¿Qué tan bien recuerda sus contraseñas? Si usted es como la mayoría, seguramente se le suelen olvidan las contraseñas. Es posible que usted haya caído en la práctica de usar la misma contraseña para diferentes cuentas, o de crear contraseñas poco seguras.
En este artículo, analizaremos 11 prácticas recomendadas de contraseñas que puede comenzar a implementar ahora mismo, no solo para crear contraseñas más seguras, sino también para recordarlas con más facilidad y mantenerlas seguras.
Primero, acabe con los malos hábitos
Los humanos, en general, somos criaturas de hábitos. Desafortunadamente, esto hábitos suelen ser malos. Y cuando estos malos hábitos se refieren a las contraseñas, pueden comprometer drásticamente su seguridad en línea.
Muchos de nosotros hemos incurrido en alguno (si no es que en todos) de estos 5 malos hábitos de contraseñas:
- Reutilizar contraseñas
- No actualizar sus contraseñas
- Usar contraseñas cortas
- Almacenar sus contraseñas en el navegador
- Compartir contraseñas
Le recomendamos que deje de hacer esto hoy mismo. En su lugar, le ofrecemos 11 prácticas recomendadas de contraseñas que le serán de gran utilidad:
11 prácticas recomendadas de contraseñas para aplicar hoy mismo
1. Use contraseñas más largas
Si bien una contraseña de 5 caracteres puede ser más fácil de recordar, también es mucho más fácil de descifrar que una contraseña de más de 10 caracteres.
Según las directrices del Instituto Nacional de Estándares y Tecnologías (NIST), la longitud mínima para las contraseñas generadas por los usuarios debería ser de 8 caracteres, aunque incluso esto podría resultar demasiado corto, dependiendo de qué es lo que se está protegiendo y quién está intentando descifrarlo.
Por ejemplo, los especialistas en penetración de LMG Security lograron descifrar cualquier hash de contraseña de Administrador de LAN de Microsoft NT de 8 caracteres en menos de 8 horas, mientras que les habría tomado unos 8 años para 10 caracteres, 77.000 años para 12 caracteres, 710,5 millones de años para 14 caracteres, y la friolera de 6,5 billones de años para una contraseña de 16 caracteres.
2. Haga que sus contraseñas sean más complejas
Por supuesto, si su contraseña solamente contiene un tipo de carácter, como letras minúsculas, seguirá siendo vulnerable ante un simple ataque de diccionario.
Aquí la solución es no basarse exclusivamente en letras, sino también hacer más complejas sus contraseñas usando una combinación de mayúsculas y minúsculas, números y caracteres especiales.
Por ejemplo, puede tomar una palabra como “contraseña”, que solo tiene 8 caracteres, de modo que se ajuste a las directrices de NIST, y reemplazar algunas de las letras con otros símbolos como este: “P@55w0rd”. Entonces tendrá mayúsculas (P), símbolos especiales (@), números (55 y 0) y minúsculas (r y d), que deberían hacer que la contraseña sea más difícil de descifrar.
3. Actualice sus contraseñas
Con suficiente tiempo y recursos, cualquier contraseña se puede descifrar.
En vista de esto, la seguridad de las contraseñas se suele convertir en un “juego” en el usted necesita estar constantemente un paso por delante del hacker, lo que implica cambiar sus contraseñas de vez en cuando.
Durante mucho tiempo, la frecuencia recomendada para los cambios de contraseña fue de 1 a 3 meses. Esto, sin embargo, crea un problema adicional. Mientras más se le solicite al usuario que cambie su contraseña o la actualice, más probable será que simplemente usen la misma, solo que con algunos cambios. En última instancia, esto no resuelve nada.
NordPass, por ejemplo, recomienda cambiar sus contraseñas cada año, afirmando lo siguiente:
Por último, sí existe un período de tiempo aceptable después del cual debe cambiar su contraseña: un año, aproximadamente. Es una buena cantidad de tiempo, que brinda un equilibrio entre ser lo suficientemente corto como para que usted no se sienta presionado a crear una nueva contraseña (y por tanto hacerlo de mala manera) y lo suficientemente largo como para que usted pueda considerar que la seguridad de su cuenta podría estar en riesgo, especialmente ante cosas como los ataques de ransomware o pharming.
4. No reutilizar contraseñas
Un estudio conjunto del 2019, realizado por Google y Harris Poll, reveló lo común que es la práctica de reutilizar contraseñas.
Según el estudio, el 52% de los 3000 encuestados en los EE. UU. (entre 16 y más de 50 años) afirmaron que reutilizan contraseñas en varias (pero no en todas) sus cuentas, el 35% usa una contraseña diferente cada vez, y el 13% reutilizan la misma contraseña en todas sus cuentas.
Incluso en caso de que esté reutilizando la contraseña en solo dos cuentas, esto duplica las posibilidades de terminar bajo control del atacante si cualquiera de las dos cuentas resulta comprometida después de una filtración de datos.
Todas sus cuentas deben tener una contraseña única para mitigar la amenaza de que una filtración de datos en una de sus cuentas afecte a las demás.
5. Use autenticación de dos factores (2FA)
Basarse en contraseñas como la única medida de seguridad para la cuenta no es suficiente, porque incluso la mejor contraseña se puede descifrar, filtrar o adivinar.
Es aquí donde entra la autenticación de dos factores, o 2FA.
La 2FA crea un método de verificación adicional encima de la contraseña. Esto puede ser un token, mensaje de SMS, escaneo de huellas digitales u otra cosa que el usuario reciba en otro de sus dispositivos. Así, la lógica es que incluso si alguien logra obtener su contraseña, no podrían hacer gran cosa sin conocer el segundo método de verificación.
6. No permita que el navegador guarde sus contraseñas
Si está visitando una página web por vez primera y creando una contraseña, su navegador le pedirá autorización para almacenar su contraseña.
Si bien esto suena bien en teoría, no lo es realmente. Para las empresas que desarrollan navegadores, como Google o Mozilla, el enfoque principal no es la seguridad de sus clientes, sino la usabilidad y el obtener más clientes. Es por eso que sus contraseñas no estarán seguras con ellos.
No se preocupe por tener que recordar todas sus contraseñas. La siguiente práctica recomendada es la solución.
7. Use un gestor de contraseñas para estar al tanto y almacenar sus contraseñas
Un estudio del 2020 realizado por NordPass reveló que la persona promedio tiene 100 contraseñas.
Naturalmente, recordar todas estas contraseñas sería increíblemente difícil, lo que implicaría olvidar contraseñas con mucha frecuencia y recurrir a repetir las contraseñas.
Un estudio de HYPR del 2019 halló que el 78% de las personas tuvieron que restablecer una contraseña que no pudieron recordar en los últimos tres meses.
Afortunadamente, existe una solución sencilla para almacenar contraseñas de manera segura y garantizar que nunca se le olviden: los gestores de contraseñas, como NordPass, que ya hemos mencionado.
Sin embargo, no hay que depender demasiado de los gestores de contraseñas, porque pueden ser vulnerables a filtraciones de datos. Por ejemplo, esto ocurrió con LastPass en 2015.
8. Aleatorice sus contraseñas
Tomar una palabra común y después reemplazar las letras con otros símbolos hará que su contraseña sea más difícil de descifrar, pero hay una práctica recomendada todavía mejor.
Usar un generador de contraseñas.
Todos los gestores de contraseñas incluyen un generador que puede usar para crear contraseñas seguras y aleatorias.
Por ejemplo, en el Generador de Contraseñas de LastPass, usted puede configurar la longitud de la contraseña para que tenga hasta 50 caracteres, usar mayúsculas, minúsculas, números y símbolos, o elegir una contraseña que sea fácil de decir (evitando números y caracteres especiales), fácil de leer (evitando caracteres que se puedan confundir entre sí, como el número 0 y la letra O, o usar todos los caracteres.
9. Compruebe la seguridad de sus credenciales
Con frecuencia, lo que nos parece una contraseña segura resulta no ser tan segura en realidad.
Es por esto por lo que necesita comprobar la fuerza relativa de su contraseña de vez en cuando. Una herramienta que puede usar para esto es el comprobador de contraseñas de Kaspersky.
Lo único que necesita hacer aquí es introducir su contraseña en el campo y el comprobador le dirá cuán segura (o no) es su contraseña.
Otra herramienta que puede usar para comprobar la seguridad de su cuenta es Have I been Pwned Esta página le permite ingresar su dirección de correo electrónico para ver si aparece en alguna filtración de datos.
10. Contraseñas con “sal” y “hash”
Otra práctica recomendada por el NIST es usar lo que se conoce como “sal” y aplicar una función hash.
En el primer caso, se le añade una cadena de caracteres aleatorios a la contraseña (esto se llama “sal”, o “salt” en inglés), antes de hashear la contraseña. Esto añade una capa de seguridad adicional a la contraseña, y hace imposible para un hacker el descifrar la contraseña con tan solo revertir el hash.
11. Limitar los intentos de introducir la contraseña
La gente suele escribir mal sus contraseñas, pero no tendría sentido que una página web les dejara sin acceso a su cuenta después del primer intento fallido.
Sin embargo, tampoco deberían darle a un potencial hacker demasiadas oportunidades de descifrar una contraseña.
La cantidad de intentos fallidos de inicio de sesión que se deben permitir es difícil de determinar, porque depende mucho del nivel de riesgo de seguridad de su organización. Por ejemplo, Microsoft recomienda un total de 10 como un buen punto de partida.
Conclusión
Las contraseñas fueron presentadas por primera vez como concepto por Fernando Corbato en 1960 en el MIT, y no tuvieron muchas aplicaciones más allá del mundo académico. Sin embargo, cuando los ordenadores personales se volvieron más accesibles y comunes en la década de 1980, la necesidad de proteger los archivos privados se volvió más clara, y fue entonces cuando las contraseñas se volvieron útiles.
Y hoy en día, unos cuarenta años después, todavía usamos las contraseñas para proteger nuestros archivos y contraseñas privadas.
Hoy en día, las limitaciones de las contraseñas son muy claras. Sin embargo, con estas 11 prácticas recomendadas para contraseñas podrá mantener a los hackers a raya, al menos temporalmente.
Si le llega a ocurrir que los hackers averiguan cómo entrar a su cuenta, siga nuestros consejos para controlar los daños.
Además de seguir nuestras prácticas recomendadas para contraseñas, otra manera de garantizar la seguridad de sus datos es usar un paquete seguro y privado, como Mailfence. Con un buzón de correo seguro, evitará que cualquier hacker logre acceder a sus otras cuentas usando la función de contraseña perdida. ¡Fortalezca todas sus cuentas con el buzón de correo cifrado!