Hablemos de contraseñas fuertes, ¿lo tenemos claro?
Durante el desarrollo de servicios y aplicaciones nos topamos con el dichoso asunto de gestionar contraseñas de usuario. Queremos que el acceso y uso de nuestra solución sea sencillo sin descuidar la seguridad de la información, es el eterno dilema de usabilidad vs seguridad…
Definir una buena política de contraseñas es vital, pero habitualmente el usuario no lo ve como algo positivo. Todos queremos que nuestra contraseña sea sencilla y rápida de escribir, pero no nos sienta nada bien descubrir un día que alguien ha entrado en nuestra cuenta y nos ha hecho la puñeta…
Contraseñas débiles y contraseñas fuertes, ¿cuál es la diferencia?
Entendemos por contraseña débil aquella que no es complicada de averiguar, aquella que podemos deducir o la que conlleva poco esfuerzo para obtener mediante un ataque de fuerza bruta.
Mira, por ejemplo, las 7 contraseñas más utilizadas en el año 2.014.
- 123456
- password
- 12345
- 12345678
- qwerty
- 1234567890
- 1234
¿Usarías una contraseña así? Es como dejar las llaves de casa puestas en la cerradura. Es probable que mucha gente pase de largo y no las vea, pero si algún vecino quiere entrar, no lo va a tener muy complicado…
Por el contrario, decimos que una contraseña es fuerte cuando cumple todo lo contrario. Si utilizamos ejemplos aleatorios sin significado claro, únicamente dejaremos al atacante el factor de la fuerza bruta. Eso si, será importante que la contraseña sea relativamente larga para complicar la vida.
¿Cómo creo una contraseña fuerte?
Se recomienda mezclar letras, números, caracteres “extraños”… con el objetivo de que el abanico de símbolos sea grande y los ataques de fuerza bruta no obtengan resultado en poco tiempo. Algunas ideas son:
- Letras en mayúscula y minúscula: De la a a la z y de la A a la Z.
- Números: del 0 al 9.
- Símbolos: $ # & % @ ! ? ¿ ^ * ` ‘ ” ~ = + – _ / | > < ] [ ) ( } {
- Signos de puntuación: . , ; :
Esto siempre debe ir acompañado por una longitud mínima de 8 caracteres.
¿De verdad esto es efectivo?
Para que te hagas una idea, veamos unos ejemplos del tiempo (ojo, es una estimación) que se necesitaría para obtener tu contraseña mediante fuerza bruta si esta fuera…
- Longitud 6 sólo caracteres de la ‘a’ a la ‘z’, algo como ‘batman’: menos de 6 minutos.
- Longitud 6 caracteres de la ‘a’ a la ‘Z’, algo como ‘BatMan’: menos de 6 horas.
- Longitud 6 caracteres de la ‘a’ a la ‘Z’ y signos de puntuación, algo como ‘BatMa;’: menos de 9 horas.
- Longitud 6 caracteres de la ‘a’ a la ‘Z’, signos de puntuación y símbolos, algo como ‘B@tMa;’: menos de 8 días.
Sin embargo, ampliando el último ejemplo a 8 caracteres, necesitaríamos un poco menos de 216 años para obtenerla, eso ya tiene otra pinta, ¿no? Pero cuidado, lo ideal es que tu contraseña fuerte sea lo más aleatoria posible, de lo contrario se podría obtener de forma sencilla mediante el uso de diccionarios con las variaciones habituales. Por ejemplo, algo como cambiar la ‘a’ por ‘@’, la ‘s’ por ‘$’ y la ‘o’ por el cero, la ‘i’ por ‘1’… es más habitual de lo que piensas así que tampoco es buena idea seguir ese patrón.
¿Por qué es importante que mi contraseña sea fuerte?
Si te pones a pensar, es probable que ninguno de tus amigos o vecinos se pongan a hacer ataques de fuerza bruta a tus contraseñas a menos que seas un objetivo interesante tipo presidente de alguna compañía…
El problema es que tus contraseñas pueden (ahora explicaré lo de “pueden”) estar en los servidores de los servicios que visitas y podrían terminar de forma pública si se produce un incidente de seguridad. En ese momento, tu cuenta puede tener valor para alguien…
Cada cierto tiempo nos encontramos con noticias sobre portales web que han sido reventados y de los que se han publicado usuarios y contraseñas. Puedes ver algunos casos muy sonados aquí, aquí o aquí.
Si eres desarrollador, no querrás aparecer en esos enlaces…
A la hora de gestionar las contraseñas, nos encontramos frecuentemente con webs o servicios que las almacenan en texto plano. Un grave error, sobre todo teniendo en cuenta que la mayoría de usuarios reutilizan sus claves para un amplio abanico de portales.
Si eres de los que utiliza “123456” para tus cuentas de correo, portales de compra, redes sociales,… una vez que alguien lo sepa, puede acceder a todas sin mayor esfuerzo.
Como desarrolladores, está en nuestra parte proteger esa información para que (al menos) no sea por nuestra culpa que sus cuentas se ven comprometidas.
Por eso antes decía que las contraseñas “pueden” estar, el caso es que no necesitamos almacenar contraseñas en nuestra base de datos para saber si un usuario tiene o no permiso para acceder a su cuenta.
¿Quieres saber cómo? En mi próximo post te contaré cómo gestionar y almacenar (o no :D) las contraseñas de tus servicios, veremos las técnicas que se utilizan hoy en día y echaremos un vistazo a cómo ha cambiado la forma en la que trabajar con ellas. ¿Te lo vas a perder?
Como siempre te digo, si ves algún error, no estás de acuerdo con lo que cuento o quieres hacer alguna aportación, no dudes en pasarte por los comentarios.
- GuardDuty: Un viaje a través del tiempo en AWS Security - 21 noviembre, 2023
- Webinar – Seguridad para familias - 11 enero, 2021
- SecurityInside Live: CISO Day 2020 - 17 septiembre, 2020
I am in fact thankful to the holder of this
web page who has shared this great article at at this time.
Check out my web page; 사설토토
You’ve made some really good points there. I looked on the net for more information about the issue and found most people will go along with your
views on this site.
Also visit my web site – 토토컴퍼스
Great read! Your perspective on this topic is refreshing. For additional information, I recommend visiting: DISCOVER MORE. What do others think?
mexican online pharmacies prescription drugs: online mexican pharmacy – pharmacies in mexico that ship to usa
pharmacies in mexico that ship to usa
https://cmqpharma.online/# mexican online pharmacies prescription drugs
mexico drug stores pharmacies
TAMPA, Fla. (WFLA) — In-individual sports betting is back
just after Take a look at the site here
U.S.
Take benbefit of the most current bonus from Slots of Vegas when you use the code
“NEW250” on your initial $30+ deposit.
Here is my web page; casino79.in
The tribe ceased the annual payments immediately after a series
of court rulings.
Feel free to surf to my homepage … casino79.in
7Bit gives players reputable and transparent payment methods and casino processes.
Also visit my webpage; 카지노친구
New players are greeted with open arms at Highway Casino, with a generous 250%
welcome bonus of up to $7,000 on your initially 4 deposits.
Also visit my web-site :: casino79.in
Roulette is a casino game named just after the French word meaning wheel.
Also visit my web site – Informative post
And that playful introduction without the need of monetary stakes can spark an interest.
my web blog Look at more info
South Carolina’s ONLY Casino supplying two luxury yachts paying out an average of $383,000 a week.
My website; Hop over to this website
If he hasn’t gotten his fix just yet, folding will really feel painful.
Look into my webpage; Take a look at the site here
“During significant sporting events, I expect each risky drinking and ovedall betting behaviors to
be fairly higher.
My web site: Look at this website
Great article, exactly what I was looking for.
Feel free to visit my webpage; 온라인홀덤
Hello, I enjoy reading through your post. I like
to write a little comment to support you.
Hi colleagues, its impressive paragraph concerning cultureand entirely defined, keep it up all the time.
My web site – 비트코인마진거래
medicine in mexico pharmacies: mexican pharmacy – buying prescription drugs in mexico
medicine in mexico pharmacies
http://cmqpharma.com/# buying from online mexican pharmacy
mexico drug stores pharmacies
I like the valuable information you supply for your articles.
I’ll bookmark your weblog and check once more here regularly.
I am slightly sure I’ll be told many new stuff right right here!
Best of luck for the next!
Here is my web blog – 토토사이트 (Christin)
I’m not positive where you are getting your information, but good topic.
I needs to spend a while finding out more or working out more.
Thank you for fantastic info I was on the lookout for this
info for my mission.
my site … fx마진거래
Thanks ᴠery nice blog!
mexican border pharmacies shipping to usa: mexico pharmacy – mexican rx online
top online pharmacy india: buy prescription drugs from india – indian pharmacies safe
http://foruspharma.com/# reputable mexican pharmacies online
mexican pharmaceuticals online mexican drugstore online mexican pharmacy
buy medicines online in india: reputable indian pharmacies – best india pharmacy
mexican pharmaceuticals online: mexico pharmacies prescription drugs – mexican online pharmacies prescription drugs
mexican drugstore online: mexico drug stores pharmacies – buying prescription drugs in mexico online
http://indiapharmast.com/# reputable indian pharmacies
indian pharmacy п»їlegitimate online pharmacies india india online pharmacy
best online pharmacies in mexico: mexican drugstore online – mexican border pharmacies shipping to usa
purple pharmacy mexico price list: mexican online pharmacies prescription drugs – п»їbest mexican online pharmacies
prescription drugs canada buy online: canadian pharmacy india – ed drugs online from canada
onlinecanadianpharmacy 24 reliable canadian pharmacy canadian drugstore online
https://foruspharma.com/# buying prescription drugs in mexico
Online medicine home delivery: indianpharmacy com – cheapest online pharmacy india
canadian world pharmacy: canadian pharmacy – canadian pharmacy reviews
mexico drug stores pharmacies: mexican rx online – purple pharmacy mexico price list
https://amoxildelivery.pro/# amoxicillin 500 mg brand name
cost generic clomid without insurance: can i purchase generic clomid – clomid without a prescription
https://amoxildelivery.pro/# amoxicillin capsule 500mg price
It is appropriate time to make some plans for the future and it is
time to be happy. I have read this post and if I could I desire to suggest you some interesting
things or suggestions. Maybe you could write next articles referring
to this article. I desire to read even more things about it!
Feel free to visit my web site – 바카라사이트
amoxicillin canada price: amoxicillin over counter – amoxicillin 500mg capsule buy online
http://clomiddelivery.pro/# order cheap clomid without dr prescription
http://doxycyclinedelivery.pro/# where to buy doxycycline online
can i order generic clomid pills: where buy cheap clomid pill – how to buy cheap clomid
http://ciprodelivery.pro/# ciprofloxacin
https://ciprodelivery.pro/# ciprofloxacin
where to buy cipro online: buy cipro without rx – ciprofloxacin over the counter
https://amoxildelivery.pro/# cost of amoxicillin
amoxicillin buy canada: buying amoxicillin online – amoxicillin 875 mg tablet
https://ciprodelivery.pro/# п»їcipro generic
https://amoxildelivery.pro/# amoxicillin 500mg no prescription
can you get clomid without prescription: order cheap clomid without prescription – buying generic clomid tablets
buy cipro online without prescription: ciprofloxacin – where can i buy cipro online
paxlovid generic: paxlovid generic – Paxlovid buy online