Tu contraseña no es segura

Imagen vía el usuario de Flickr Christian Ditaputratama.

Todos nos enfrentamos a un sistema defectuoso en cuanto a las contraseñas. El problema va desde lo molesto que son —es extraño tener que recordar un código secreto que creaste hace años para tener acceso a algo tan trivial como las redes sociales— hasta lo espeluznante, ya que no importa cuánta seguridad utilices para crear tus contraseñas y esconder tus secretos, en muchas ocasiones, esas porquerías ni siquiera funcionan.

Me propuse encontrar la cura para este problema. Empecé por crear lo que me parecía un sistema inteligente para generar contraseñas al azar de una manera que pudiera recordar. No voy a dar más detalles porque sigo utilizándolo, pero les puedo decir que para crear un código que tenga sentido para mí, es necesario usar el nombre de cada servicio.

Después le expliqué mi sistema a Nik Cubrilovic, experto en seguridad, por si necesitaba algunas mejoras. Después de todo, debe haber un sistema para crear contraseñas con el que todos los expertos en seguridad estén de acuerdo. Y claro, un chico cualquiera como yo puede crearlo, ¿cierto?

Cuando le dije que el confuso código que había estado usando para generar mis contraseñas sólo podía descifrarse dentro de mi asombroso cerebro, Nik tuvo la amabilidad de demostrarme que mi sistema era confuso, estúpido y no tan seguro. Poco después averigüé que hay debates sobre cuál es la manera correcta de hacer contraseñas, pero que las mejores opciones aún no se pueden implementar y que probablemente nunca exista un sistema universal que funcione apropiadamente.

Selfie autorizada de Nik Cubrilovic, cortesía de Nik Cubrilovic.

La conversación comienza después de explicarle mi sistema ultra secreto de contraseñas:

VICE: ¿Qué opinas sobre mi sistema de contraseñas?
Nik Cubrilovic: Sólo para aclarar las cosas, ¿si alguien supiera una de tus contraseñas podría descifrar las demás? He escuchado sobre algunas combinaciones similares en las que tomas una letra cualquiera del nombre del servicio y luego tomas una línea de alguna canción de tu banda favorita y la usas como el principio o como la base de tu contraseña.

Yo nunca usaría palabras del diccionario.
Es una mala opción porque una contraseña de cuatro palabras combinadas —según cálculos matemáticos— es probablemente más segura que cualquier código que pueda generar una persona.

Pero las palabras no pueden ser mejor que la aleatoriedad que genero en mi sistema, ¿o sí?
Éste es el problema: el cerebro humano es pésimo para generar cosas al azar. Si le pides a alguien que escoja mil veces un número del uno al 100, no será para nada aleatorio. Creo que con las contraseñas es aún peor. Cuando le pides a alguien que piense en una contraseña rápidamente, en general resulta ser muy mala. Hay estadísticas que respaldan lo que digo.

¿Qué clase de estadísticas?
Hay fugas en las bases de datos de contraseñas. Alguien logra entrar y luego analiza las contraseñas preferidas. El caso más famoso fue el de rockyou.com, en donde se filtraron 40 millones de contraseñas. Se descifró el 87 por ciento de estas usando sólo un diccionario de inglés, haciendo variaciones como cambiar una O por un 0, agregando un signo de interrogación o de exclamación, y los números 12345 al final. Fue cuestión de unas horas.

Debo admitir que mi sistema es más o menos así. ¿Por qué es mejor usar palabras del diccionario?
Si usas cuatro palabras en cualquier idioma, por ejemplo “gran pila de paja”, en verdad es una contraseña segura. Sé que esto contradice todo lo que nos han dicho desde que empezamos a utilizar el internet, pero el diccionario de Oxford tiene al menos 200 mil palabras (en realidad tiene 252 mil). Así que si multiplicas 200 mil por cuatro, con todas las diferentes combinaciones, terminas con una contraseña mucho más segura que si sólo usaras una palabra con 12345, signos de interrogación, de exclamación o cualquier otra cosa que se te ocurra al final.

Parece que así se podrían hacer contraseñas fáciles de recordar.
Necesitas tener una contraseña que puedas recordar. La mejor combinación para una buena contraseña es tomar cuatro palabras al azar del diccionario —inglés, español o el que sea— y simplemente usarlas como tu contraseña.

Creí que se necesitaba al menos una mayúscula, más una mezcla de letras y números, y ciertos signos de puntuación, pero no cualquiera porque algunos sistemas no permiten ciertos signos de puntuación.
Nos han orillado a eso. Si recuerdan la historia de cómo llegamos a esto, ¿no les parece un poco extremo? Antes sólo se necesitaban ocho caracteres y luego una mayúscula. Después se necesitó un número y un símbolo. Las contraseñas son cada vez más difíciles de recordar.

Es demasiado. Algunos servicios te dicen: “No, agrega algo más. ¡No puedes usar palabras del diccionario!”
Eso está mal. De hecho abrí una página llamada badpasswords.org en la que señalo las páginas web que tienen pésimas sugerencias o reglas para las contraseñas, algo que no deberían hacer. Deberías incluir esta historieta en todas las publicaciones sobre contraseñas porque me parece que transmite bien el mensaje de usar palabras en las contraseñas.

En este punto me mostró una historieta de XKCD:

OK. ¿Podrías resumir el mensaje de esta historieta?
Estas restricciones hacen que las contraseñas sean más difíciles de generar y también las vuelve más predecibles. En el primer cuatro de la historieta dice: “reemplazos comunes”. Como ya se filtraron muchas contraseñas y ya se tiene mucha información sobre cómo crean los humanos sus contraseñas, los programas de computadora que se encargan de reemplazar esos caracteres se han vuelto muy buenos en lo que hacen. Tan buenos que da miedo.

La entropía —el rango de posibilidades— es de 44 bits contra 28 bits. Para que tengas una mejor idea de lo que hablo, cada “bit” duplica la cantidad de tiempo que toma descifrar la contraseña. La diferencia entre 28 bits y 29 bits es muy significativa. Si se necesita un día para descifrar una contraseña compuesta por caracteres de 28 bits, para descifrar una de 29 bits serían necesarios dos días. Si sigues duplicándolo hasta llegas al 44, al final se necesitarían varias décadas o siglos para descifrar una contraseña de cuatro palabras. Además, las palabras son más fáciles de recordar.

Corrígeme si me equivoco pero. Lo que dices me hace creer que los sistemas para las contraseñas contradicen toda lógica.
Le exigen a la gente que genere contraseñas que nunca van a recordar y que además son más fáciles de descifrar con una computadora cuando en realidad la gente podría simplemente hacer lo contrario. Claro, suponiendo que son al azar, porque habría que probar 200 mil palabras a la cuarta potencia.

Entonces nunca debimos haber creado nuestras propias contraseñas. ¿En lugar de eso deberíamos pedirle a alguien más que nos asignara cuatro palabras?
Todo lo que hacemos ahorita está mal. También está mal exigirle a la gente que cambie su contraseña cada cierto tiempo. Está mal porque cuando los obligas a cambiar su contraseña, terminan escribiendo sus nuevas contraseñas o eligen algo mucho más sencillo. O simplemente cierran su cuenta. Así que, prácticamente todo lo que hacemos o a lo que estamos acostumbrados en cuanto a la seguridad de las contraseñas está mal. La buena noticia es que va cambiando poco a poco.

Pero yo no había escuchado nada de esto. ¿Por qué no sales a gritar esta información a la calle para convencer a las personas de que usen el método XKCD?
Muchas páginas no están adaptadas para usar este método y van a rechazar la contraseña de cuatro palabras. Apple es una de estas páginas.

Correcto. Los sistemas son el problema. ¿Cómo deberían funcionar los nuevos sistemas para crear contraseñas?
Estos servicios no deberían evaluar las contraseñas basándose en reglas. Deberían basarse en lo aleatorio de la contraseña, pero por el momento no funciona de ese modo. Sólo revisan si tiene al menos ocho caracteres, una mayúscula, minúsculas, un número y un signo de puntuación. Así no se comprueba si la contraseña es al azar. Se debe evaluar usando cálculos matemáticos y no reglas tontas.

Sería de gran ayuda llamarlo “El método XKCD”.
Tienes razón. Le queda muy bien el nombre.

***

Después de platicar con Nik, me puse en contacto con Randall Munroe, creador del método XKCD y de la historieta, quien es algo así como el poeta laureado de los rincones más nerds de internet. Creí que Randall confirmaría mi idea de que si usamos el sistema que él creó, todo estaría resuelto. Como podrán imaginarse, no es tan sencillo.

“Nada de lo que he escrito ha originado tantas discusiones”, explicó. “Todos los usuarios de internet se creen analistas de seguridad”.

Me recomendó usar Diceware porque “ofrece una lista específica de palabras y un procedimiento, mientas que mi historieta es para la práctica general”. Diceware es un sistema que satisface la gran necesidad de aleatoriedad al momento de escoger palabras del diccionario para crear la clase de contraseñas que recomienda. Desafortunadamente, Diceware requiere que lances un dado real —físico, de seis caras— para crear una serie de números realmente aleatorios que equivalgan a palabras realmente al azar. “No utilices un programa de computadora o un dado electrónico”, advierte el sitio.

Estaba muy esperanzado al momento de hablar con Munroe, pero me desilusionó mucho la idea de tener que sacar mis herramientas de Dungeon Master para generar contraseñas. Nadie va a hacerlo. “Otra cosa que pensé es que”, continuó Munroe, “todo este asunto de las contraseñas podría ser una causa perdida, aunque creo que eso no es lo que querías escuchar”.

Durante nuestra conversación, Cubrilovic mencionó otra parte del problema de las contraseñas que quizá sea la solución para este desastre: El “segundo factor”. Explicó que con segundo factor se refiere a “todas las opciones que se tienen además de la contraseña, como el lector de huellas digitales, el escáner de ojos, la tarjeta inteligente, el token de seguridad, los mensajes de texto. Todo va en esa dirección”.

Suena bien. Si el concepto de contraseña es “una causa perdida”, como dijo Munroe, entonces hay que dejar de utilizarlo. Presiento que este “segundo factor” va a funcionar. Esta fase de la seguridad de nuestra información funcionará a la perfección por siempre y estoy seguro de que esta reiteración de la seguridad en internet jamás se tornará en algo frustrante e innecesario.

Sigue a Mike Pearl en Twitter.