Cuando despidamos dentro de poco este año 2020, podremos comprobar si cambia algo el top de contraseñas comunes más utilizadas, lamentablemente adelanto que pocas esperanzas hay de ello.
Pueden diferir posición arriba, posición abajo según unas fuentes u otras, pero evaluando las contraseñas filtradas en la web, básicamente todos los estudios coinciden en un ranking similar al siguiente, que permanece además casi inalterable desde hace años:
123456
123456789
qwerty
password
1234567
12345678
12345
iloveyou
111111
123123
abc123
qwerty123
1q2w3e4r
admin
qwertyuiop
654321
555555
lovely
7777777
welcome
888888
princess
dragon
password1
123qwe
El tema de contraseñas lo hemos tratado anteriormente en otros artículos, ya sea recomendando el uso de gestores de contraseñas: https://ciberseguridadtotal.com/gestores-de-contrasenas-si-o-no/, hablando de cómo podemos detectar si nuestras cuentas se han visto comprometidas https://ciberseguridadtotal.com/millones-de-contrasenas-deambulando-por-la-red/, o comentando como un simple robo de credenciales puede derivar entre otras muchas cosas, en un caso de sextorsión: https://ciberseguridadtotal.com/sextorsion-que-es-y-como-nos-afecta/.
Pero aún así es importante seguir insistiendo (sin pasarse claro, no somos Google tratando de vender Youtube premium), en la necesidad de cuidar nuestras contraseñas, porque esa especie de listado de grandes éxitos de contraseñas anterior, representa perfectamente el escenario de hoy en día.
Y podemos tratar de quitar hierro al asunto, con el típico pensamiento de que las contraseñas son simplemente una pesada carga con la que debemos convivir, pero en realidad, una contraseña significa el acceso a una parte de tu vida, ya sea personal o profesional, puede significar el acceso a tu dinero (banca online), a tus redes sociales, a tu intimidad (fotografías, videos, salud…), a datos críticos de tu trabajo…
Está claro que las contraseñas no son un método infalible ni cómodo, pero actualmente es lo que hay, y debemos cuidarlo, de modo que avanzamos consejos imprescindibles:
Utiliza contraseñas diferentes para cada servicio:
De modo que si roban tus credenciales de acceso en un sitio, no se traduzca en que todos los demás quedan comprometidos.
A modo ejemplo dummy, si dispusieramos de una llave maestra capaz de abrir nuestro coche, el de nuestra pareja, nuestra casa, nuestro negocio, la casa de nuestros padres, el trastero… y nos la roban, ¿el problema es gordo verdad? pues lo mismo ocurre con una contraseña que utilizamos en mil lugares: el correo personal, el correo corporativo, el acceso a Google/iCloud, bancos, redes sociales, compras online, etc…
Concienciarse es fácil, si accedemos a https://haveibeenpwned.com/ y metemos nuesto e-mail, seguramente aparezca filtrado en alguno de los típicos robos a compañías que usamos a diario (Microsoft, Yahoo, Linkedin, Adobe…), ¿qué quiere decir eso? pues que éstas sufrieron (y sufren) robos de datos de clientes, que deambulan por ahí y cualquiera puede obtener para hacer daño.
Utiliza gestores de contraseñas:
Seguramente no son la solución perfecta, lo ideal es tener la capacidad mental suficiente como para memorizarlas todas nosotros mismos, pero como esto es imposible, los gestores de contraseñas permiten poder usar contraseñas diferentes para todos nuestros servicios, y además que éstas sean complejas.
Como comenté más arriba, ya dedicamos un artículo al tema de gestores de contraseñas, y además en https://ciberseguridadtotal.com/herramientas/ hay referencias a utilidades gratuitas de este estilo.
Simplemente añadir que ya en 2015, un estudio de Dashlane: https://www.dashlane.com/ estimaba que cada cuenta de correo tenía asociadas 130 contraseñas de servicio. Ciñéndonos a ese patrón ¿Somos capaces de memorizar 130 contraseñas complejas? en caso negativo, me temo que no queda otra que pasar por el gestor de contraseñas de turno.
Y muy importante, no utilizar como gestor de contraseñas una aplicación que no es para tal, es decir, nada de almacenar contraseñas en texto plano en los típicos Word, Excel… porque podemos hacer un problema mucho mayor, ya que recopilamos todos nuestros accesos en un medio inseguro, y si cae en malas manos se lo dejamos a huevo al atacante..
Utiliza contraseñas complejas
Utilizar contraseñas simples o cortas pueden suponer un problema, de modo que ataques en base a diccionario o fuerza bruta, fácilmente pueden comprometer una credencial.
El listado de grandes éxitos inicial es una prueba de ello, son las primeras que probaría cualquier atacante, pero es que listados como éste hay muchos, y hay top por país, por sector.
También es un problema utilizar contraseñas fácilmente reconocibles, poner el nombre de tu mascota, la fecha de tu cumpleaños o el nombre de tu pareja, además de poco original, se lo va a poner fácil a cualquiera que quiera hacerte daño con simplemente investigar un poco tu vida, que además actualmente está a golpe de click en internet.
Sobre contraseñas seguras ha habido distintas tendencias y opiniones, pero lo que más recomiendan ahora los expertos es:
- Que al menos posea 12 caracteres.
- Si incluye números y caracteres especiales pues mejor que mejor
- Pero lo más importante, que sean largas, cuando más largas mejor, de hecho las últimas tendencias son recordar frases en lugar de palabras complejas
Por ejemplo, imaginando que nos gustan los macarrones con tomate, una contraseña tan simple como “¡MacarronesConTomate!” se puede considerar adecuada, y es fácil de recordar.
Nota: en caso de usar gestores de contraseñas, el tema de complejidad dejará de ser una preocupación, esta es una de sus grandes ventajas.
Renueva tu contraseña de vez en cuando
Los últimos datos, digitalguardian tiene una buena infografía en: https://digitalguardian.com/blog/uncovering-password-habits-are-users-password-security-habits-improving-infographic indican que aproximadamente el 30% de las personas cambia sus contraseñas muy esporádicamente, o no lo hacen nunca. Además, los que la han cambiado, lo han hecho por motivos de seguridad tras un ataque o filtrado de datos (vamos, que no les ha quedado otro remedio).
Sin embargo, la renovación de contraseña es fundamental, sobre todo en el entorno corporativo, dónde es más que obligatorio disponer de una correcta política de seguridad al respecto.
Si una contraseña se viera comprometida, el cambio automático por caducidad, o por iniciativa propia, puede evitar males mayores, sobre todo si no somos conscientes de ese problema de seguridad en curso.
Doble factor de autenticación
Siempre que sea posible, es recomendable habilitar el doble factor de autenticación. Que una vez activado, no resulta tan engorroso como aparentemente parece.
Con ello, al autenticarnos en un servicio, deberemos proporcionar un token (confirmación a través del smartphone, huella dactilar, código que recibamos en otro dispositivo….) además de la contraseña habitual.
Esta técnica, es realmente útil en el ámbito de la ciberseguridad, y probablemente la evolución de contraseñas tradicionales gire alrededor de sistemas similares a éste..
A continuación, algunos enlaces útiles para activar la doble autenticación en servicios de referencia:
- Google: https://support.google.com/accounts/answer/185839?co=GENIE.Platform%3DDesktop&hl=es
- Apple: https://support.apple.com/es-es/HT204915
- Amazon: https://www.amazon.es/gp/help/customer/display.html?nodeId=202073820
- Facebook: https://www.facebook.com/help/2FAC
- Twitter: https://help.twitter.com/es/managing-your-account/two-factor-authentication
- Dropbox: https://www.dropbox.com/es_ES/help/security/enable-two-step-verification
