Llevamos unos cuantos años indicando a los usuarios que hay que crear contraseñas más complejas. Así nos lo han hecho saber los principales empresas de seguridad. También los sitios en los que nos registramos, que de un tiempo a esta parte nos exigen incluir claves cuanto más difíciles, mejor.
Pero, ¿lo estamos haciendo realmente bien? La respuesta es que no del todo. Porque según recogen expertos de la empresa de seguridad G Data, algunas de las reglas que hasta ahora se han impuesto como básicas a la hora de configurar contraseña se encuentran ahora en entredicho.
El creador de las mismas, Bill Burr, del Instituto de Tecnología y Estándares norteamericano (NIST) indica ahora que han perdido vigencia. ¿Pero por qué? La razón tiene que ver con la destreza de los cibercriminales, que han sabido saltarse unos sistemas de seguridad que parecían irrompibles.
Elegir bien una contraseña: reglas obsoletas
Los expertos llevan mucho tiempo indicándonos que para crear una contraseña segura hay que combinar caracteres alfanuméricos, símbolos, mayúsculas y minúsculas. Con esto se quiere evitar que los hackers – o cualquier otro usuario malintencionado – pueda adivinar nuestra contraseña de acceso.
Sin embargo, muchas contraseñas como por ejemplo P@$$w0rd2, son cambiadas frecuentemente por P@$$w0rd3 y P@$$w0rd4, siendo fácilmente descifrables por un software experto. De ahí que las recomendaciones de los investigadores vayan ahora por otros derroteros.
Cinco reglas actualizadas para crear una contraseña segura
¿Qué hay que hacer entonces para estar completamente protegidos? Las nuevas reglas que proponen los expertos se pueden resumir en los cinco puntos siguientes. Puedes aplicarlos a tu día a día para seguir operando en las redes sin problemas.
1. Elige una frase con sentido
Bill Burr, el famoso experto en seguridad, recomienda elegir una frase con sentido, que sea fácil de recordar para el usuario. Pero que sea larga y que resulte complicada de adivinar por parte del resto. Se puede escribir una frase, incluso con espacios. Lo que de verdad es importante aquí es que la secuencia de palabras sea lo suficientemente extensa.
Siguen estando desaconsejado lo de siempre: las fechas de nacimiento o cumpleaños, las secuencias de números o letras fáciles de adivinar (00000000, 123456789, 111111111, abcdefghi…).
2. Usa una contraseña diferente para cada servicio
Esta es una regla que sigue vigente. Usa una contraseña diferente para cada servicio en el que te encuentres inscrito. ¿Por qué? Pues porque ante cualquier ataque a un sitio determinado, los cibercriminales podrían probar a usar esa misma contraseña para otros sitios. Como por ejemplo el correo electrónico, las redes sociales o los bancos. Aunque te resulte más complicado, es importante que cumplas esta regla.
3. No hace falta que la cambies regularmente
Hasta ahora se recomendaba cambiar de manera regular las contraseñas de acceso a los distintos sitios. De hecho, la mayoría de empresas solicitan a sus empleados modificar cada cierto tiempo las claves de acceso a los servicios. Consideran que así estarán más protegidos. Los expertos ahora dicen que si no se produce algún incidente (un robo de datos, la pérdida de un dispositivo desprotegido…) no es necesario modificarla regularmente.
4. Apuesta por un administrador de contraseñas
Si estás suscrito a muchos servicios y crees que no podrás acordarte de todas y cada una de las claves, sería conveniente que usaras un administrador de contraseñas. Te resultará de utilidad si tienes la memoria frágil o si no te ves capaz de recordar tantas claves. Además, el propio administrador está capacitado para generar contraseñas robustas y mantenerlas bajo llave.
5. Usa el sistema de doble autenticación siempre que puedas
La mayor parte de servicios actuales ya cuentan con los denominados servicios de doble autenticación. Son sistemas más seguros, puesto que exigen al usuario introducir una segunda contraseña (aparte de la principal) que llega a través del teléfono móvil. De este modo, el propietario de la cuenta se identifica dos veces. El riesgo es mucho más reducido.
No rotar las contraseñas es un error. Caso diente es que solo se roten si se detectan intentos de entrada fallidos, detección la cual, no siempre está a la mano de un uso medio.
Genial artículo, como aporte al post puedo decir que uso un gestor de contraseÅ„as llamado keepass, aunque debe haber muchos otros igual de sencillos y eficientes.
Yo uso siempre un administrador de passwords que se llama lastpass y estoy encantado, soy un desastre con los passwords.
Hola Cecilia.. sigue funcionando esto para las passwords?