Se pueden decir muchas cosas sobre la seguridad informática. Se la ha tildado de crítica, necesaria, e indispensable, también se ha dicho revela un alto grado de responsabilidad si es aplicada de la forma correcta, y otras tantas cosas, pero también hay una frase muy conocida: "La seguridad molesta". Tener una contraseña fuerte por cada sitio, servicio, cuenta de correo y ordenador que un usuario utiliza, parece ser algo inaceptable para la gran mayoría de la gente. En consecuencia, utilizan contraseñas débiles y fácilmente predecibles. Un reciente estudio de la empresa de seguridad Imperva nos enseña cuáles son las diez contraseñas que todo usuario debería evitar a toda costa.
En diciembre de 2009, la base de datos de la compañía RockYou sufrió un ataque a través del cual más de 32 millones de cuentas de usuario se vieron comprometidas. Pocos días después, una versión modificada de la lista apareció en la red, revelando las contraseñas que eran utilizadas por los usuarios. Al obtener una copia de esta lista, la empresa de seguridad Imperva realizó una evaluación para determinar la fortaleza y la calidad de las contraseñas utilizadas por los usuarios. Obviamente, al haber sido afectada la base de datos de RockYou, el poseer una contraseña fuerte terminó siendo algo inútil, pero lo más perturbador fue ver qué clase de contraseñas utilizaban sus usuarios para proteger a sus cuentas. Algunas ni siquiera podían ser llamadas "contraseñas", debido a lo completamente predecibles que eran. Aquí están las diez peores.
El estudio de Impervia reveló que sólo el 0.2 por ciento de los usuarios poseía una contraseña considerada como "fuerte". ¿Cuál era la contraseña más utilizada? "123456". La segunda tenía un dígito menos, "12345", la tercera se elevaba hasta el nueve, con "123456789", y la cuarta, simplemente "password". Las conclusiones que se pueden obtener de este estudio son preocupantes: Los usuarios no quieren tomarse la molestia de recordar una contraseña. Ven a la contraseña como una molestia constante que debe ser sorteada con el menor esfuerzo posible, y creen que debido a la enorme cantidad de gente que usa la red, jamás tendrán un problema de seguridad con sus cuentas. Muchos de los usuarios del sitio RockYou así lo pensaron, y sin embargo, el nivel de negligencia detectado en las contraseñas es muy elevado.
Ninguna contraseña es a prueba de invasores, pero lo mínimo que el usuario puede hacer es provocar que el atacante deba sudar sangre para poder acceder a la cuenta. Las recomendaciones básicas siguen vigentes: Ocho caracteres o más, incluir letras en mayúsculas, números, y caracteres especiales. Evitar nombres, fechas, secuencias detectables, el nombre del servicio (o sea, nada de "Facebook" para la contraseña de Facebook), o parte del correo, blog o página personal que se posea. Si bien no se recomienda utilizar una contraseña para todos los servicios, lo cierto es que como están diseñados algunos de ellos en estos días, su gravedad tiene menos impacto. Un ejemplo sencillo es Google. Con una cuenta de Gmail es posible ingresar al correo, a Google Docs, a YouTube, y a otros de los tantos servicios de Mountain View. En otras palabras, asegúrate de que la contraseña en los servicios que consideras importantes sea fuerte, y por lo que más quieras, no uses al nombre del perro como contraseña.
