7 consejos sobre contraseñas
Desde 2013, el primer jueves de mayo se celebra el Día Mundial de la Contraseña.
Contar con una contraseña segura es esencial para impedir accesos no deseados a cualquiera de los cada vez más numerosos servicios que nos ofrece Internet. G DATA proporciona en este artículo información útil y sencilla para conseguir cuentas robustas y contraseñas infalibles.
Si de la noche a la mañana, nuestra cuenta personal de Twitter apareciera tuneada con la bandera turca y una foto del presidente Tayyip Erdoğan, tendríamos la certeza de que nuestra cuenta habría sido atacada. Esto es exactamente lo que le sucedió Klaus Brinkbäumer, redactor jefe del periódico alemán Der Spiegel, el pasado 14 de enero de 2018. Además, el nuevo "look" venía acompañado de un mensaje que decía: «Nos gustaría disculparnos por las noticias que hemos estado publicando últimamente sobre Turquía y el presidente Erdoğan». Más tarde se supo que la cuenta estaba siendo controlada sin su permiso por terceros, posiblemente, como consecuencia de estar protegida por una contraseña débil o poco segura.
Cada usuario accede a una media de 26 servicios online que requieren contraseña
Las contraseñas que usamos por ejemplo en redes sociales o tiendas online son y serán un elemento importante cuando hablamos de proteger cuentas online de accesos no autorizados. Durante años, los expertos en seguridad TI han estado trabajando para llegar a conclusiones que nos permitan establecer con claridad cuáles son esos elementos que debe incorporar una contraseña para que sea realmente robusta e impida accesos de terceros. Anteriormente, los analistas e investigadores estaban de acuerdo en que una contraseña debería contener al menos ocho caracteres aleatorios, sin formar palabras que se puedan encontrar en cualquier diccionario. Incluso hoy, estas siguen siendo las directrices de gigantes como Google. El US-CERT (United States Computer Emergency Readiness Team) agrega que los usuarios deben usar una contraseña por cuenta, es decir, una diferente para cada servicio. Su complejidad debe cumplir también unos requisitos mínimos y combinar caracteres especiales, números y letras. El estudio «Let's go in for a closer look: Observing passwords in their natural habitat» expone que las personas acceden a una media de 26,3 sitios web protegidos por contraseñas, pero que en el 80% de los casos estas se repiten o bien sufren solo pequeñas variaciones. Esto significa que los usuarios son reacios a utilizar contraseñas diferentes para sitios web diferentes, porque ¿quién puede recordar tantas contraseñas únicas y lo suficientemente complejas y para cada servicio online? Solo un administrador de contraseñas puede hacerlo.
Las claves se guardan en una caja fuerte de contraseñas y se accede a ellas mediante un complemento que se instala en el navegador web y una clave maestra. Todos los servicios y contraseñas generadas personalmente se pueden ver y gestionar desde este administrado que, además, también incorpora un generador de contraseñas robustas que garantiza claves de máxima seguridad.
Siete consejos para garantizar la seguridad y privacidad de sus datos personales
• Use un administrador de contraseñas: Es la forma más sencilla de cumplir con la obligación de tener tantas contraseñas únicas y complejas como servicios online utilice: redes sociales, tiendas online, banca, correo electrónico...
• Contraseñas, en la longitud está la clave: Un nuevo enfoque ha tomado el relevo de las recomendaciones clásicas: las contraseñas largas son mejores que las complejas, sobre todo si estas son demasiado cortas. Una contraseña que combine caracteres alfanuméricos, mayúsculas y minúsculas no será eficaz si es demasiado pequeña. Una contraseña compleja con seis caracteres aglutina 309 millones de combinaciones, nada que un programa moderno no pueda resolver en pocos segundos. Sin embargo, si llevamos ese número de caracteres hasta doce, serán necesarios varios años para descifrar la clave, incluso con la fuerza de computación actual.
• Use 'frases-clave': Contraseñas como «1234», «password» o cualquier palabra que podamos encontrar en el diccionario resultan demasiado fáciles de doblegar. Si utiliza una frase, esta no debe ser demasiado corta o evidente. Los cibercriminales usan herramientas que les permiten generar combinaciones de palabras estadísticamente probables que rápidamente les revelan esas passwords generadas a partir de frases sencillas. Un ejemplo consiste en transformar una frase del tipo «uso contraseñas fuertes» en una combinación aleatoria de caracteres «us0 c0ntr@s3ñ@s fu3rtes». Aproveche los espacios entre palabras para hacerla aún más compleja y robusta: Muchos usuarios no saben que pueden emplearlos a la hora de crear una buena password y es un truco más que interesante.
• Cambie sus contraseñas adecuadamente: Cuando cambie su contraseña, la nueva nunca debería ser una derivación de la original (son muchos los usuarios que se valen de esta poco recomendable regla y añaden un número o una letra a la primera password). Por regla general, solo merece la pena modificar la clave de acceso cuando el servicio web lo requiere, cuando tenemos alguna sospecha de que se haya producido un acceso no autorizado o cuando es de dominio público que el proveedor del servicio ha sufrido un ciberataque.
• Equipos siempre actualizados: Las actualizaciones de seguridad son esenciales si queremos garantizar la protección de ordenadores o dispositivos móviles, especialmente desde que se hicieron públicas las brechas Meltdown y Spectre. La regla general es mantener sistema operativo y todos los programas (o apps) siempre actualizados y que dichas actualizaciones se realicen de la forma más rápida posible.
• Autenticación de doble factor: El inicio de sesión en dos pasos debería ser la forma de acceder a cualquier servicio web de relevancia y, sin duda, aquella por la que deberían apostar los usuarios siempre que sea posible. Facebook, LinkedIn, Dropbox, Google, PayPal y, en general, los proveedores de servicios más reconocidos ya ofrecen esta opción.
• Seguridad antimalware: Sobremesas, portátiles y dispositivos móviles deberían llevar siempre una solución de seguridad convenientemente actualizada. Con demasiada frecuencia, la gente asume que no existen riesgos de seguridad para los dispositivos móviles y todavía se mantiene la idea generalizada de que no pueden ser objetivo de las amenazas que afectan a los ordenadores personales. Se trata de un riesgo que debe eliminarse lo antes posible.