27 mayo 2007

Contraseñas fuertes, pero fáciles de recordar

En general creemos que la única alternativa para claves como 123456 o qwerty (ambas son débiles y no hay que usarlas) es un galimatías algo más robusto, pero imposible de memorizar, como Hk7%&nM0 . Lo que nos conduce a menudo a la práctica -disparatada pero comprensible- de anotarlas para no sofreírnos las sinapsis neuronales tratando de recordarlas..

La verdad es que hay soluciones más humanas. Las contraseñas aceptables como la que se ve en el párrafo anterior funcionan porque combinan una gran variedad de elementos (mayúsculas, minúsculas, símbolos, dígitos). Por ejemplo, con dos caracteres (A y B) sólo se pueden crear dos combinaciones: AB y BA. Basta añadir un tercero (C) para elevar este número a seis (ABC, ACB, BAC, BCA, CAB, CBA). Como para las computadoras la "A" es diferente de la "a", al usar mayúsculas y minúsculas aumentamos el número de combinaciones posibles a una friolera de 71 ceros.

Sin embargo, la extensión de la contraseña es vital. Por ejemplo, ¿cuántas claves de cuatro caracteres se pueden armar con minúsculas y mayúsculas? Algo menos de medio millón. Por eso, un software para quebrar contraseñas la sacará en un pestañeo.

¿Por qué no aprovechar la extensión de la contraseña? Al aumentar la cantidad de elementos variables en una contraseña, aumentamos su entropía . Con cinco minúsculas, uno de los programas que probé descubrió la clave en un segundo. Con una clave de 10 minúsculas, el programa estimó que tardaría 28 años. En el primer caso, sólo tendría que calcular 11 millones de combinaciones; en el segundo, 141 billones

Recordar una clave de 60 caracteres parece imposible. Sin embargo, lo hacemos constantemente. Observe: En un lugar de la Mancha, de cuyo nombre no quiero acordarme , tiene 61 caracteres (minúsculas, mayúsculas, espacios y comas), pero como es el principio de El Quijote resulta fácil de recordar. Es, a la vez, lo suficientemente robusta para resistir los ataques de fuerza bruta, es decir los que van probando todas las combinaciones hasta dar con la correcta.

Es verdad que una clave de 256 caracteres al azar sería mejor, pero las frases de libros (por favor, no use su frase de cabecera o la que tiene en el Messenger ) sirven mucho mejor que el 123456 que, dicho sea de paso, se puede quebrar en 2,1 segundos. Acá hay un buen sitio donde verificar la fortaleza de las contraseñas, aunque yo evitaría probar con las claves reales: http://rumkin.com/tools/password/passchk.php

Sigue....

No hay comentarios.: