Lisandro Pardo
Por supuesto, mi intención no es entrar en ese debate, pero al menos en lo que se refiere a contraseñas, el tamaño sí importa. Gracias a la asistencia de diferentes programas, podemos crear contraseñas muy largas y complejas, pero la pregunta que nos hacemos en esta ocasión es qué longitud máxima de contraseña permiten algunos de los servicios más importantes de la Web, y qué tan complicada puede ser en su elaboración. No todos los servicios trabajan de la misma manera, por lo que sólo nos queda averiguarlo realizando pruebas sobre una pequeña, pero popular selección.
Hace un par de días atrás decidí cambiar mis contraseñas. En el pasado publiqué un artículo sobre cómo hacer contraseñas más fuertes basadas en el generador de KeePass, y todavía estoy utilizando ese programa. Por lo tanto, es razonable que para llevar a cabo este experimento, primero determinemos cuáles son las limitaciones del programa. A la hora de generar contraseñas con KeePass, verás que existen varios parámetros para establecer la complejidad de la contraseña, además de su tamaño. La columna de la izquierda hace referencia a lo que llamamos caracteres comunes: Mayúsculas, minúsculas, números, el signo menos y el guión bajo. En la columna de la derecha entran en juego otro tipo de caracteres, usualmente rechazados por los sistemas de seguridad. El espacio, los símbolos especiales, símbolos de apertura y cierre (paréntesis, corchetes, etc.), y lo que KeePass identifica como caracteres “Alto ANSI”, que usualmente deben ser ingresados por el usuario a través del mapa de caracteres de Windows (o su equivalente en otros sistemas).
Después de más de una docena de pruebas, llegamos a la conclusión de que KeePass (en su última versión 2.18) puede ofrecer contraseñas de hasta 4,679 caracteres sin inconvenientes. Apenas una letra más, y el programa exhibe un bug en el cual la contraseña generada desaparece, y no se puede seleccionar. La calidad está directamente asociada a los parámetros de complejidad. Escogiendo todos los campos, 4,679 caracteres te darán una calidad que supera los 2,900 bits, algo definitivamente exagerado. Aún así, usaremos ese conteo como techo máximo para nuestra prueba. ¿Por qué los servicios no suelen mencionar abiertamente el máximo de caracteres posibles en una contraseña, y los símbolos compatibles? Lo primero que me viene a la mente es seguridad. En este caso, la ignorancia juega en nuestra defensa. Un usuario con intenciones maliciosas no sabe si debe enfrentarse a ocho caracteres, o 450, por lo que se ve obligado a explorar todas las opciones. Si piensas que una contraseña así necesitaría varios millones de años de procesamiento para ser descubierta, créeme, no estás exagerando.
El primer sujeto en el experimento fue Twitter, y en general, tenemos buenas noticias. Después de recoger información relacionada con el API de Twitter, al parecer la red social no impone un límite máximo en la cantidad de caracteres de una contraseña. La única restricción es que no soporta espacios. Al generar la contraseña, hemos notado que se filtran algunos espacios si escogemos la opción “Alto ANSI” en KeePass, por lo que si quitas esa opción (además de la opción de los espacios), no tendrás mayores problemas en asignar a Twitter una contraseña de pesadilla.
Seguimos con Windows Live Mail, y por extensión, con el resto de los servicios Live asociados a una cuenta única. Diferentes reportes de varios usuarios y sitios alrededor de la Web mencionan que Hotmail solamente tiene en cuenta a los primeros 16 caracteres de una contraseña, ignorando el resto. De hecho, esto es cierto: El cambio de contraseña en Hotmail sólo permite un máximo de 16 caracteres, y no registra el resto. Al mismo tiempo, Hotmail también aplica restricciones sobre el tipo de caracteres que se pueden usar, como espacios y “Alto ANSI”. Con 16 caracteres y esas limitaciones, puedes obtener contraseñas con una calidad que promedia los 100 bits, pero aún así, no es lo mejor del vecindario. ¿Un punto a favor? La opción para asignar a la contraseña una “vida útil” de 72 días.
El número tres en nuestra lista es Tumblr. Con más de 46 millones de usuarios, no es de extrañar que varios de mis amigos hayan comenzado a explorar las fronteras de esta plataforma de micro-blogging. Personalmente no tengo tiempo para un Tumblr propio, pero si es tan popular, estoy convencido de que los usuarios desearán proteger aquello que escriben, cargan y comparten. En primer lugar, Tumblr parece llevarse bien con todo tipo de caracteres, incluyendo los espacios y los caracteres más complejo. Y en segundo lugar, aún no logré encontrar su techo. Pasé de 512 caracteres a 1,024, y de allí al máximo que me permite KeePass antes del error. Ningún problema en absoluto. Envié un correo al soporte de Tumblr para preguntar si existe un límite máximo, pero creo que está en la misma condición que Twitter.
Después saltamos a Steam. Este es un servicio particularmente importante, ya que un usuario puede verse en problemas si no puede acceder a sus juegos. Tengo una buena cantidad de ellos en la plataforma, y no me agradaría en absoluto encontrar que alguien me ha usurpado la cuenta por una falla de seguridad relacionada con una contraseña débil. Desde cualquier punto de vista, cada juego comprado en Steam es una inversión, y como tal, hay que protegerla. Steam permite un máximo de 32 caracteres, con la excepción del grupo “Alto ANSI”. Algo interesante es que, aún estando dentro de Steam, si solicitas un cambio de contraseña (no una recuperación) deberás confirmar esto con el código que Steam te enviará a la casilla de correo asociada. 32 caracteres parecen ser suficientes (170-180 bits de calidad), y la verificación adicional siempre es bienvenida.
La cuenta de Google es la que sigue en nuestro experimento. A principios de 2011, Google elevó el tamaño mínimo de la contraseña para sus cuentas de seis a ocho. También implementó un sistema de “verificación de dos pasos”, a través del cual, además de nombre de usuario y contraseña, deberás ingresar un código que será enviado a tu móvil. También existen contraseñas específicas para aplicaciones externas, de manera tal que si, por ejemplo, deseas entrar a Gmail a través de tu iPhone, lo hagas con una contraseña dedicada para esa función, y no con la contraseña principal. Dejando eso de lado, Google soporta un máximo de cien caracteres en su contraseña. No se lleva bien con el “Alto ANSI”, pero no tiene problemas con los espacios, por lo que podrás obtener una calidad que supera fácilmente los 400 bits.
Para finalizar, nos encontramos con Facebook, y debo confesar que la prueba fue algo accidentada. ¿La razón? Estaba probando diferentes tipos de contraseñas, cuando decidí intentar con una contraseña muy larga, de 2,048 caracteres. Inicialmente, Facebook registró el cambio exitosamente, por lo que salí de la red social, y traté de ingresar nuevamente. El problema es que Facebook nunca reconoció la nueva contraseña, y a pesar de todos mis intentos, la anunciaba como incorrecta. A esto se le sumó el hecho de que el sistema de recuperación de contraseñas no estaba funcionando correctamente. Finalmente, debo decir que no encontré un límite superior para la contraseña de Facebook, dejando de lado espacios y fundamentalmente a los caracteres “Alto ANSI”, a los que considero responsables del tropiezo previo.
¿Cuáles son los inconvenientes de usar contraseñas tan largas? Uno radica en el acceso desde dispositivos móviles. KeePass tiene versiones para Windows, Linux, OS X, iOS, Android, Blackberry, y Java, además de contar con cierta capacidad de conversión hacia PalmOS, por lo que el problema no estaría tanto en la falta de soporte, sino en la comodidad del usuario al lidiar con semejantes contraseñas. Una opción más que válida sería generar las contraseñas en KeePass y guardarlas bajo LastPass, por lo cual las excusas para no usar contraseñas complejas se reducen bastante. En otras palabras, salvo algunas excepciones, lo recomendable es que la tengas muy larga. La contraseña, claro.
La mia es tan larga que no cabía y tuve que cortarla para que entrara 🙁
Lo peor es que algunos sistemas no la aguantan tan larga por lo que los admin deberian pedirle una ayudita a Jenna Jameson 😀
Me parece que el que hizo este articulo.. Por el titulo del mismo me arriesgo a decir que es Medio MARACA!
#4 Me has descubierto, por favor no se lo digas a nadie.
"¿Qué tan larga la tienes? (La contraseña, claro)"
Digno de un pendejo de secundaria lo tuyo, es casi una agresión a la inteligencia de los lectores, una falta de respeto.
Se supone que un adulto no puede darse el lujo de hacer esos chistes infantiles, y no quedas gracioso, en realidad das a entender que sos bastante pelotudo, un inmaduro!
#6
Que poco sentido del humor, ¿falta de respeto a los lectores?… por Dios, vivimos en el siglo XXI, este tipo de bromas no es un sacrilegio.
Con respecto al artículo, creo que no importa que tan larga sea, sino más bien cómo sea, si es larga y compuesta sería lo óptimo, pero también es importante a la hora de determinar el nivel de seguridad también hacer que sea algo memorable para nosotros, es decir si pusiéramos como contraseña asx983juiqyz!@au1709 sería una contraseña sumamente robusta pero para nada fácil de recordar.
Muy bueno el artículo.
#8 La contraseña no sirve para nada… porque con cualquier keylogger la tenés, por más que sea ··"·"WEfdsfjasl·&/&/(/()()… No serviría de nada, por cierto, que he "hackeado" a algunos y tienen contraseñas así… me cago de risa cuando hago copiar y pegar de una contraseña así. Lo verdaderamente importante es "cómo te manejás en internet".
Por otro lado, me arriesgo a pensar que todos los que se sintieron tocados con el título es porque la tienen chica (y no me refiero a la contraseña).
che me parece que todo bien lo de tener contraseñas largas pero 2000 caracteres es medio mucho aunque es interesante conocer cosas como el limite de caracteres pero yo no creo que use nunca una contraseña de mas de cien caracteres porque si te pueden hackear una de cien creo que tambien te puede hackear una de 4000 (y si 4001 tambien)
ah y #17 yo la tengo chica y no me senti ni tocado ni ofendido ni nada de eso soy feliz con lo que tengo
#18 Justamente, me refiero a la gente que se siente atacada, como que "le preocupa" no al hecho en sí.
Saludos
#17 ¬¬ nadie te pregunto si hackeas contraseñas ¬¬ me imagino que apenas y sabes encender la pc.
con respecto al titulo me parece gracioso ya que tengo un gran y buen sentido del humor, a comparacion de los vejetes y señoritas que lo critican…
estamos en el 2012 amigos no es para tanto osea en que afecta a los lectores? en que la tengan chica? (y yo no hablo de la contraseña) para mi que eso es, les diste justo donde les duele jajajajaja
y hablando del tema pues me parece que no importa lo larga que sea la contraseña lo importante es lo bien formulada que este 😀
saludos y suerte,….
a los vejetes espero no haberles herido sus sentimientos xD
#6 O talvez vos sos un viejo gruñon, que se cree dueño de la verdad?
#6 Se calentó el nono… Andate a otro lado a hacerte el superado y maduro, agreste de morondanga.
Hace tres años empecé a usar KeePass, y en muy poco tiempo empecé a usar sólo LastPass, QUE YA VIENE CON UN GENERADOR DE CONTRASEÑAS!!
No hace falta utilizar los dos.
Hay que tener mucho cuidado con perder la contraseña maestra de LastPass, yo lo hice y perdí una cantidad exagerada de contraseñas, y eso es irrecuperable. Poco a poco las fui recuperando todas (por lo menos las que seguía usando), y ahora tengo más de 100 contraseñas en LastPass, 20 de ellas las uso casi a diaro, o sea que se puede decir que mi vida en la red "depende" de ese "programita" (yo uso el complemento para Chrome, no el programa en sí).
que titulo mas culero, solo espero que los proximos articulos NO se pongan a hablar de moda o alguna otra pendejada, que gays
que graves los viejoss…..se hacen los formales o les afectó el título…tienen password asdf xD
HAY SI HAY SI !! Ahora resulta que todos se espantan del titulo, por favor….
No les presten atención a los quejosos, ya están con un pie en la tumba y aún protestan cual rebelde jovencito….. y se creen muy maduros XD
Yo creo lo mismo, una de las poca paginas que valen la pena, si no toman las cosas en serio va a terminar como esas revistas de farandula (las mas baratas).
La mía mide 12 de largo (12 caracteres claro) xD
mas tecnologia aqui : http://www.frankdawini.blogspot.com
Corcho….un poco de humor no viene nada mal a un sitio web de tecnología. Que no ha estado acertado?? Bueno…tampoco es para tanto. Otro día se pensará mas el título y podria poner algo asi como: Inventando contraseñas: Cuanto mas larga…mejor. Y a partir de aquí se podría hacer el humor que quisieraís ( sobre todo los bien dotados) :). Y por favor, un respeto a las inclinaciones sexuales…que no todo es blanco o negro. Saludos.
Contraseñas de más de 30 caracteres es prácticamente ridículo. En particular, porque nunca, jamás, las recordaremos. KeePass tiene la opción de ‘hacer caducar’ las contraseñas en el tiempo designado. Podemos, p.e., cada 3 meses cambiar la clave. Y siempre usar claves distintas. Entonces, en esos parámentros, toda clave mayor a 15 caracteres es total y absolutamente indiferente.
En fin, todas mis contraseñas tienen 30 caracteres – porque soy un loco jaja – y las más seguras, 50. Siempre usando KeePass, claro. De otra forma, es imposible.
Saludos!!
Lisandro estas muy orientado al tema sexual tu titulo..Y no puedes decir que es meramente interpretativo. sabemos a los que nos referimos..Si te interesa saber que tan larga la tenemos aqui te va el dato..
23cm
23 = Longitud
c=caracteres
m=minusculas
Yahoo también tiene caracteres creo que ilimitados, le cabe la mía de 35 caracteres
-¿Qué tan larga la tienes?. Preguntó ella algo quisquillosa.
Él un poco apenado se atrevió a mostrársela. Era obvio que ella jamás había visto algo así, ya que, usualmente ella acostumbra usar contraseñas de caracteres de apenas 6 letras.
(ahora me creo escritor, XD)
Fin.
=P
Al parecer Microsoft ahora limita las contraseñas de las cuentas de sus servicios a un máximo de 16 caracteres, Yahoo permite contraseñas de hasta 32 caracteres (o 35 segun un comentario anterior), Google tiene limite de 200 caracteres, ¿pero si la tengo larga y quiero acceder a ellos por medio de algun cliente de correo? ¿cuantos caracteres soportan thunderbird, outlook y otros? (yo tengo problemas con Thunderbird 52.8.0) seria bueno que actualizaras la informacion con algo sobre clientes de correo