¿Son
seguras tus claves de Internet?
Hace
pocos días , Twitter comunicó que había sufrido un ataque hacker
muy sofisticado y que más de 250.000 claves de sus usuarios, podían
“correr peligro”. Elegante modo, por cierto, de decir que no
tienen las medidas de seguridad necesarias para preservar la
identidad de sus clientes, no tienen ni idea de cuales han sido
vulneradas y no aportan más solución que la de que "recomiendan
reforzar la seguridad de las claves". ¿Reforzar? ¿ Como, quien?.
Este
verano, Linkediin reconoció que 6,5 millones de contraseñas usadas
en esa red, se habían publicado en un foro ruso. Parece por tanto,
que ni muchísimo menos, estamos protegidos por aquellas empresas que
obtienen beneficios millonarios con nuestra presencia. Pero ¿ y
nosotros? ¿ Realmente tomamos todas las medidas a nuestro alcance
para que nadie se nos cuele y haga pasar por nosotros?Hay un dato
demoledor: el porcentaje más alto de contraseñas robadas a Twitter,
era “123456”
¿Que
medidas debemos adoptar para tener claves seguras?
Partamos
de la base de que la clave inviolable NO EXISTE. Todas,
absolutamente todas las claves son descifrables. Y no es necesario
ser un experto en criptografía, ni miembro del Mossad. Calculemos
que un ordenador potente, con el software adecuado se estima que
tardaría 5,5 horas en descifrar una clave alfanumérica de OCHO
POSICIONES. Pensemos en grupos de hackers uniendo sus máquinas en
fines oscuros y tendremos la respuesta a lo vulnerables que somos.
Sin embargo hay comportamientos que deberíamos considerar a la hora
de diseñar nuestras “supercontraseñas”.
- Nunca uses como tal, datos que puedan ser fácilmente conocidos y vinculados a ti. El número del DNI, las fechas de nacimiento, los nombres de hijos, padres, cónyuges, matriculas de coches etc, es lo primero que alguien que quiere usar tu identidad va a probar
- Usa contraseñas alfanuméricas. Si un ordenador precisa un tiempo determinado para “encontrar” tu clave, ese tiempo no es otra cosa que el que necesita para llevar a cabo todas las combinaciones posibles. Si usas solo digitos, deberá probar las combinaciones de 10 elementos. Si añades letras, la cosa se incrementa enormemente.
- Amplia todavía más tus herramientas. Ya tienes números y letras. Usa también símbolos. Y alterna mayúsculas y minúsculas. De ese modo multiplicas por millones las combinaciones posibles.
- Ten en cuenta este dato: casi todo el mundo usa el primer carácter alfabético en mayúscula y el resto en minúscula. Se imaginativo, tienes muchas combinaciones posibles
- No me digas porque, no hay más razón que la falta de originalidad humana: un altísimo porcentaje de quienes usan símbolos, lo hacen con “%” y “@”. Tienes montones de símbolos, ¡diferenciate por Dios!
- No uses claves importantes o “sensibles” en un ciber-café. Hay mil razones para que no lo hagas: no entraré aquí en detalle, pero tomalo como un dogma de fé.
- Nunca, jamás, guardes tus claves en la red, ni tu pc, mucho menos en tu smartphone. Si alguien te los violenta..estás muert@
Con
estos simples consejos, mejorarás sobremanera tu nivel de seguridad.
Siempre recordando el axioma del principio. Toda clave es vulnerable
de un modo u otro. Algunas con dificultad, tiempo y tecnología;
otras “con la gorra”. Que la tuya no sea de estas últimas.
Algo que
sería el ideal , es tener una clave para cada cosa. Si, se que eso
es imposible, te volverías loco y tu mente humana no sería capaz de
retenerlas. Hagamos una cosa create un algoritmo. ¿Que, que es eso?
Bueno es en realidad un conjunto de reglas a seguir que traen un
resultado esperado.
Te pongo
un ejemplo 12 DE OCTUBRE DE 1492 ¿es fácil de recordar verdad?
Supongamos que tu algortimo1 es para los correos, por
ejemplo la secuencia DIA-MES.AÑO . Tu resultado es 12101492.
Pero si tu algoritmo2 lo cambias por AÑO-MES-DIA, el
resultado ahora es. 14921012. Complícalo más y asume que
para el algortimo1 usarás 2 letras y 2 simbolos. Estos los situarás
siempre en el centro de la combinación númérica y estarán
compuestos por una minúscula “a” una mayúscula ”B” y los
símbolos “<” y “>”, precediendo a las letras según
que sea minúscula < o mayúscula >.
Así
pues, tendrías que el algortimo1 te daría resultado de
1210<a>B1492. El algoritmo 2 solo cambiaría el orden DIA
-MES-AÑO por el de AÑO-MES-DIA. Todavía tienes el MES-DIA-AÑO,
MES-AÑO-DIA etc...Si alguna vez no estás segur@, solo debes probar
el orden de esas posiciones y ya lo tendrás.¿Ves? Ya tienes un
algoritmo. Create el tuyo propio con aquellas cosas que recuerdes
fácilmente y te sirvan de base
Otro
aspecto a considerar, es el de que siempre tendemos a tener claves
sencillas o complejas según de que se trate. No nos preocupa
mucho, por ejemplo que nos asalten el acceso a un site para escribir
poesía, pongamos por caso. Por ese motivo, nos hacemos vagos y
usamos 1352 que es la clave del banco y recordamos fácilmente Los
sistemas de seguridad de un banco, no son igual obviamente que los de
la web de poesía. Pero...¿y si te asaltan esta y tu usas la misma
clave para tu cuenta corriente?. Estás muert@...y arruinad@.
Te
parece que la clave QaZWsX147 ¿ puede ser segura?. En
principio, mezcla dígitos y letras y estas son mayúsculas y
minúsculas. Y tiene 9 posiciones. ¿ No está mal no?. Pues
escríbela de nuevo y fijate en el movimiento de tu mano al
hacerlo. Que, ¿es fácil “verla”? Los movimientos de tu
mano, la estarían cantando para alguien “observador”.
Sin
embargo, todos pensamos que las claves de nuestras tarjetas bancarias
son pobres: solo tienen 4 posiciones numéricas. eso significa que
“solo” hay 10.000 posibles combinaciones, las comprendidas entre
0000 y 9999. Eso es cierto, pero...tienes tres intentos o se bloquea
el sistema. Estadísticamente, la probabilidad de acertar es
despreciable
Cuando
te regsitras en un site, eliges un usuario y una clave, que solo tú
debes de conocer. Para ello, al escribir tu combinación elegida, SI
EL SITE ES DE CONFIANZA Y SERIO, debería usar un sistema de
encriptación tipo MD-5
o similar. Eso significa que en la base de datos donde quedan
registrados los tuyos, los relativos al acceso no son “traducibles”
a simple vista. Así de ese modo, si yo elijo como usuario
“puturrudefuá”,
en la BBDD, lo que el administrador o las personas que tengan acceso
podrán ver es, este “chorizo” : 19009e21c37af12948697cec6499a10f
. Todo eso, en realidad es el resultado de lo que denominamos
“semilla”y que se convierte en esa cadena.
Estas
medidas, se adoptan para que tus datos no estén expuestos a aquellas
personas, que por muy administradores que sean del site, no tienen
porque conocerlas. Por ese motivo, cuando olvidas tu contraseña y
solicitas te sea reactivada, el sistema te lleva a un link, donde lo
que haces es volver a elegir la nueva contraseña. Que será
encriptada en MD-5 y por tanto no entendible por un humano. Aquellos
sites a los que les solicitas tu contraseña y te envían un correo
con tus datos registrados son...PE-LI-GRO-SI-SI-MOS. Todos aceptan
que sus datos los tenga el administrador. ¿Y si este es un
“bandarra”? O sin serlo se convierte?. O tiene un amigo que lo es
y a quien le permite acceder a la BBDD?. ¿O si un hacker entra por
alguna puerta?.Recuerda, tus claves SIEMPRE ENCRIPTADAS; si no, huye
de ese site, “pon pies en polvorosa”
Espero
que estos consejos te resulten de utilidad. En todo caso, recuerda lo
que escribí al principio: ninguna clave es inviolable. Así es que
si tienes un tesoro...compártelo con la humanidad. Te hace sentir
bien y no se te queda cara de idiota si te lo roban. Por cierto, mis
algoritmos no son los que te conté...ni de coña, claro