Lisandro Pardo
La primera recomendación que hacemos cada vez que surge el tema de las contraseñas es… adoptar un administrador. Todo lo que necesitas es una muy buena contraseña para entrar al cofre, y dejar que el programa genere el resto, con combinaciones que serían una pesadilla para los ataques de fuerza bruta. Sin embargo, hay muchos portales allá afuera que no reconocen la flexibilidad de los gestores, y obligan a los usuarios a aplicar reglas muy torpes en sus contraseñas personales. Una sección en GitHub llamada «Dumb Password Rules» sirve como «salón de la vergüenza» para esos portales.
Una de las peores cosas que podemos hacer es repetir contraseñas en diferentes servicios. Ni siquiera yo he escapado a la comodidad de usar el mismo password en cuatro o cinco plataformas diferentes, pero con ciberataques masivos que filtran millones de contraseñas por vez, esa práctica es una invitación al desastre. Después están las contraseñas débiles. Los años pasan, pero «123456» sigue liderando todas las listas como la peor.
Y también debemos reconocer que muchos sitios entorpecen la creación de contraseñas con sus ridículas reglas. De 8 a 13 caracteres, no uses espacios ni símbolos, nada de letras repetidas ni números secuenciales… cuanto más ridículas sean esas reglas, mayores serán las ganas del usuario de tomar atajos e ignorar la seguridad de su cuenta.
Un perfil de GitHub llamado «Dumb Password Rules» se encarga de «celebrar» a estos sitios y sus absurdas reglas para contraseñas. La lista posee docenas de entradas, y los usuarios pueden hacer sus propias contribuciones. Allí aparecen algunos nombres de muy alto nivel. Por ejemplo, Apple presenta restricciones básicas (8 o más caracteres, mayúsculas y minúsculas, y aunque sea un número), pero no advierte que usar tres caracteres idénticos seguidos está prohibido hasta que lo intentas.
Battle.net es otra catástrofe, con 8-16 caracteres, un número y una letra como mínimo, sin caracteres especiales, y sin reconocimiento de mayúsculas. Uno de los peores es amelie.fr, portal de salud y seguridad social de Francia. Mínimo 8 caracteres, máximo 13, todos dígitos, sin fechas de nacimiento ni repetición del login, secuencias prohibidas (ej, 567), y sin repetir dígitos (33, 77, etc.). Un ataque de fuerza bruta se comería esa contraseña en minutos.
BBVA, Best Buy, Movistar, Origin, PayPal (!), Sprint, T-Mobile, Ubisoft, Walmart, docenas de bancos… sólo espero que los administradores recojan el guante, entiendan que muchas de esas reglas son contraproducentes, y habiliten el uso de contraseñas más alineadas con los gestores de turno.
Sitio oficial: Haz clic aquí
Siempre he considerado absurdo el hecho de que se establezca un limite maximo en la longitud de la contraseña