Seguridad vs conveniencia al elegir contraseña

Es curioso pensar en la cantidad de contraseñas que utilizamos en nuestro día a día. El ordenador personal y de la empresa, el correo electrónico, el almacenamiento en la nube, las redes sociales, la banca online, … todos estos servicios nos exigen recordar una palabra de paso para poder acceder a nuestra información.

Un tema que me fascina profundamente son las políticas de contraseñas. El ser humano es vago por naturaleza y tiende a usar siempre la misma contraseña y a elegir contraseñas que son, por decirlo finamente, poco seguras. Muestra de ello son las “perlas” que salen a la luz cuando algún hacker roba los ficheros de contraseñas de algún servicio popular, como pasó recientemente con Adobe. Contraseñas como “123456” o “password” deberían ser sólo gags de película cómica, pero son más frecuentes de lo que deberían y resultan fáciles de romper mediante ataques basados en diccionario.

Un ejemplo paradigmático es el código «secreto» que usó EE.UU. para iniciar el lanzamiento de misiles nucleares durante 20 años: 00000000. Pensar que cualquiera con acceso al botón podía provocar un holocausto nuclear es reconfortante, ¿no?

Para evitar que los usuarios escojan contraseñas frágiles, los responsables de seguridad introducen comprobaciones en los formularios utilizados para crear o modificar contraseñas. Algunos ejemplos de restricciones comunes son:

– Longitud mínima y máxima

– Uso obligatorio de caracteres numéricos y alfanuméricos

– Uso obligatorio mayúsculas y minúsculas

– Uso obligatorio símbolos especiales

– Prohibición de caracteres repetidos o excesivamente frecuentes

– Diferencias respecto a la contraseña anterior

Estos filtros ayudan a evitar malas prácticas a la hora de elegir contraseña. Sin embargo, en algunos momentos sientes que a alguien se le ha ido la mano con la seguridad. Esta sensación suele aparecer cuando llevas 3 o 4 intentos proponiendo contraseña y ninguna es capaz de superar los filtros. Y finalmente, cuando lo consigues, al cabo de una semana eres incapaz de recordar la contraseña que habías utilizado. Y es que las contraseñas también deberían ser fáciles de recordar… un hecho obvio que parece que no todo el mundo tiene presente. Muchos otros antes que yo han expresado su frustración en términos similares.

Hay diversas formas de superar estos pequeños problemas de la vida moderna. En primer lugar, hay muchas reglas nemotécnicas para generar contraseñas seguras con facilidad… aunque hay filtros capaces incluso de prohibir contraseñas generadas con estas sistemas. Por otro lado, algunas herramientas (por ejemplo, el navegador web) pueden almacenar algunas contraseñas para no tener que recordarlas. De esta forma, esta práctica requiere confiar la seguridad de todas nuestras contraseñas al creador de dichas herramientas: quién sabe si las aprovechará con fines poco correctos o bien si no las protegerá ante terceros. Porque ya se sabe, hay quién todavía almacena estas contraseñas como texto sin cifrar (ehem ehem).

Desde aquí sólo puedo enviar un mensaje a los desarrolladores de aplicaciones y servicios: por favor, no torturéis innecesariamente a vuestros usuarios. Construir una contraseña de 10 caracteres con al menos 2 mayúsculas, 3 números y 3 símbolos especiales es un buen pasatiempo, pero no es divertido cuando se hace por obligación. Y si encima hacéis caducar estas contraseñas al cabo de poco tiempo… preparaos para que os piten los oídos.