Generalmente no sabemos cómo nuestro servicio web favorito guarda las contraseñas. ¿Las almacena en texto llano? ¿Las esconde con funciones hash? ¿Usa sal? Solamente podemos confiar en que estén haciendo bien las cosas, pero como espero haberles mostrado en este capítulo, la mejor defensa es inútil si el usuario utiliza una contraseña débil.
Hay multitud de consejos sobre cómo escoger una buena contraseña. Permítame aquí incluirle algunos de ellos. Comencemos con los PIN, esos números de cuatro dígitos que utilizamos para proteger el móvil o acceder al cajero automático. En estos casos, lo habitual es que el banco o la operadora telefónica nos proporcione uno, bien en el mismo establecimiento, bien mediante un envío por correo. En principio, el PIN será aleatorio, de modo que puede usted quedárselo. Si no se fía y quiere cambiarlo, hágalo, pero siguiendo la siguiente regla: nunca utilice un número que signifique algo para usted. Ni secuencias numéricas fáciles, ni años, ni fechas de nacimiento, ni las cuatro primeras cifras del número pi, o las cuatro siguientes.
Recuerde que, si usted se cree listo, los ladrones también. Lo digo por si al final le da por escoger 1234 en la creencia de que, puesto que es tan evidente y fácil de adivinar, nadie pensará que lo está usted usando. No se complique usted la vida. La seguridad aquí se basa en pasar desapercibido. Escoja un número al azar y listo. Ah, y nada de escribirlo o anotarlo en ningún lugar, por ingenioso que se crea usted.
En cuanto a las contraseñas de uso en servicios web, correo electrónico, etc, el problema estriba en escoger una que sea al mismo tiempo fácil de recordar y difícil de adivinar. Lo primero que debe hacer es huir del reciclado: jamás reutilice una contraseña (o PIN, ya puestos). Cada servicio web, cada acceso a webmail, cada tienda online debe tener su propia contraseña. Soy consciente de que es difícil recordar un conjunto de contraseñas complicadas, pero hay formas de guardar esa información de forma segura. Puede usted, por ejemplo, escribir las contraseñas en un archivo y protegerlo mediante un programa de cifrado (PGP, por ejemplo). Hay en el mercado, y también en el dominio libre, diversos programas para guardar contraseñas, como por ejemplo Password Safe[114]. Y los navegadores de Internet tienen opciones para guardar los datos de login (usuario y contraseña) para diversos servicios web.
Siguiente consejo: el tamaño sí importa. La longitud mínima ha de ser de ocho caracteres, y si puede usted memorizar una más larga, mejor. Si la web en la que quiere registrarse no le permite introducir contraseñas de esa longitud o mayores, escuche mi consejo y líbrese de ellos. No vale la pena.
Mucho ojo con la calidad de una contraseña. Con el avance en las técnicas modernas para romper contraseñas en grandes cantidades, nuestra mejor defensa pasa por escoger una contraseña robusta. Y ha de ser escogida de forma que no pueda ser adivinada de ninguna forma. He aquí una lista (no exhaustiva) de todo lo que una contraseña no debe NUNCA contener:
—Una palabra reconocible en ningún idioma (ej: “Libro”)
—Palabras repetidas o encadenadas (“Librolibro,” “Holacaracola”)
—Palabras al revés o con las vocales eliminadas (“Orbil,” “Lbr”)
—Sustituciones como “1” por la letra l o “0” por la letra o (“L1br0”)
—Cualquier información con formato reconocible: fechas, nombres, motes, animales, ciudades, números de teléfono, matrículas de coche (“AnaLaExploradora”)
—Complicaciones sencillas y fácilmente atacables (“Password1” “abcd1234”)
—Caracteres de un solo tipo, sólo letras o sólo números (“hibsoq,” “228193”)
Lo ideal, visto lo visto, es una sucesión de caracteres de varios tipos (números, letras, símbolos) que no signifiquen nada en apariencia. En lo posible, mezcle estos tipos de caracteres: rque58osw es mejor que rqueosw58.
Para crear una contraseña fácil de recordar, un procedimiento habitual que recomiendan muchos expertos es basarse en una frase. Tome usted una frase, la que más le gusta, y escoja la primera letra de cada palabra; o la segunda, o la última. El Quijote nos servirá como ejemplo. Abrimos y leemos “en un lugar de la mancha, de cuyo nombre no quiero acordarme”.
Primer paso: extraer datos a partir de la frase. Vayamos a lo sencillo, y escojamos las primeras letras del comienzo. Tendríamos así euldlm. Segundo paso: aderezar al gusto. Introduzca números, signos, convierta minúsculas en mayúsculas lo que prefiera; pero no lo haga solamente al principio, o al final. Procure repartir los signos en la contraseña, evitando combinaciones como Euldlm01 o $%euldlm. Algo como EUl6=dlm o @eludl$M serán buenas elecciones. Si quiere usted utilizar contraseñas más largas, mejor que mejor: e77ul&$dlM, euLd1&13Lm… el límite es la imaginación.
Por supuesto, yo no le recomendaría utilizar la primera frase de uno de los libros más famosos en la historia de la literatura mundial, pero cualquier frase fácil de recordar vale. Quizá esté acostumbrado a oír en casa algo como “¿Te has acordado de bajar la basura?” Genial, ya tenemos thadblb, o esoeraa (usando las últimas letras de cada palabra). Complíquela un poquito con letras, mayúsculas y algún símbolo, y ya está. Puede incluso utilizar la frase completa como contraseña, aunque no lo recomiendo.
Por último, es buena idea cambiar de contraseña con cierta periodicidad. Cuanto más tiempo la use, más aumentan las probabilidades de perderla por descuido, desidia o fallo informático. Si, a pesar de mis recomendaciones, la apunta en cualquier sitio y tiene la menor sospecha de que alguien pueda haber accedido a ella, cámbiela de inmediato. Incluso el presidente del planeta Spaceballs tuvo el buen juicio de reaccionar cuando se enteró que la combinación de sus maletas era la misma que la del escudo de aire del planeta Druidia: “Preparen el Spaceballs 1 para despegue inmediato, ¡y que cambien la combinación de mis maletas!” Y eso que él no ha leído este libro. O puede que sí.