces ya estás un paso adelante en la protección de tu cuenta. Pero, ¿qué tan fuerte es la contraseña que usas? De cuántos caracteres se compone y de qué tipo, cada cuándo la cambias, la usas en todas tus cuentas? Estas son, entre otras, algunas preguntas que debes hacerte para determinar cuán segura lo es, y con ello tu identidad y por supuesto tus cuentas personales en Internet para compras y finanzas.
La capacidad de cómputo sigue evolucionando y con ella la velocidad para el rompimiento de las contraseñas. Además el uso de botnets por los cibercriminales permiten disminuir el tiempo de dicho rompimiento. En julio pasado, Thycotic publicó un reporte sobre la complejidad de las contraseñas, en el que determina los siguientes tiempos para el rompimiento de las contraseñas, considerando el uso de una computadora con al menos core 8 y 2.8 GHz, o una botnet de 100,000 computadoras como la mencionada o una supercomputadora con dicha capacidad:
Cararacteristicas de la contraseña | Tiempo de rompimiento | |
Computadora | Botnet o Supercomputadora | |
De 9 caracteres, sólo números (p. ej. “123456789”) |
14.17 min | 0.0085 seg |
De 8 caracteres, sólo letras minúsculas (p. ej. “caracter”) | 2 días | 1.8 seg |
De 8 caracteres, combinación de letras minúsculas y mayúsculas (p. ej. “blUeFisH”) |
1.44 años | 7.6 min |
De 8 caracteres, combinación de letras minúsculas y mayúsculas, y números (p. ej. “r3Dcr0W5”) | 5.88 años | 31 min |
De 8 caracteres, combinación de letras minúsculas y mayúsculas, números y símbolos (p. ej. “%ZBGbv]8”) |
45.2 años | 4 horas |
Si bien es poco creíble que un atacante o grupo de atacantes posea una supercomputadora de las modernas, que pueden ser hasta 150 mil veces más rápidas que una de escritorio, lo que sí es creíble es la capacidad que tienen para formar botnets o redes de PCs zombies.
Combinar letras y números ya no es suficiente. Ahora hay que agregar caracteres especiales, incluido el espacio en blanco. Una contraseña de 10 caracteres con estas características (combinación de letras minúsculas y mayúsculas, números y símbolos) tardaría en ser descubierta 289,217 años en una computadora como la especificada para la tabla de arriba o 3 años en una supercomputadora o botnet.
Como siempre, la recomendación trillada de usar contraseñas fuertes, ahora de 10 caracteres al menos, no usar la misma contraseña en varias cuentas y cambiarlas periódicamente. Apóyate con software especializado para la gestión de contraseñas, algunas permiten generarlas aleatoriamente y con las características ya mencionadas.