Y normalmente no son lo suficientemente seguras. Dependerá mucho de cuál sea la que uses que tarden unos segundos o miles de años en descifrarla. Por desconocimiento, por prisas o por exceso de confianza, no siempre damos a las contraseñas la importancia que merecen.

Por eso, estos días he estado leyendo cuanto tiempo se tarda en crackear una contraseña, en averiguarla, y solo te digo que me ha faltado tiempo para revisar unas cuantas de las mías y cambiarlas. En algunos casos ya se utilizan múltiples factores de autentificación que aumentan la seguridad, pero aún tenemos muchas aplicaciones, webs y servicios a los que accedemos únicamente con usuario y password.

¿CUÁNTO SE TARDA EN HACKEAR UNA CONTRASEÑA?

Puede que creas que tus contraseñas son muy seguras o que el nombre de tu primer colegio o de tu gato o perro no lo sabe nadie, pero lo cierto es que bastan unos pocos segundos para descifrar el nombre del colegio o tu mascota, la fecha del cumpleaños de tu hermana o tu aniversario de boda. 

La empresa de ciberseguridad Hive System realizó un estudio del tiempo que se tarda en crackear una contraseña que tenga números, minúsculas, mayúsculas o todo junto. Dependiendo del número de caracteres que tengan tus contraseñas y del tipo de símbolos o caracteres que haya en ella se tardará más o menos. Según el documento creado por Hive System. han clasificado por colores el tiempo que se tarda en descifrarlas, para mostrar el riesgo que corremos con las contraseñas.

Fuente Hive Systems

Gracias a un vistazo rápido podemos hacernos una idea de cómo es una contraseña insegura o cuáles son las más seguras.

Si utilizas únicamente números en una clave necesitarás al menos 18 para que la clave sea mínimamente segura (Un ordenador tardará 3 semanas en encontrar la combinación). Si tienes entre 11 y 15 cifras se puede descifrar en menos de seis horas en el más difícil de los casos.

Y todos tenemos contraseñas de más de 18 dígitos en nuestras contraseñas ¿verdad?

SOLO MINÚSCULAS

Otra de las más habituales es usar solo letras minúsculas en la contraseña. Si tu “palabra clave” tiene menos de siete caracteres será inútil y se sabrá al instante. Si apuestas por una palabra tipo “supercalifragilisticoespialidoso” (32 caracteres) unos 4 millones de años. 

Normalmente es mejor combinar y si vas a usar solo minúsculas piensa que la longitud es fundamental y no valdrá con poner “password” como contraseña en tu correo electrónico.

MAYÚSCULAS Y MINÚSCULAS

Mezclar mayúsculas y minúsculas es mejor que solo una de ellas, pero si tiene menos de 10 caracteres van a tardar menos de un día en pillarte. Lo recomendable, como vemos en la tabla, es combinar, pero con doce o más caracteres. 

Ninguna combinación de mayúsculas y minúsculas tendrá la seguridad máxima para tus contraseñas, pero puedes lograr que tarden 300 años o más en descifrarlas.

MAYÚSCULAS, MINÚSCULAS Y NÚMEROS

Frente a las tres anteriores, aquí ya vamos ganando tiempo, se lo estamos poniendo más difícil. No servirá para nada si combinas números, mayúsculas y minúsculas en contraseñas de menos de ocho, nueve o diez caracteres, a partir de 12 es donde pisamos territorio seguro.

SI QUIERES PONERSELO REALMENTE DIFICIL, AÑADE SIMBOLOS

No importa que combines símbolos, números o mayúsculas o minúsculas si utilizas únicamente cinco o seis caracteres porque tardaran minutos u horas, pero a partir de 12 estamos hablando de miles de años.

CONCLUSIÓN

La combinación de mayúsculas, minúsculas, números y símbolos es lo que evita que descifrar una contraseña sea cosa de millones de años. A partir de 18 caracteres con todas estas variantes la hace indescifrable por la cantidad de tiempo que requiere.

Hay una serie de consejos que podemos seguir siempre a la hora de escoger contraseñas seguras: 

Siempre irnos a por contraseñas de doce caracteres o más. Algunas webs o aplicaciones ponen requisitos mínimos y algunos máximos, intentar no quedaros en lo mínimo. Que tenga doce o más nos asegurará que sea más difícil de descifrar. 

Siempre que se pueda incluir minúsculas, mayúsculas, números y símbolos.

Si el sistema permite múltiples factores de identificación activarlos, MFA en inglés, AMF en español, lo que permite que en vez de entrar con usuario y contraseña tengas que combinar dos o más factores, los mas comunes son contraseña y un pin, envío de una clave de un solo uso a algo que tienes (teléfono o correo electrónico) o las claves biométricas, huella dactilar, reconocimiento facial etc. 

No repetir la contraseña en todos los sitios, la recordaras más fácil, pero si uno de esos sistemas se filtra tendrás todos tus accesos comprometidos. Miles de millones de contraseñas están a la venta en la darkweb, desde 10-15€ si solo te han robado la clave de Netflix, 70€ por unas claves de tu cuenta POP de correo electrónico e incluso se subastan claves de administrador de grandes cuentas de empresa por cientos de miles de euros.

No vayas aireando tus contraseñas. No accedas desde redes abiertas, y si lo tienes que hacer cambia la contraseña después para evitar sorpresas.

Y por supuesto mucho cuidado con los intentos de phishing, no hagas clic en enlaces o adjuntos de nadie que no sea de tu plena confianza o parezcan sospechosos. Cuesta mucho menos llamar al que se supone que lo envía y asegurarte que es correcto que lamentarlo luego.

Para nosotros lo más fácil ha sido utilizar gestores o generadores de contraseñas, hay varios por la red que funcionan muy bien, permiten crear contraseñas aleatorias con todas las combinaciones de forma segura y sin necesidad de registrarte, y en muchos de ellos puedes (esto ya normalmente pagando) almacenarlas para no tener que recordarlas. 

Siempre te quedara la opción de tener una pequeña libreta donde anotarlas, no es lo mas recomendable, eso no es territorio seguro, pero no se pueden hackear, aunque si perder, quemar, o deshacer en un reventón de agua de donde la guardes, si tienes bien hecho el seguro, te pagaran lo que vale la libreta, pero el valor de lo que estaba anotado lo perderás.