Introducción

Todos nosotros, sin excepción, tenemos decenas de cuentas en distintos servicios web como correo electrónico, redes sociales, revistas y periódicos, foros, tiendas online, y un larguísimo etcétera. Y la pregunta que formulo aquí es: ¿le damos la suficiente importancia a la seguridad de estas cuentas? Es más, ¿hemos pensado alguna vez en los riesgos que podría suponernos el acceso de terceros a dichos servicios usando nuestro nombre?

Existen muchas personas y empresas tratando de encontrar formas alternativas que ofrezcan el nivel de seguridad de una contraseña escrita, que pueda transmitirse si se desea y que no pueda ser robada o copiada sin permiso. Esto, claramente, no es nada sencillo. De modo que nos toca continuar usando cadenas de caracteres para mantener segura nuestra información en Internet.

Yo mismo he sido victima de robos de contraseña en algún momento. Un día cualquiera recibí una notificación en mi teléfono móvil indicando que mi cuenta de Gmail había sido bloqueada. Al parecer alguien desde China, aunque perfectamente ese alguien podría estar en Etiopía, Chile o en mi misma calle, había intentado entrar a mi cuenta usando mis credenciales. Naturalmente Google presto y veloz, bloqueó dicho acceso y me notificó que hiciera algo. En concreto, cambiar la contraseña por otra más segura y única, y desbloquear la cuenta usando el teléfono móvil.

Y ahí mismo, en la frase anterior, es donde creo que está la respuesta a los problemas con las contraseñas: Una contraseña debe ser segura, sí, pero también única.

Pero claro, esto no es nada sencillo. ¿Cuántos servicios distintos usamos? ¿Diez? ¿Veinte? ¿Cincuenta? ¿De verdad vamos a tener una clave de acceso distinta para cada uno de ellos? Pero, ¿Y si esto no sonase tan subrealista? ¿Y si realmente fuese posible? ¿De verdad podemos recordar tantas claves distintas y que no nos explote la cabeza?

Alguno ya quizás estará pensando en un gestor de claves. Claro, un cuaderno donde apuntar todas nuestras claves de forma segura para consultarlas cuando las necesitemos. ¡Una magnífica idea! (más o menos).

Uso de gestores de contraseñas

KeePass es uno de los muchos gestores de contraseñas que existen. Mantiene todas tus claves cifradas y seguras bien usando una contraseña (sí, contraseñas que protegen contraseñas (una metacontraseña, más bien)) o bien usando un fichero que actua como clave para descifrar. Obviamente este fichero debería estar en un dispositivo externo y este estar guardado en un sitio seguro, si no, es como si no tuviéramos nada.

Usando esta herramienta podríamos tener contraseñas únicas para cada servicio sin preocuparnos de recordar todas y cada una de ellas. Bien. Es más, esta herramienta tiene un generador de contraseñas aleatorias, de modo que no tendríamos ni que inventárnoslas nosotros.

Pero, ¿podemos ir un paso más allá? ¿Podemos eliminar al gestor de contraseñas de la ecuación y trabajar con contraseñas únicas y aleatorias (o aparentemente aleatorias) sin usar herramientas extras?

Métodos para usar contraseñas seguras y únicas

Mirando un poco por la web he encontrado algunos métodos que me han resultado interesantes para generar y recordar (que no memorizar) contraseñas para los distintos sitios. Unos son más profundos que otros, pero ahí está la gracia, en poder el elegir el que queramos.

Método de la fórmula en 5 pasos

El artículo original puede encontrarse aquí. Básicamente es seguir una receta para crear una contraseña que dependerá del sitio web para donde vaya a ser usada. Los pasos son los siguientes:

1. Elegir si quieres consonantes o vocales
2. Elegir una canción para coger la primera letra de cada palabra de alguna de sus partes
3. Elegir un número
4. Elegir un símbolo
5. Elegir un orden para todos los campos

En el supuesto de crear una contraseña para Twitter, usando consonantes, con la canción de Metallica titulada Nothing Else Matters, con él número 365911, con el símbolo $, y usando como orden sitio web, número, canción y símbolo, obtendríamos la contraseña:

Twttr 365911 Scnmhf $ Twttr365911Scnmhf$

No está nada mal. En el caso de no recordar la contraseña siempre podríamos volver a componerla. Por cierto, he usado la primera frase de la canción: “So close, no matter how far” para componer la contraseña, además de usar un par de letras en mayúsculas para dar un poco más de complejidad al asunto.

Método diceware

El artículo original puede encontrarse aquí. Este artículo ya podemos ver que tiene algo más de chicha. Es más, usan la palabra entropía varias veces. Fascinante.

El método se basa en que la contraseña sea una frase formada por palabras. A más palabras, más seguridad. Cada palabra es elegida usando el número obtenido de lanzar un dado de seis caras 5 veces. Por tanto, se debe repetir el proceso para cada palabra. La lista de palabras asignada a cada número puede encontrarse en esta lista pública. Tan simple y efectivo.

En el caso de obtener los números: 54142, 44515, 34233, 42136, 35533 y 62416; la contraseña obtenida sería:

f41 Luisa n27 irnos galope sordo f41Luisan27irnosgalopesordo

Este resultado también es prometedor. No sigue ninguna regla y puede resultar fácil de recordar. Además, da como resultado una contraseña bastante larga.

Método ‘He olvidado mi contraseña’

Pensando en algunos técnicas para quitarme las contraseñas de encima se me ocurrió este método. ¿Y si no usara ningún gestor de contraseñas? ¿Y si no usara ninguna regla para generarlas? ¿Y si no tuviera que preocuparme por recordarlas porque ni siquiera las conozco?

El método consiste en desconocer todas tus contraseñas, menos una. La idea es generar una contraseña aleatoria y compleja, usando cualquier letra, número y símbolo disponible en el teclado y de una longitud interesante cada vez que nos registremos en un sitio. Utilizarla para iniciar sesión y desechar dicha contraseña.

Para poder iniciar sesión de nuevo necesitaremos recordar la clave usada, pero eso es imposible. Por ese motivo debemos conocer al menos una contraseña: la de nuestro correo electrónico. Cada vez que iniciemos sesión en un sitio debemos pulsa en Olvidé mi contraseña, obteniendo un enlace en nuestro correo con la posibilidad de restablecer la clave del sitio web. En este momento volvemos a generar otra contraseña aleatoria, la cambiamos e iniciamos sesión.

Es cierto que este método es un poco pesado y no sirve de mucho al usar máquinas que no son de nuestra propiedad. Básicamente porque nos pasaríamos el día restableciendo contraseñas. En cambio, en casa el navegador suele recordar las sesiones abiertas, por lo que una vez con la sesión iniciada no volverá a pedir la clave.

Este método es posiblemente muy similar al método usando un gestor de claves, pero sin la necesidad de almacenarlas. Como complemento, la contraseña maestra, la llave para restablecer las demás cuentas, podría ser generada y usada utilizando alguno de los dos métodos anteriores.

Conclusiones

Para finalizar esta entrada me gustaría hacer de nuevo hincapié en comenzar a usar o continuar usando contraseñas seguras, y dejar de usar el nombre de nuestro perro o nuestra fecha de cumpleaños para proteger nuestra vida virtual. Nuestros datos tienen más valor del que pensamos, y esto es algo que la gente no suele entender.

Estos métodos son algunas ideas que he encontrado o que se me han ocurrido. Naturalmente hay muchos más y es posible modificarlos o mezclarlos para sentirnos todo lo seguros que deseemos. Por ejemplo, usar el primer o segundo método para nuestro correo electrónico y servicios de mayor importancia (cada uno con su propia clave, por supuesto), y tener contraseñas aleatorias usando el tercer método para sitios menos importantes.

Eso es todo. Espero que os haya gustado este pequeño artículo y que compartáis otras posibles ideas en los comentarios.

Saludos,
Lázarus Surazal.