La contraseña se ha convertido en un bien muy valioso, más apreciado por los hackers que por los usuarios. Para los primeros es una puerta de acceso a un botín económico; para los segundos, una monserga: un paso que hay que cubrir antes de leer su correo o acceder a sus redes sociales.
El santo y seña que pocos recuerdan era asunto de autoridades que debían verificar su identidad o de criminales, quienes la pedían para ingresar a un grupo cerrado y al mismo tiempo confirmar que acudían por el mismo asunto, evitando así a los mirones y a los policías, un tema que quedaba fuera de la vida del resto de la población. Pero de pronto y sin darnos cuenta, las contraseñas se hicieron parte de nuestra vida común, una muy molesta; ahora todos debemos preocuparnos por tener muchas contraseñas, nuestra memoria ya no está acostumbrada a recordar muchas cosas, por lo menos no más de 140 caracteres. Antes de los teléfonos inteligentes, la mayoría de las personas sabía de memoria los números telefónicos de sus familiares y sus direcciones tan claramente como sus cumpleaños. Hoy, la situación es muy diferente, el teléfono guarda todos esos datos; en caso de perderlo, muchos seríamos incapaces de recordar teléfonos y llamar a nuestros amigos. Cualquier persona que esté integrada a la vida digital necesita recordar contraseñas y nos prohíben utilizar palabras que signifiquen algo para nosotros, nombres de familiares, de la novia, fechas de nacimiento: eso sería facilitarle la vida a quienes busquen acceder a alguna de nuestras cuentas. Las nuevas normas de seguridad nos exigen hoy no sólo inventar una contraseña para cada cuenta o servicio, además debe estar formada por una serie de números y letras sin sentido, debemos memorizarlas y son muchas: la contraseña del correo electrónico del trabajo, Facebook, Twitter, la del banco, el correo electrónico personal, la cuenta del cable, la del internet en la casa, etcétera. Ante el horror de aprendernos muchas contraseñas, cometemos el peor error de todos: usamos una sola contraseña para todo.
Somos felices porque sin importar el lugar donde nos encontremos sabemos que podemos ingresar a nuestras cuentas; es casi imposible que nos quedemos sin acceso por no recordar esa clave ni perderemos el tiempo recuperándola o generando una nueva. Agravando más el asunto, entre las estadísticas que nos dejó 2015 sabemos cuáles son las contraseñas más utilizadas y el resultado es algo tan grave que es parece gracioso, porque ese año fueron: 1) Password; 2) 123456; 3) 12345678; 4) 1234; 5) qwerty.
Ábrete Sésamo es la contraseña más famosa y fácil de recordar de la literatura; por ello, una mala contraseña. Y si pensamos que nuestra contraseña al ser más grande será más segura cometeremos un error muy simple, las computadoras detectan la serie y simplemente agrega el número o letra que sigue, un trabajo de milésimas de segundo. Al ver la lista anterior nos daremos cuenta de porqué hay tanto riesgo.
Posiblemente se imaginen a un hacker como un pobre tipo encerrado en su cuarto frente a su computadora intentando una y otra vez acceder a una cuenta de Hotmail o de Facebook. La realidad es muy distinta, él puede estar en una fiesta mientras su computadora realiza el trabajo sucio, automáticamente intenta ingresar utilizando diccionarios (por ello entre los requisitos de una buena contraseña está el no incluir palabras ni nombres: deben ser letras y números sin sentido; si no cumples ese requisito eres presa fácil). Una contraseña como “UNAM” es descifrada en segundos. Además de paciencia, el hacker tiene tiempo, y ya que tu cuenta es una de muchas que están en su lista, tarde o temprano lo logrará, así que por ello se recomienda cambiarlas. Entre más caracteres incluya y más complicada la combinación con menos frecuencia debería cambiarse, pero siempre debe renovarse.
La clave es que el usuario no se aprenda contraseñas, sino una fórmula. Será una misma fórmula que nos arrojará contraseñas diferentes para cada servicio y, además, con alto nivel de seguridad.
Entre las recomendaciones de las empresas de seguridad está el usar contraseñas de 12 caracteres si el sistema lo acepta, mezclando letras, números y símbolos, no repetir la misma contraseña en varias cuentas y agregaremos una última recomendación, no hacer una contraseña para cada cuenta, es mejor definir una serie de pasos para generarla dependiendo del servicio al que se vaya a ingresar.
Ejemplifiquemos con una contraseña para Hotmail.com. Si el correo fuera [email protected], debemos pensar en las combinaciones del correo y datos externos, por ejemplo: “juan2015” sería una contraseña obviamente muy mala; sin embargo aprenderse una contraseña abstracta es muy complicado, lo ideal será una fórmula.
Tomar los tres caracteres que se encuentran antes de la arroba en este caso “dez” e invertirlos, quedando: “zed”; ahora agregamos la última letra del sufijo del dominio que es “.com”, lo que nos dejaría la letra “m”, la escribiremos en mayúscula e incluimos un -5, después anotamos el último número del año de nacimiento, en este caso un 7, y agregamos un +1. Entre cada dato agregaremos un signo de pesos, al final agregamos la primer letra del dominio que es Hotmail, en mayúsculas: H, la contraseña quedaría así: “zed-5$M$7+1$H”.
Se trata de un ejemplo muy básico que intenta representar la forma de generar la contraseña. Una vez comprendido, debe mejorarse incluyendo datos externos para hacerla cada vez más complicada para los demás pero muy clara para el usuario. El punto es tomar elementos de la cuenta y mezclarlos con palabras o datos que no podamos olvidar y tomar de ellos sólo una o dos letras. El proceso será engorroso pero sólo una vez y con él podremos formar la contraseña de cualquier cuenta al ver sus elementos y agregar los de la fórmula: todas las contraseñas serán distintas y no es necesario aprenderlas.
La mayoría de los servicios ya cuentan con la verificación de dos pasos; parece útil. Sin embargo, si se pierde el teléfono quedas sin acceso. El robo de identidad y la protección de nuestra privacidad bien valen el esfuerzo de generar una buena contraseña.
La otra opción aún no llega: se está trabajando para que ya no sean necesarias las contraseñas, que el teléfono celular pueda confirmar si somos o no los usuarios correctos basándose en datos biométricos que capturará de nosotros; nuestra forma de caminar, la forma de teclear, etcétera. Y no sabemos qué será más riesgoso, que ingresen a nuestras cuentas o que nuestros teléfonos obtengan todos esos datos biométricos sobre cada uno de nosotros.
Gonzalo Monterrosa
[BLOQUE: MISCELÁNEO][SOCIEDAD BETA]