Cómo mejorar tus contraseñas
La parte difícil de crear nuestras propias contraseña es generar una realmente aleatoria. No nos engañemos, los seres humanos no servimos para eso. Cambiar una ‘a’ por un ‘@‘ y una ‘s’ por un ‘$’ no hace una contraseña más segura. Utilizar datos personales o el nombre de la cuenta dentro del password tampoco. Las herramientas de los hackers están preparadas para tener eso en cuenta.
El peor de los pecados es reutilizar la misma contraseña o similares con el mismo formato en diferentes cuentas. Si usamos una app insegura y hackean sus servidores, los hackers tienen herramientas automatizadas para probar esa contraseña o sus variaciones en todas las otras cuentas que tenés. Para mitigar este riesgo hay que usar contraseñas completamente diferentes en cada servicio.
Crear una contraseña realmente aleatoria, suficientemente compleja y encima recordarla es difícil. Hacer eso con más de 100 contraseñas es imposible. Pónganse a contar la cantidad de servicios para los que tienen contraseñas, se van a sorprender.
La mejor manera de crear un password seguro es usando un administrador de contraseñas o password manager. No solo va a crear contraseñas seguras para vos sino que también las va a almacenar y no vas a necesitar recordarlas. Todos podemos tener uno, hay opciones baratas e incluso gratuitas.
Opciones
Mi favorito es 1Password, el plan familiar cuesta desde USD 1/persona/mes (USD 4,99 para familias de hasta 5 personas) y 3 dólares para el plan individual.
Si pagar menos que una cuenta de Netflix por la herramienta que protege todas tu cuentas va en contra de tus principios, podés usar bitwarden que es gratis para individuos o U$S3,33/mes para grupo familiar. Aunque en mi experiencia la usabilidad de 1Password no tiene rival, bitwarden es una gran opción. También tiene un plan gratuito para equipos de hasta dos personas, una buena opción para familias de dos personas.
Los planes de equipo o familia permite a los integrantes de los mismos tener bóvedas privadas individuales pero también otras compartidas. Esto facilita mucho la compartición de servicios y también de documentos de manera segura.
Cómo funciona
Para usar un administrador de contraseñas, lo único que tenés que hacer es crear una contraseña maestra bien segura. Esa contraseña va a desbloquear tu bóveda de contraseñas protegiendo a todas las demás y así convirtiéndose en casi la única que vas a tener que recordar.
Las contraseñas para tus otras cuentas ahora pueden ser súper complicadas y difíciles ya que el administrador de contraseñas va a hacer el trabajo sucio de recordarlas por vos. Es más, realiza 3 trabajos difíciles por vos:
- Crear contraseñas mucho más seguras que las que se le pueden ocurrir a un ser humano.
- Recordar las contraseñas. Ahora que tenemos contraseñas diferentes y difíciles para cada cuenta sería imposible de recordarlas a todas.
- Ingresar las contraseñas. Las contraseñas creadas no son sólo difíciles de crackear sino también de escribir, por eso los administradores de contraseñas permiten auto completar tus credenciales en sitios web y apps de tu teléfono o incluso copiar y pegar para cuando la app no permita el auto completado.
En este último punto algo muy interesante que ofrecen es validar el sitio o la app en la que estás pidiendo que se autocomplete la contraseña. De esta manera previene el phishing si están intentando autocompletar la contraseña de tu home banking en un sitio muy similar pero que en realidad no es de tu banco.
Creando una buena contraseña maestra
Lo importante de una contraseña no es el largo de la misma sino del origen de sus componentes, asumiendo que la selección de ellos es realmente aleatoria.
Por ejemplo, si creo una contraseña de 30 caracteres pero la lista de caracteres que uso para elegirlos es: “a,b,c” la contraseña no va a ser muy buena. Si en lugar de esas 3 letras utilizamos como diccionario todas las letras del alfabeto, números y algunos caracteres especiales, la situación mejora incluso si la contraseña final tiene la misma cantidad de caracteres.
El problema es que recordar una combinación así conlleva un trabajo arduo de memorización. En términos prácticos es imposible.
Acá es donde entran las pass-phrases. Este tipo de contraseñas utilizan palabras como componentes en lugar de caracteres. Si las palabras son elegidas de un conjunto suficientemente grande y de manera realmente aleatoria, obtenemos una contraseña segura y a la vez memorizable.
Obtener un diccionario como fuente de palabras
Necesitamos un diccionario de palabras del cuál elegir las que vamos a utilizar en nuestra frase. Cuántas más palabras posibles para elegir, más fortaleza va a tener nuestra contraseña con cada palabra que elijamos.
La Electronic Frontier Foundation (EFF) es una fundación sin fines de lucro que defiende la privacidad digital, la libertad de expresión y la innovación. Esta fundación creó varias listas de palabras en inglés que pueden ser utilizadas para este fin. Acá pueden encontrar el posteo en el cuál explican su funcionamiento. Su lista principal contiene 7.776 palabras.
Los que hablamos español podemos encontrar acá una lista de palabras igual de seguras pero en nuestro idioma. El único inconveniente es que la lista en español no fue filtrada para quitar palabras similares entre sí o poco comunes. Si bien esto no la hace menos segura, sí agrega un poco más de dificultad a la hora de recordar palabras que no utilizamos cotidianamente.
Estoy investigando cómo poder generar una nueva lista en español que solucione este problema, mientras tanto podemos usar esta que es tan buena como la versión en inglés pero en nuestro idioma.
Cuántas palabras utilizar
Se recomienda elegir al menos 6 palabras, aunque 7 es mejor. 6 palabras debería protegernos de casi todos los ataques a excepción de los provenientes de agencias gubernamentales. 7 palabras ya nos ubica más allá. Se que suena a demasiadas palabras para recordar, pero como esta va a ser casi la única contraseña que tendremos que recordar, vale la pena el esfuerzo.
Medidas de seguridad
- Antes de empezar con el proceso asegurate de estar en un lugar seguro: sin cámaras y sin nadie que pueda ver lo que generás.
- Cuando anotes las palabras en un papel, asegurate de que el papel esté sobre una superficie dura en lugar de sobre otro papel. Esto es para evitar dejar rastros de la contraseña en el papel que está debajo del que estás utilizando.
- No anotes nada en ningún dispositivo digital, utiliza siempre algo físico. De esta manera evitamos que la contraseña caiga en las manos equivocadas ante un hackeo o pérdida del dispositivo.
Realmente aleatorio - Dados
Mirar la lista y elegir las palabras que más nos gusten no es azar. Ya establecimos que los humanos no somos buenos generando cosas aleatorias, ni lo intenten. Para hacerlo bien necesitamos 5 dados de 6 caras, aunque también puede hacerse con uno solo.
Para elegir la primera palabra debemos arrojar un dado 5 veces o 5 dados a la vez. Luego vamos a la lista a buscar la palabra asociada con el número de 5 cifras generado por los dados y la anotamos en un papel. Esta es la primera palabra de nuestra contraseña maestra.
Repetimos hasta obtener la cantidad de palabras deseada y listo, tenemos nuestra nueva contraseña maestra.
Realmente aleatorio - Cartas (Alternativa)
Una alternativa, si no tenemos un dado, es utilizar cartas. Los dados son más fáciles de utilizar, pero si sólo tenés cartas y necesitás generar una contraseña ya mismo, asegúrate de mezclar bien las cartas. El mazo deberá tener tan solo 6 cartas, una para cada número del 1 al 6.
Mezclá muy bien las 6 cartas y agarrá la de arriba del todo. Tomá nota del número y volvé a introducirla con las demás. Cada vez que vuelvas a introducir una carta del mazo asegúrate de mezclar bien. Repetí esto 4 veces más hasta obtener 5 números y buscá la palabra asociada en la lista de palabras. Anotala.
Repetí hasta que obtengas la cantidad de palabras deseada.
Backup
Utilizar un administrador de contraseñas implica tener un solo punto de falla. Si olvidamos la contraseña maestra no hay forma de recuperar nada. Esto es lo que los hace tan seguros, ni siquiera la empresa que provee el servicio puede recuperar los datos, si pueden entonces deberías buscar otro administrador de contraseñas y cambiar todas las contraseñas.
La cantidad de respaldos, el tipo y su ubicación van a depender de los riesgos que cada persona quiera mitigar. Es muy importante entonces que tengamos un respaldo de la contraseña en al menos un lugar seguro.
El respaldo puede ser guardado en un cajón bajo llave, una caja fuerte en tu casa o una caja de seguridad de un banco.
Una forma de backup es el kit de emergencia, incluye todo lo necesario para poder acceder al administrador de contraseñas. Pensá en quien es el destinatario. Si es para vos quizás simplemente con el nombre de la cuenta y la contraseña maestra alcanza. 1Password ofrece una manera de descargar e imprimir una plantilla del kit de emergencia. Recordá proteger muy bien el kit de acuerdo con tu perfil de riesgo.
Eventualidades
Otra cosa a tener en cuenta es qué queremos que suceda ante una eventualidad: fallecimiento o incapacidad. ¿Querríamos que alguien que designemos pueda acceder a la bóveda? ¿O estamos bien con la idea de que se pierda todo?
Hay servicios de abogados que ofrecen guardar documentos hasta que fallezcas y luego pasar los documentos a quien vos indiques. Algunos administradores de contraseñas también poseen mecanismos para, en caso de eventualidades, permitirle acceso a una persona a toda o a una parte de la bóveda. De esta manera ni siquiera necesitás darle a un abogado un papel con la contraseña maestra que puede ser robado.
Si van por la opción de delegarle acceso a alguien a través de la funcionalidad del propio administrador de contraseñas, asegúrense de que la o las personas estén al tanto. Es importante que sepan qué es lo que ustedes planearon, qué instrucciones tendrían que seguir tanto para acceder a la bóveda como para manejar las cuentas que les dejan a cargo.
Esto es particularmente importante si las personas delegadas no están familiarizadas con administradores de contraseñas. Esta sería una buena oportunidad para compartir el artículo y explicarles la importancia de usar uno.
Conclusión
Los administradores de contraseñas son muy útiles y brindan la seguridad necesaria para el manejo de credenciales. Facilitan muchas cosas aunque también requiere un poco de trabajo para ponerlo en marcha. Les aseguro que vale la pena y no van a volver atrás.
Elijan uno: 1Passowrd o bitwarden
Creen una cuenta gratuita o de prueba y pruébenlo por un tiempo con un par de contraseñas, después me cuentan.
¡No se olviden del backup!
Tampoco se olviden de subscribirse para enterarse de los nuevos posteos y síganme en Twitter.