Cómo administrar mis contraseñas
“¿Y tiene que llevar mayúsculas?” “Yo es que uso la misma para todo” “Vale pues pongo mi fecha de nacimiento” “¿Por qué no puedo poner mi nombre?” “Pues 12345”
Estos y otros muchos comentarios son los que escuchamos los técnicos de IT a diario cuando le indicamos a un usuario que debe crear o actualizar una contraseña.
Y ya sé que somos unos pesados pidiéndote que, por favor, pongas una contraseña robusta y que muchas veces resulta frustrante tener que recordar una clave distinta para cada cosa. Así que por eso hemos hecho esta entrada, para poder darte un porqué.
Ni os imagináis la facilidad con la que un ciberdelincuente puede conseguir descifrar una contraseña, en muchos casos es cuestión de minutos o incluso segundos, todo dependerá al fin y al cabo de la complejidad y longitud de esta.
En muchos casos ni nos preocupamos de que la puedan descifrar, como es el caso de la clave que podemos tener para la red Wifi de casa, que la mayoría de las veces se deja la que ya viene por defecto, ¡mal!
Y qué decir de esas claves que dejamos apuntadas en un Post-it pegado al propio monitor, ¡es como dejar la llave de tu casa puesta en la cerradura! ¡Por fuera!
¿CÓMO SÉ SI MI CONTRASEÑA ES LO SUFICIENTEMENTE SEGURA?
Vamos por partes: lo primero es saber cómo de compleja debe ser una contraseña y con qué rapidez se podrían obtener aquellas que no lo son (en este caso haciendo uso de botnets):
Viendo esa tabla podemos darnos cuenta rápidamente de que seguramente la mayoría de las contraseñas que usamos en el día a día no son lo suficientemente fuertes, y que, si hubiese alguien interesado en obtener nuestras claves, no tardaría mucho en lograrlo.
Aunque realmente el problema no es que pueda haber alguien interesado o no, es que estamos constantemente expuestos a través de diferentes medios como redes, equipos o dispositivos inseguros, pasando por páginas web o correos maliciosos en donde a través de cierto tipo de malware se lleva a cabo el descifrado de nuestras contraseñas para comúnmente intentar pedir a posteriori un rescate por las cuentas a las que están vinculadas. Y ojo, que todo eso se lleva a cabo de forma automatizada, no se trata de un señor que está robándonos los datos expresamente a nosotros, son sistemas que tienen una extensión y alcance enormes.
Además, y por si fuera poco todo este riesgo, existen constantemente casos de ataques a grandes compañías que tienen alojadas nuestras credenciales en sus bases de datos y pueden llegar a estar comprometidas si esos ataques tienen éxito, como ya hemos visto en el pasado en muchos casos mediáticos como credenciales almacenadas en los servidores de Yahoo, Ebay, PlayStation Network, Adobe, etc… Por eso es recomendable no compartir claves entre nuestras diferentes cuentas, sino usar una distinta para cada una de ellas.
Ya que estamos, os dejo aquí un enlace muy útil para poder verificar si alguna de nuestras cuentas está comprometida, basta con introducir ahí nuestro email.
¿CON UNA CLAVE FUERTE ES SUFICIENTE?
Ahora que sabemos un poco a qué estamos expuestos y cuáles son los riesgos, entonces ¿qué medidas preventivas podemos tomar?
- Lo más importante siempre es generar contraseñas complejas. Para ayudarnos un poco, os dejo de nuevo un enlace de una página que se encargará de en menos de 1 segundo y con 2 clicks tener una clave robusta en nuestro portapapeles.
https://strongpasswordgenerator.com/
- Usar una contraseña diferente para cada acceso, recordemos que, si obtienen una de nuestras claves y la usamos en más cuentas, todas ellas estarán comprometidas
- Cambiar periódicamente las contraseñas. Podremos prevenir el uso indebido de claves que hayan sido previamente descifradas.
- Adicionalmente y en el caso de que sea posible, debemos tener SIEMPRE activada la autenticación de doble factor, bien sea a través del teléfono móvil o por correo electrónico. Recordemos que se trata de esa medida de seguridad que nos manda un código a un dispositivo o dirección de email vinculada para poder iniciar sesión con nuestra cuenta. Esto es una garantía adicional y muy importante de que nuestras cuentas permanecerán seguras, aunque consigan nuestra contraseña.
Si pones en práctica estos consejos nos daremos por satisfechos, no te vamos a pedir más, pero no pienses que estas serían todas las medidas que se podrían tomar, uno se podría acostumbrar también a no acceder a cuentas con datos sensibles a través de redes “no seguras”. O también a usar una cuenta diferente si usamos redes o equipos públicos.
Antes de finalizar, debo hacer mención especial a una herramienta muy recomendable que nos será de utilidad a la hora de compartir contraseñas (o cualquier otro contenido en texto que consideremos privado) con nuestros contactos. Ya sea para compartir la clave vía email o chat, OneTimeSecret nos permite subir el contenido y alojarlo en un enlace web de forma temporal (con un tiempo de vida que oscila entre los 5 minutos y los 7 días) siendo accesible una sola vez e incluso nos da la opción de establecer una contraseña que se le solicitará al contacto al abrir el enlace.
UNIFICAR TODAS LAS CLAVES EN UNA SOLA, ¿ES POSIBLE?
Por último, querría informarte sobre una de las mejores medidas de seguridad y que muchos agradeceréis si le dais una oportunidad, que es el llavero de contraseñas o gestor de claves. Se trata de una herramienta que unifica todas las funciones que comentamos antes de:
Generador de contraseñas, verificador de cuentas comprometidas y compartición de contraseñas, pero lo mejor de todo es que se encarga de recordar nuestras contraseñas por nosotros, ¡¡ya no tendremos que apuntarlas en un Post-it!!
Os dejo aquí enlaces a las 3 opciones más extendidas y más aceptadas por los usuarios:
1Password: https://1password.com/es/
Dashlane: https://www.dashlane.com/es
Lastpass: https://www.lastpass.com
Como siempre, te recuerdo que si tienes dudas al respecto o podemos ayudarte en este o cualquier otro tema, en 2KSystems estamos siempre a tu disposición.
Espero que te haya gustado tanto como para leer el artículo entero. 😊
¡Un saludo!
