Blog personal de Diego de Haller
Blog personal de Diego de Haller

Seguridad: el tema de las contraseñas

 

Desde hace tiempo utilizo un gestor de contraseñas. Primero 1Password y luego Keepass (las razones del cambio podría explicarlas en otro post, pero ambas soluciones son muy buenas). Sin embargo, hasta hace poco no he utilizado la función de generación de contraseñas que aplicaciones como estas ofrecen, y siempre que creaba una nueva cuenta en algún servicio online era yo el que creaba la contraseña. Al principio, una compleja, pero siempre la misma. Luego, decidí utilizar la misma base y modificarla en base a la página web/servicio a la que pertenecía la contraseña, pero he de reconocer que era sencillo adivinarlo.

Hago un inciso sobre el tema de usar siempre la misma contraseña y sobre si hay que obligar a cambiarla cada X tiempo (generalmente son 3 meses). La respuesta corta es no hay que usar la misma contraseña para todos los servicios (por muy compleja que sea) y sí con matices para obligar al cambio. La respuesta larga, aquí viene.

Usar siempre la misma contraseña

Si es compleja y difícil de adivinar o atacar, podríamos pensar que sí que se puede utilizar la misma contraseña para todos los servicios. Encima si conseguís memorizarla y es muy larga y compleja, podéis tener la sensación de que no hay quien pueda adivinarla. Y estaríais equivocados. Y mucho. El problema viene del otro lado, es decir, del servicio que usáis utilizando esa contraseña. Si, como se ha visto en muchas ocasiones, los servicios que almacenan los usuarios y contraseñas no están bien diseñados y son hackeados, vuestra contraseña super compleja y larga no vale nada. Y, lo peor de todo, si la habéis utilizado en otros servicios, tenéis la difícil tarea de cambiarla en todos y cada uno de ellos.

Cambiar la contraseña cada X días

Aquí la respuesta no es tan tajante como la anterior. Podríamos decir que si la contraseña es única para el servicio, es decir, no la usáis nada más que para un servicio y que es compleja, en principio no tenéis que cambiarla cada X días. Digo en principio, porque aquí al final el problema es el mismo: si el servicio en cuestión es hackeado y si, como pasó con Yahoo, no lo comunican tan pronto lo saben o, lo que es peor, el servicio no sabe que ha sido hackeado, tendréis casi la total certeza de que alguien ha podido entrar usando vuestras credenciales. Por eso es interesante estar al día de los ataques que se producen y usar servicios como Have I been pwned?, que puedes configurar para que te manden un mail cuando tu correo aparezca en alguna base de datos hackeada.

Una vez aclarados estos puntos, vuelvo al tema en cuestión. Aunque ya casi está casi todo dicho. Tenéis que usar un gestor de contraseñas por la sencilla razón de que tenéis que usar contraseñas complejas (combinaciones de letras, números y caracteres especiales) y largas (mínimo 13 caracteres). Hay muchas herramientas en el mercado, así que igual un día hago un post explicando lo que yo uso, pero usad uno si no lo hacéis ya. Y si encima lo unís a una autentificación en dos pasos, mejor que mejor. De eso también encontráis opciones en el mercado, Google Authenticator, Authy, Duo, … También hay material para un post.

Ahora que os habéis leído todo esto seguro que vais a empezar a cambiar las contraseñas de todos los servicios que usáis, y vas a instalar un gestor de contraseñas. ¿A que sí? Como si os viera… Bueno, por si acaso os da por hacerlo, no os sorprendáis si os dais con servicios que, por un motivo que logro entender, limitan la longitud de las contraseñas (te miro a ti, Microsoft, SAP, …). Pasa, no mucho, pero pasa. Así que armaos de paciencia. Si queréis usar un generador, tengo uno que simplemente muestra una contraseña cada vez que carga la página. La contraseña generada no se almacena en ninguna parte y desaparece tras cada recarga, así que apuntadla bien. Tiene un contador de visitas (Google Analytics), pero sólo para ver si la gente lo usa, por aquello del bien que hace pensar que alguien usa un servicio que he hecho. Una chorrada de servicio, pero oye, un servicio. No pone caracteres especiales por un motivo muy tonto: si queréis seleccionar la contraseña con un doble click de ratón, si hay algún carácter especial, la selección se parará en cuanto se encuentre ese caracter. Y quería que fuera rápido de copiar.

En fin, sólo me queda animaros a usar contraseñas seguras y únicas para cada servicio que utilizáis, a cambiarlas de cuando en cuando, que dicen que las contraseñas son como los calcetines, si no los cambias mucho, apestan.

¡Saludos!