Tecnología

La mejor contraseña es la que puedes recordar

·

 

En 2003 un tipo llamado Bill Burr trabajaba en el NIST, un organismo muy americano y muy chulis desde el cual lanzó una serie de recomendaciones sobre cómo crear y utilizar contraseñas —malditas contraseñas— para tus cuentas online. 

Burr es responsable de un documento (aquí tenéis la versión 1.0.2 de 2006) que se convirtió en referencia absoluta y que recomendaba combinar letras mayúsculas, minúsculas, números y caracteres especiales para complicarle la vida a quienes trataban de descifrarlos. ‘password’ seguía siendo una contraseña lamentable, pero ‘Pa$$w0r!d’ tenía su aquel. 

O eso parecía querer decir Burr, que ahora se arrepiente de todo aquello en una entrevista con The Wall Street Journal (suscripción necesaria si quieres leer el original) en la que explicaba que aquellos consejos fueron malentendidos y que se han corregido todos esos conceptos en la última revisión del documento del NIST, reescrita por otros miembros de esa entidad. 

Un vistazo a ese documento permite comprobar que efectivamente no dan consejos sobre la creación y elección de contraseñas (no que yo haya visto), pero sí hablan de gestores de contraseñas y de cómo los servicios online deberían trabajar con esas aplicaciones y también con los autenticadores en dos pasos o la biometría. 

¿Qué pasa entonces con la contraseña? Pues que cada uno tendrá que guisársela y comérsela. Personalmente cometo los mismos fallos que comete mucha gente: reutilizo contraseñas y tengo básicamente tres o cuatro que reutilizo según lo sensibles que son los servicios en los que las utilizo. 

Para las cosas realmente sensibles e importantes, no obstante, voy acostumbrándome gradualmente al uso de un gestor de contraseñas. Llevo tiempo usando KeePass —ya me he acostumbrado a él más o menos—, y como muchos sabréis lo importante aquí es usar una buena contraseña maestra. ¿Cómo tener una de estas? Fácil: una buena contraseña es, como decía en el título, una que recuerdes. En realidad la frase se queda corta porque ahí entrarían cosas como ‘password’. Así que además de recordarla debe ser un poco rara y larga. ¿Cómo lograrlo? Fácil de nuevo: 

 

Ese webcómic magistral de xkcd vuelve a dar en el clavo. En mi caso he seguido ese sistema (combinar cuatro o cinco palabras convencionales pero no relacionadas entre sí) con ciertas variaciones, pero con esa base, y lo cierto es que estoy relativamente tranquilo con el tema.

De hecho hace tiempo llevo también tratando de animar a todo el mundo a hacer uso de sistemas de autenticación en  dos pasos en todo tipo de servicios. Lo normal es hacerlo a través de mensajes SMS, pero este método es menos seguro y si podéis os recomiendo usar Google Authenticator o aplicaciones similares en el móvil porque cada vez más servicios trabajan con ellas. Combino esas dos partes para quedarme tranquilo, pero aún así el problema no es mío, sino de muchos servicios y sobre todo entidades (cough, bancos, cough) que tienen unos sistemas de seguridad que yo creo que deberían actualizarse un poco.

Si a eso le añadimos la tercera pata tecnológica más en boga en este ámbito (la biometría, pero cuidado, no confundir seguridad con comodidad), tenemos bastantes papeletas para que nadie pueda fisgar en nuestros asuntos fácilmente. No todas, claro, porque la seguridad al 100% no existe y el que lo crea es un ingenuo, pero yo aquí me aplico el principio del ladrón de coches. Entre un coche con un candado en el volante y otro sin él, el tipo seguramente se vaya a por el que no tiene candado. Hasta los malos son comodones por naturaleza, así que yo que vosotros haría lo posible por hacerles la cosa algo incómoda. 

¿Me dejo algún consejo en el tintero? Si es así y tenéis comentarios al respecto, por favor, comentad, seguro que todos nos beneficiamos 😉

Imagen | Shutterstock


Incognichollos

Esta es una selección con las mejores ofertas tecnológicas actualizadas casi diariamente, como expliqué aquí. Aunque estés en un post “antiguo” las ofertas son de última hora, los Incognichollos los actualizo aparte. Aprovecha, que no suelen durar mucho tiempo:

  • Licencia Office 2016 Professional Plus: si queréis tener la suite ofimática funcionando sin historias, atentos porque en eBay venden licencias a 3,35 euros. Son tan baratas, supongo, por algún tema de licencias de volumen o para desarrolladores.
  • Huawei P20 Pro: el telefonazo del momento con esa cámara triple que a mí me tiene alucinado. Ya asbéis pantalla de 6,1 pulgadas casi sin marcos, Kirin 970, 6 GB  / 128 GB y la citada triple cámara en la parte posterior. Brutal. En Tuimeilibre lo tenéis a 749 euros con el cupón weekp20ro.
  • Kindle Paperwhite: el lector de libros electrónicos de Amazon con pantalla retroiluminada está a 99,99 euros en Amazon (con ofertas especiales, que podéis desactivar gratis con este truco).
  • Nintendo Switch: una consola diferente y que está petándolo: la tenéis a 279,99 euros en eBay, precio bastante chollo.
  • Xiaomi Mi 6 64 GBmi móvil personal está a precio increíble: 263,81 euros en JoyBuy para el modelo azul. Eso sí, es la versión china que tendréis que rootear para luego instalar la ROM internacional disponible tal y como explican aquí. Si no os queréis liar tanto, lo tenéis a 308,59 euros en GearBest en color azul. Si lo queréis en negro lo tenéis a 356,20 euros en GearBest. También tenéis la versión “oficial” que venden en España y que está a  424 euros en Amazon.
  • Xiaomi Mi Air 13: un portátil que me encantó cuando lo probé y que recomiendo constantemente. Es la versión con el Core i5-7200U, 8 GB de RAM, 256 Gb de capacidad y lector de huella (sin la GeForce MX150, eso sí, pero aún así muy chulo). Está a 658,27 euros en GearBest.
  • OnePlus 5T: los telefonazos de OnePlus llegan por fin a las tiendas chinas con precios más atractivos si no os importa tanto el tema garantía. El precio chollo ahora mismo es el de los 359,74 euros de JoyBuy (con ROM china, tenéis que rootear, aquí más info). El modelo con 8 GB de RAM y 128 GB de capacidad está a 428,02 euros en JoyBuy. En ambos casos te llega con la ROM China, pero como explican aquí el proceso para dejarlos con la ROM adecuada son fáciles.
  • PC Gaming Medion S91: con un Core i7-6700, 8 GB de RAM, 1 TB de disco y una GTX 1060, configuración decente para sesiones de gaming simpáticas: lo tenéis a 699 euros en Amazon (39% dto). Una versión algo más barata y modesta es el Medion Akoya P4606 D con un Core i5-7400, 8 GB de RAM, 1 TB de HDD y 120 GB de SSD y una GTX 1050 por 529 euros en Amazon. Casi más interesante esta última, la verdad, aunque en gráficos perdemos.
  • Huawei Mate 10 Lite: un móvil interesante por su pantalla de 5,9 pulgadas con formato 18:9 casi sin marcos. Su Kirin 659 está acompañado de 4 GB de RAM, 64 GB de capacidad y una cámara dual de 16 MP muy llamativa, todo por 260,67 euros en Amazon. Buen gama media, pardiez.
  • Humble Bundle Game Studies: relacionados con el mundo de los videojuegos tiene una pinta fantástica. Por 15 euros te los llevas todos, incluidos estos con la historia de la NES/SNES, la Wii o las consolas Atari. Yummy. Los tenéis todos aquí.
  • Humble Strategy Bundle: y si sois de juegos de estrategia, por 0,81 euro el ‘Company of Heroes 2’ además de otros tres, si pagáis los 9,69 euros tenéis 10 juegos en total, entre ellos ‘Endless Space 2’ y ‘Tooth and tail’. Los tenéis por aquí.
  • Xiaomi Notebook Pro: el súper portátil de Xiaomi con pantalla de 15,6 pulgadas, un Core i5-8250U, 8 GB de RAM, 256 GB de capacidad y la GeForce MX150 está a 795,30 euros en Gearbest (envío desde China).
  • Unidad SSD Kingston SSD A400: 120 GB de capacidad para una buena unidad (500 MBps en lectura, 320 MBps en escritura) que cuesta 34,12 euros en Amazon (41% dto), nada mal. La unidad de 240 GB está aun mejor, a 59,00 euros (45% dto.). Si queréis aún más, atentos a la SanDisk Ultra de 500 GB por 123,48 euros en Amazon.
  • Monitor HP Omen 25: opción interesante. Es un 24,5 pulgadas 1080p con frecuencia de hasta 144 Hz y está a 238 euros en Amazon, un 20% de descuento.
  • Sharp Aquos S2: un móvil curiosillo, la verdad: 5,5 pulgadas sin apenas marcos en la parte superior, marco inferior con sensor de huella, Snapdragon 630, 4 GB de RAM, 64 GB de capacidad, NFC, cámara dual (12+8 MPx), todo por 123,22 euros en Joybuy. La verdad, sorprendente y no se porta mal según este análisis.
  • Xiaomi Mi Mix 2: acaba de salir el 2s, pero el modelo del año pasado sigue siendo simpático aunque no tenga doble cámara. Por lo demás, bastante bestia: Snapdragon 835, 6 GB de RAM, 64 GB de capacidad, pantalla casi sin macos de 5,99 pulgadas. Todo por 356,71 euros en Banggood. La otra opción es comprarlo en Amazon por 399 euros con envío rápido y garantía de aquí.
  • Pendrive Sandisk Ultra Dual: súper compacto y con conector MicroUSB y USB-A para conectarlo al ordenador o al móvil. El modelo de 32 GB está a 9,09 euros en JoyBuy, pero también tenéis el de 64 GB (15,70 euros, es el que yo elegiría), 128 GB (30,59 euros, otra buena opción) o ya el más bestia, el de 256 GB (63,67 euros).
  • Xiaomi Redmi 5 Plus: un señor teléfono con Snapdragon 625, 3 GB de RAM, 32 GB de capacidad y una pantalla 18:9 como los más chulis. La cámara de 12 MP tampoco está mal, pero lo mejor, como siempre, el precio: 147,73 euros en GearBest. La versión con 4 GB de RAM y 64 GB de capacidad está a 162,49 euros en GeekBuying.
  • iPhone X: el súper teléfono de Apple está algo más barato en esta tienda que ofrece las dos versiones: la de 64 GB por 879 euros con el cupón Iphonedeals64 y la de 256 Gb por 1039 euros con el cupón Iphonedeals256, casi 300 euros más barato que el precio oficial.
  • Xiaomi Mi A1: atentos que el smartphone chollo de la temporada está a 147,18 euros en AliExpress en oferta destacada. Es la versión en color negro con 4 GB de RAM y 32 GB de capacidad con su doble cámara y su Snapdragon 625.
  • Monitor Gaming AOC G2460FQ: un monitor de 24 pulgadas con resolución 1080p pero que destaca por soportar frecuencias de hsata 144 Hz, brutal. A este precio, más: 199 euros en PC Componentes.

¿Quieres recibir un correo de aviso cuando publique nuevas entradas?

Standard

11 comentarios en “La mejor contraseña es la que puedes recordar

  1. Una duda que siempre he tenido es sobre la privacidad a la hora de meter las contraseñas mediante un navegador:

    Entiendo que el navegador las ve todas (y además las graba y se las pasa a la NSA, por decir algo, aunque nunca lo admitan) ¿verdad?

    Y, por otra parte ¿cómo de seguro es confiar en que el navegador recuerde tus claves?

    Cómodo es ¿pero seguro?

    • Súper cómodo y probablemente muy poco seguro, sobre todo si dejas que las recuerde. Yo algunas sí le dejo (sobre todo si tengo verificación en dos pasos) pero las sensibles no, porque KeePass se encarga de detectar que el navegador me las está pidiendo y las rellena automáticamente.

      Vamos, que si te lo curras el navegador no debería ser un problema. Pero como dices, si quieres comodidad puedes prescindir de KeePass u otros gestores de contraseñas y que lo haga todo el navegador. Mala idea, diría yo.

    • nadie dice:

      Esa es la duda que he tenido yo siempre con el DNI electrónico. Resulta que tienen un chip súper molón en el que tienen a buen recaudo (teóricamente) tus datos y tus claves criptográficas con las que puedes hacer firmas digitales pero que, para usar estas claves, tienes que utilizar un programa que te presenta una ventana en la que tú tienes que introducir la contraseña de desbloqueo.

      Y yo siempre me he preguntado: de qué sirve tanto chip y tanta protección de claves criptográficas si luego no existen unos mecanismos que te aseguren que cuando introduces la clave de desbloqueo en tu ordenador lo estés haciendo en la ventana correcta, presentada por el programa legítimo. ¿Cómo puedo saber yo que cuando estoy firmando un documento estoy firmando ese documento y no otra cosa más de tapadillo? ¿O que la clave de desbloqueo no se haya almacenado (ni siquiera temporalmente) en un lugar inseguro?

      • En algún momento me temo que tienes que depositar tu confianza en alguna entidad o en alguien para no volverte loco. Eso unido a un poco de sentido común debería servir para protegerte de bastantes amenazas, aunque siempre te puedan pillar por algún lado. Como decía, la idea es ponerle candado al volante del coche para que al caco le dé algo de pereza ir a por el tuyo.

      • Land-of-Mordor dice:

        Lo que a mí me sigue sin convencer es que esos gestores de contraseñas son, por la dimensión de las empresas que los crean y sus medios, presas más fáciles para los que se dedican a robar “bases de datos” de usuarios y contraseñas. Si a Sony, Yahoo y a otras grandes les han robado ese tipo de información, no quiero imaginar qué podrán hacer con otras empresas de menor tamaño.

        Son como las famosas “apps” “fintech” que te aglutinan la información y uso de tus cuentas bancarias y tarjetas. Muy molonas y todo lo que quieran, pero si no me fío de la seguridad que provee mi propio banco y de lo que hará con la información mía que tiene, menos me fío de un tercero del que no se tiene claro de dónde proceden sus ingresos. ¿Comercian con la información de “login”? ¿Cobran por el servicio? ¿Te ponen anuncios? ¿Esos anuncios están relacionados de alguna manera con tus estadísticas de uso de contraseñas?

      • Claro, pero como digo al final tienes que depositar tu confianza en algo o alguien, y ahí tu capacidad de sacrificar comodidad para tener más seguridad es clave. La de la mayoría de la gente (y me incluyo) es muy limitada. Estamos bastante condenados, me temo.

  2. Pingback: El sistema de gestión Séneca, un despropósito – Adrián Perales

Comentarios cerrados