Consejos, o sugerencias, para el uso de contraseñas

(passwords).

Creo que estoy a salvo si me arriesgo a decir que todos tenemos problemas
con el uso de contraseñas (o palabras clave o passwords).

Por una parte, queremos que cumplan con ciertas reglas de seguridad; es
decir, que no sean demasiado cortas, que sean alfanuméricas, si es posible
que incluyan algún carácter especial. Y también, por supuesto, queremos
que sean fáciles de recordar para nosotros.
Muchas veces, esas reglas para agregar alguna seguridad nos las imponen
cuando nos dicen que la palabra clave a utilizar deberá tener por lo menos 8
caracteres, entre los cuales tendrá que incluirse alguna letra, número y carácter
especial (@#$%&/()= etc., etc.)..

La solución para este problema puede encararse desde distintos puntos de

vista. A continuación uno que personalmente encuentro muy útil y luego un par
de referencias relacionadas con soluciones que emplean software.

1. Algoritmo propio: Elegir una palabra - o mejor un conjunto de

caracteres extraídos de las primeras letras de una frase o línea o
expresión que recordemos bien - como base y una regla, o conjunto
de reglas, simples y que podamos recordar siempre (o que anotemos en
algún lugar).
1.1. Por ejemplo, elegimos la palabra (nombre) CERVANTES (o
mejor, como se dice antes, elegir las primeras letras de cada
palabra de “El ingenioso hidalgo don Quijote de la Mancha”, es
decir “EihdQdlM”, que serviría como una base de contraseña más
“fuerte. Para sitios en que se deba usar sólo minúsculas será
“cervantes“ (o “eihdqdlm”).
1.2. Si el sitio requiere una combinación alfanumérica, será
1CERVANTES (o 1cervantes).
1.3. Si queremos (o tenemos que…) emplear distintas contraseñas en
distintos sitios podremos usar 2CERVANTES, 3CERVANTES,
etc., o 1234CERVANTES. Etc., etc. De hecho, es recomendable
usar distintas contraseñas para aquellas cosas que son realmente
importantes (ejemplo, transacciones bancarias).
1.4. Si algún sitio requiere el uso no sólo de una combinación
alfanumérica sino, además, el uso de algún carácter especial,
podríamos decidir usar siempre un asterisco (*) al final, por
ejemplo, 1CERVANTES*.
1.5. Si nos olvidamos la combinación exacta podremos siempre
intentar 1CERVANTES*, 2CERVANTES*, 3CERVANTES*, etc. y
podremos finalmente tener acceso a lo buscado.
 1.6. Como alternativa simple para lo anterior, podríamos usar una
palabra base (o conjuntos de iniciales de una frase –
proverbio o refrán - base, o verso), más una fecha y/o número
de dirección o teléfono que nos sea, o haya sido, muy
familiar y que – ¡esto es fundamental! – nos resulte muy fácil
recordar (o que tengamos la precaución de anotar en un
lugar seguro y/o en clave, recurriendo por ejemplo a una
referencia personal).
1.7. Como verificación final, usar el “password checker” de Microsoft
para verificar la fortaleza de la contraseña elegida
(http://www.microsoft.com/protect/yourself/password/checker.msp
x). Y que verifica razonablemente la bondad de la contraseña
(aunque parecería que este verificador, por lo menos para pasar
la calificación de “Strong” a “Best”, se basa fundamentalmente en
que la longitud de la contraseña sea de 14 caracteres o más, lo
que es por cierto recomendable para resguardar la información
más “delicada”).
En ese sitio se encontrará también un enlace a un documento con
consejos para desarrollar contraseñas “fuertes”, donde se
menciona justamente el método de usar frases o iniciales de
frases.

El problema es en general el utilizar contraseñas demasiado cortas, no

demasiado largas. Cuanto menor la cantidad de tipos de caracteres utilizados
mayor debería ser la longitud de la contraseña.
Una contraseña ideal combina todos los posibles tipos de caracteres (letras,
dígitos, caracteres especiales) y una longitud de 14 caracteres o más.

La idea sería entonces definir UNA palabra o conjunto de caracteres y definir

también un conjunto de reglas simples.

Como ya se ha indicado, una alternativa al uso de UNA palabra o nombre como

base – y que mejora la seguridad - es la de usar las iniciales de una frase u
oración. Por ejemplo, una línea de un poema de Espronceda como “Con diez
cañones por banda” se transformaría en Cdcpb. Por supuesto, convendría que
la palabra clave fuese un poco más larga y que fuese fácil recordarla, por
ejemplo, los DOS primeros versos en lugar de UNO solo: “Con diez cañones
por banda / viento en popa, a toda vela”, y en este caso mi palabra clave sería
Cdcpbvepatv (por supuesto, con las variantes en inglés, portugués, alemán,
etc., según las líneas que recordemos más claramente de alguna historia o
poema o canción leída o cantada en el colegio… salvo que estemos SIEMPRE
recitando en voz alta ese poema, o cantando ESA canción, y todo el mundo
sepa que es nuestra preferida y candidata lógica para una contraseña…).
En el caso anterior, esa contraseña será más fuerte si le agregamos las
iniciales de un tercer verso de la poesía en cuestión, de manera de llegar a los
14 caracteres o más.

EJEMPLO: Repitiendo, resumiendo y agregando todavía alguna complejidad

más, si lo creen necesario, el procedimiento a seguir podría ser el siguiente (a
ser modificado por cada uno en los detalles específicos relacionados con la
palabra, o conjunto de iniciales, y mayúsculas, dígitos y caracteres especiales a
utilizar.

La regla sería entonces la siguiente:

Usaré – hasta que deba cambiarla - la palabra clave básica CERVANTES

(Mejor aun las letras iniciales de las dos primeras líneas del poema XXX o de la
canción YYY, o del proverbio ZZZ, y mejor aun si usamos no menos de 14
caracteres para esta combinación, por lo menos para las contraseñas que
pretenden proteger información realmente confidencial).

A partir de allí, y según uno mismo lo considere necesario, definiré – para este
caso hipotético - que
a) La usaré con minúsculas, salvo los nombres propios y/u otra única letra que
irá con mayúscula que, por ejemplo para este caso, será siempre la ÚLTIMA:
CervanteS
b) Si se requiere emplear dígitos, el que utilizaré será siempre el mismo,
digamos mi número preferido que es un 5 y que irá siempre al comienzo:
5CervanteS (o si se requiere más de uno será, por ejemplo, “57”
c) Si se requieren caracteres especiales, el carácter especial que usaré será un
asterisco (*), que irá siempre al final: 5cervanteS*.
d) Si es necesario – y SÍ, es recomendable – usar distintas contraseñas en
distintos sitios (decididamente sí para aquellos accesos con información
“delicada”), puedo, por ejemplo, agregar al comienzo las primeras, o últimas,
dos letras del nombre del sitio en cuestión, para diferenciar esas contraseñas.

En realidad, podría utilizar una contraseña básica para aquellos sitios en

que es necesaria para el simple acceso y no hay intercambio de
información “sensible”, y emplear una contraseña distinta y lo más
“fuerte” posible para, por ejemplo, mis transacciones bancarias. De
manera que si mi contraseña de uso general se ve comprometida, eso NO
afectará a mis contraseñas realmente importantes.

Todo lo anterior daría una razonable seguridad (mayor cuanto mayor es la

cantidad y diversidad de caracteres utilizados) haciendo fácil recordar la
palabra clave en cuestión.
2. Software (hay software disponible que facilita las cosas):

2.1 Simple y gratis: https://lastpass.com/

2.2 "Password Corral" de Cygnus Productions
http://www.cygnusproductions.com/freeware/pc.asp0
Es freeware (aunque agradecen donaciones…) y aparece recomendado
en muchos lugares.
2.3 Roboform es otro soft muy recomendado (free to try, US$30 to buy)
http://www.roboform.com/es/
2.4 Sticky password manager: http://www.stickypassword.com/google-
desktop-gadget.html

Comentarios adicionales:

Evitar el uso de contraseña de las que se denominan “débiles”, es decir que

sean fáciles de adivinar o descubrir. En general, evitar el siguiente tipo de
palabras clave:
- Secuencia de caracteres o caracteres repetidos: “abcdefg”, “12345678”, o
“qwertyuiop” (caracteres adyacentes en el teclado).
- El uso de substituciones más o menos evidentes: por ejemplo, reemplazo de
una “i” con un “1”, o una “a” con un “@”.
- El uso como contraseña de la misma identificación (ID) empleada para
ingresar (login) a un sitio.
- Una parte del propio nombre, fecha de nacimiento, número de documento, o
similar información de hijos o cónyuge.
- Palabras extraídas de un diccionario en cualquier idioma, incluidas esas
mismas palabras deletreadas de atrás para adelante o con errores ortográficos
comunes, o “malas” palabras.
- Las ya utilizadas por uno mismo en otros sitios u otros computadores.

Otros consejos útiles:

Nunca incluir contraseñas propias en texto enviado en un e-mail (y por
supuesto no responder a pedidos por e-mail de una palabra clave).

Cambiar periódicamente las contraseñas utilizadas (especialmente las

empleadas para transacciones bancarias). Una palabra clave con una longitud
menor a 8 caracteres debería ser cambiada mucho más frecuentemente (cada
pocas semanas) que una de 14 caracteres o más (que podría utilizarse por
meses o años). Sí, ya sé, ¡éste es justamente el problema!: el tener que
cambiar las palabras clave cada tanto…
NO utilizar sus contraseñas en un una PC de uso público (existen programas
que se instalan muy fácilmente y que permiten registrar todo lo que se digita en
un teclado).

Si conviene recordar algo, ese algo es que es fácil olvidar… y olvidarse de

una contraseña puede ser trágico si se trata de un documento con
información importante. Por lo tanto, en última instancia, y a pesar de que
la mayoría de los especialistas aconseja jamás anotar las contraseñas en
un papel (¡sobre todo si lo colocamos debajo del teclado o en un “post-
it” pegado a la pantalla!), la solución práctica puede ser justamente ésa:
tener algún lugar SEGURO (y mi billetera o un archivo digital en mi PALM
o en mi propia PC pueden ser bastante seguros) para registrar las
contraseñas que usamos (si somos muy rebuscados, y no queremos que
otros ojos puedan leer esa contraseña - especialmente si está en un
documento en nuestra PC -, podríamos anotarnos sólo un recordatorio
para la solución. Por ejemplo, para eihdQdlM anotar algo así como
“Cervantes *ih*****”, aunque en este caso podría ser bastante evidente lo
que quisimos hacer).

Y – por supuesto y lo repito - NO es lo mismo la contraseña que tengo

que usar porque me lo exige tal o cual sitio de información general que
las contraseñas para mis transacciones bancarias.

Para mayor información:

http://www.us-cert.gov/cas/tips/ST04-002.html
http://www.microsoft.com/protect/yourself/password/create.mspx
http://www.microsoft.com/spain/protect/yourself/password/create.mspx (lo
mismo que la anterior, pero en castellano)
https://www.google.com/accounts/PasswordHelp
http://psynch.com/docs/choosing-good-passwords.html
http://www.wired.com/politics/security/commentary/securitymatters/2006/12/723
00?currentPage=2
http://www.schneier.com/blog/archives/2007/01/choosing_secure.html

------

Referencias interesantes o curiosas sobre Contraseñas:

Common sources of passwords for people in England

Study: Compaq Password Survey

Date: January 2 1997

Sources of passwords for 82% of the survey respondents:

• 30% A sexual position or an abusive name for the boss
 • 16% Their partner's name or nickname
• 15% The name of their favorite holiday destination
• 13% Sports team or player
• 8% Whatever they saw first on their desk

Favorite types of passwords for European users

Study: Visa EU Password Selection Survey (2004)

Date: August 2004

Favourite user choices for passwords:

• 21% Nicknames
• 15% Birthdays and anniversaries
• 15% Pet names
• 14% Family members' names
Memorable dates (such as the Battle of Hastings
• 7%
and England's World Cup victory)
• 3% Cash machine (ATM) PIN
• 2% "password"
• 22% Random letters and characters

It's the silver surfers who are leading the way with almost a third of over-
60s using random letters and numbers, compared to the under-30s who
prefer nicknames.

Ranked information on the most commonly used passwords and

password types

Study: Deloitte & Touche Most Popular Passwords

Date: June 1997

Most commonly used passwords:

• Your first, last, or kid's name
• "Secret"
• Stress-related words ("deadline", "work")
• Sports teams or terms ("bulls", "golfer")
• "Payday"
• "Bonkers"
• The current season ("Winter", "Spring")
• Your ethnic group
• Repeated characters ("AAAAA", "BBBBB")
• Obscenities, sexual terms
Around 82% of people have forgotten a password used on a Web site

Study: Attitudes and Behavior Towards Password Use on the World Wide Web
Date: October 11 2000

Have you ever forgotten a password used on a web site (n=122)?

• 81.6% Yes
• 16.0% No

Forty percent of online banking customers use the same password

multiple times

Study: 2nd Annual Financial Institution Online Fraud Survey

Date: November 2004

44% of online bank users utilize the same password for multiple online banking
services. Over 30% of online bank users use three or more online banking services.

37% of online bank users use their online banking password at other, less secure sites,
such as online merchants and subscription services.

Four classifications of people based on their password choice

Study: CentralNic Password Survey

Date: June 2001

Classifications of people surveyed based on their password choice:

Use own name, nickname, names of
• 47.5% Family partners, names of children, or names of
pets
Use sports stars, cartoon characters, pop
• 32% Fan
stars, favourite teams, or film stars
"Self-obsessed people" who use
• 11% Fantasist passwords like "Sexy", "Stud",
"Goddess", and "Slapper"
Use passwords that mix lower and
upper case letters, numbers, and
• 9.5% Cryptics
punctuation to create intricate, 'cryptic'
passwords
Breakdown of Family based passwords:
• 55.3% User's name or variation thereof
• 20.5% Child's name
• 15.4% Partner/spouse's name
• 6.1% Pet's name
• 2.6% Date of birth

Breakdown of Fan based passwords:

• 33.0% Sports stars
• 28.4% Cartoon/fictitious characters
• 11.5% Pop stars
• 11.2% Sports teams
• 10.2% Movie/TV stars
• 5.5% Other celebrities

Breakdown of Fantasist passwords:

• 28% "Sexy"
• 21% "Stud"
• 15% "Goddess"
• 8.3% "Slapper"
• 5.3% "Bitch"

How people remember passwords

Study: 2nd Annual Consumer Security Confidence Survey

Date: March 2004

How do you remember your passwords? Do you:

• 76% Keep them all in your head
• 8% Keep with you in wallet/purse
• 5% Write them down next to your desktop computer
• 4% Keep them in a file on your desktop computer
• 3% Forget and call for help
• 13% Don’t know/none of these

Number of people who know the password of a colleague

Study: Infosecurity Europe 2004 Information Security Survey

Date: April 2004

4 out of 10 (40%) [of the office workers surveyed] knew their

colleagues' passwords.

Number of people who use short and simple passwords

Study: Digital Marketing Services Internet Security Survey

Date: December 2001

Users who are at risk due to the following practices:

• 44% Use passwords without letters and numbers
• 21% Use password with less than 6 characters