Esto es lo que tardaría un hacker en romper tu contraseña por fuerza bruta, pero ahí no acaba la cosa

Javier Pastor

Las contraseñas importan. Lo hacen cada vez más, de hecho: nuestra dependencia de servicios online en los que usamos un usuario y una palabra clave es creciente, pero es difícil convencer a muchos usuarios de que deberían tener mucho cuidado a la hora de elegirlas y usarlas.

Dos son los consejos ya eternos en este ámbito: usar contraseñas fuertes (complejas) y no reutilizar contraseñas para diversos servicios. Cometer un error sobre todo en el primer caso nos expone de forma notable, y un estudio en el quese visualiza el tiempo que tardaría un hacker o un cracker en averiguar nuestra contraseña por fuerza brutaquizás logre convencer a muchos de una vez por todas de lo importante que es prestar atención a la elección y gestión de contraseñas.

Con las contraseñas no se juega

Estamos en 2020 yla gente sigue usando como contraseña ‘123456’. Luego nos extrañamos de que hayarobos masivosde contraseñas que tienen consecuencias nefastas para los usuarios: la suplantación de identidad ylos robos de información y dinero se han convertido en algo tristemente comúnen los últimos tiempos.

Lo cierto es que aun eligiendo contraseñas más complicadas la cosa puede ser igualmente peligrosa para los usuarios. La creciente potencia de cálculo de los sistemas con los que se crackean contraseñas por fueza bruta ha hecho queincluso cadenas más largas sean asumibles para alquien que tiene tiempo y recursospara tratar de averiguarlas por ese sencillo método.

Una visualización del usuario de Reddithivesystemsa partir de datos deHowSecureIsMyPassword.netha permitido revelarlo que se tardaría en desvelar contraseñas de distinta longitudy que usan distintos tipos de juegos de caracteres en un PC de gama media actual. Ese estudio está inspirado en un artículo similar que Mike Halsey, MVP de Microsoft,publicó en 2012.

Usar sólo números es por ejemplo muy mala política: incluso con contraseñas largas de 16 dígitos sería posible averiguarlas en tan solo 2 días. La cosa mejora cuando empezamos combinaciones de números con letras mayúsculas y minúsculas, pero ya puestos lo ideal es además utilizar símbolos (de interrogación o admiración, signos de puntuación, paréntesis, guiones y barras, etc) para lograr contar con una contraseña fuerte que sea muy difícil de romper.

El problema de usar esas combinaciones complejas es, lógicamente, que son difíciles de recordar.Ahí es donde entran en acción los gestores de contraseñas, aplicaciones yservicios web como 1Password, LastPass o Dashlane, en los que contaremos con una contraseña maestra —que debe ser fuerte y debemos recordar sí o sí— y en el que ciertas reglas mnemotécnicas (como sustituir una o -mayúscula o minúscula- por un cero o una ele minúscula por un uno) pueden ayudar mucho, comoexplicanlos propios responsables de LastPass.

Espera, que aún hay más

En esa visualización, no obstante, hay (al menos) una puntualización importante que va más allá del tiempo estimado para romper esas contraseñas: quienes tratan de romperlas no suelen hacerlo por fuerza bruta,sino que usan diccionarios con palabras y cadenas de caracteresque forman parte de cierto idioma y en las que además se pueden aplicar esas reglas mnemotécnicas de las que hablábamos para ampliarlos.

Así, una herramienta para desvelar contraseñas puede probar a comparar el hash de palabras como “laboratorio” con el hash de la contraseña del usuario que se quiere intentar crackear,pero también con variaciones como “1aboratorio” o “1ab0rat0ri0”, por ejemplo. Los buenos diccionarios, muy cotizados entre quienes se dedican a estos menesteres, son una valiosa ayuda para esta tarea, y pueden reducir de forma notable esos tiempos de la tabla.

Aún así,elegir contraseñas suficientemente largas y que hacen uso de símbolos, números y letrassuele hacer que esa tarea sea suficientemente compleja hasta para quienes dedican por ejemplo servidores basados en GPUs y dedicados a esta tarea —y los haydesde hace años—. Eso, unido a los gestores de contraseñas, debería hacer que cualquiera estuvierarazonablementetranquilo.

Lo de razonablemente, en cursivas.Por si las moscas.