Contraseñas seguras

La semana pasada saltó la noticia, un grave fallo de seguridad había permitido el acceso a los documentos internos confidenciales de Twitter alojados en Google Docs, y en los que se mostraban detalles de reuniones y relaciones con Google, Microsoft o Facebook, acuerdos de confidencialidad con Dell o Nokia, tarjetas de crédito, previsiones financieras o agendas de los directivos.

Lo más llamativo del asunto es la debilidad de los mecanismos de seguridad que utilizaba la compañía, que puso como contraseñas de acceso a los servidores la palabra “password”. Y claro está, la reflexión que nos podemos hacer es que si esto ocurre en una empresa con millones de usuarios como Twitter qué no pasará en los ordenadores de las pequeñas y medianas empresas.

Contraseña favorita: “1234”

Pues bien, según un reciente estudio la mayoría de usuarios tenemos poca imaginación a la hora de elegir contraseñas incluso para el acceso a sitios sensibles como la gestión de cuentas bancarias en línea, de manera que el 20 por ciento de los usuarios utilizaban combinaciones como “1234”, “123456789”, el nombre de un hijo o de una estrella de la música.

La misma contraseña para todos los servicios web
A este riesgo de utilizar contraseñas tan débiles se añade el hecho de que uno de cada tres usuarios reconoce tener la misma contraseña para todas las páginas web, y 41 por ciento de los usuarios utiliza la misma contraseña para varios servicios Web, según un estudio llevado a cabo por Sophos.

Pautas para la creación y establecimiento de contraseñas seguras

Para gestionar correctamente la seguridad de las contraseñas, desde el Instituto Nacional de Tecnologías de la Comunicación (INTECO) se recomienda a los usuarios tener en cuenta las siguientes pautas para la creación y establecimiento de contraseñas seguras:

1. Se deben utilizar al menos 8 caracteres para crear la clave.
2. Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres especiales.
3. Es recomendable que las letras alternen aleatoriamente mayúsculas y minúsculas.
4. Elegir una contraseña que pueda recordarse fácilmente y es deseable que pueda escribirse rápidamente, preferiblemente, sin que sea necesario mirar el teclado.
5. Las contraseñas hay que cambiarlas con una cierta regularidad.
6. Utilizar signos de puntuación si el sistema lo permite. P. ej.: “Tr-.3Fre”. En este caso de incluir otros caracteres que no sean alfa-numéricos en la contraseña, hay que comprobar primero si el sistema permite dicha elección y cuáles son los permitidos.
7. No utilizar información personal en la contraseña, ni datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos.
8. Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”, “asdf” o las típicas en numeración: “1234” ó “98765”)
9. No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).
10. No se debe utilizar como contraseña, ni contener, el nombre de usuario asociado a la contraseña.
11. No se deben utilizar palabras que se contengan en diccionarios en ningún idioma.
12. No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos explicativos de construcción de contraseñas robustas.
13. Existen algunos trucos para plantear una contraseña que no sea débil y se pueda recordar más fácilmente. Por ejemplo se pueden elegir palabras sin sentido pero que sean pronunciables, etc. Nos podemos ayudar combinando esta selección con números o letras e introducir alguna letra mayúscula. Otro método sencillo de creación de contraseñas consiste en elegir la primera letra de cada una de las palabras que componen una frase conocida, de una canción, película, etc.
14. Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o servicios.
15. No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de la misma.
16. No enviar nunca la contraseña por correo electrónico o en un SMS. Tampoco se debe facilitar ni mencionar en una conversación o comunicación de cualquier tipo.
17. Si se trata de una contraseña para acceder a un sistema delicado hay que procurar limitar el número de intentos de acceso, como sucede en una tarjeta de crédito y cajeros, y que el sistema se bloquee si se excede el número de intentos fallidos permitidos. En este caso debe existir un sistema de recarga de la contraseña o “vuelta atrás”.
18. No escribir las contraseñas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso público (bibliotecas, cibercafés, telecentros, etc.).
19. Cambiar las contraseñas por defecto proporcionadas por desarrolladores/fabricantes.