A inicios de año, nos enteramos que muchísima gente, literalmente millones de personas, siguen usando códigos PIN y contraseñas como '1234', '1111', 'qwerty', 'password', la fecha del cumpleaños o un 'realmadrid' y demás. Son contraseñas fáciles de recordar, pero ese es el problema: al ser sencillas, son las primeras en ser descifradas por los cibercriminales. Por ello, el reto es hacerlas más complicadas.
Pero, aunque eso es precisamente lo que más aconsejan expertos y blogs de ciberseguridad, resulta que en la práctica al parecer no lo es tanto. Yo me partía la cabeza buscando alternar mayúsculas, minúsculas y números sustituyendo vocales, y lo que tenía que hacer era más bien escribir contraseñas el doble de largas.
El doble de seguridad para el doble de amenazas digitales
Hoy día ya no basta con una sencilla contraseña. La cosa ha cambiado tanto en el panorama de la ciberseguridad, que ya necesitamos sistemas adicionales de protección, como el 2FA de Autenticación en dos pasos, las Passkeys o los gestores de contraseñas para no volvernos locos recordándolas todas.
Según leemos en Xataka, la NIST o Instituto Nacional de Estándares y Tecnología, una organización estadounidense que emite recomendaciones sobre cómo las empresas y los usuarios podemos proteger nuestras cuentas de la manera más efectiva posible, ha redactado un borrador de sus nuevas Directrices de Identidad Digital, señalando que un programa o sistema no debe obligarnos a crear una nueva contraseña, o a que la cambiemos periódicamente:
“Los verificadores y los CSP no deberán imponer otras reglas de composición (por ejemplo, que requieran mezclas de diferentes tipos de caracteres) para las contraseñas”.
“Los verificadores y los CSP no exigirán a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores deberán forzar un cambio si hay evidencia de compromiso del autenticador”.
Una contraseña más larga y menos complicada
En este borrador, uno de los puntos del NIST es sobre la eficiencia de las contraseñas largas, algo que refleja el informe anual de los expertos de Hive Systems, que revela la cantidad de tiempo que un hacker necesita para descifrar contraseñas según la GPU o tarjeta gráfica que esté usando para ello.
Usando una NVIDIA A100, la versión empresarial con arquitectura Ampere de la que salió las tarjetas RTX 3000 que tanto éxito han tenido, y dotándola con 8GPUs, el informe señala que:
- Una contraseña de 4 caracteres con números, símbolos y letras mayúsculas y minúsculas tarda 23 segundos en ser descifrada
- Una contraseña de 6 caracteres con números, símbolos y letras mayúsculas y minúsculas tarda 16 horas en ser descifrada
- Una contraseña de 8 caracteres con números, símbolos y letras mayúsculas y minúsculas tarda 17 años en ser descifrada
- Una contraseña de 12 caracteres con solamente letras mayúsculas y minúsculas tarda la locura de 2.000 años en ser descifrada
- Una contraseña de 13 caracteres con letras mayúsculas y minúsculas tarda la enormidad de 75.000 años en ser descifrada
¿Qué sucede si sigues aumentando los caracteres? Este cuadro de arriba lo refleja a la perfección. Si creas una contraseña de 24 caracteres sólo de números, el hacker podría tardar hasta 30.000 años en crackearla , y si es de 25 caracteres con números, letras en minúscula, mayúscula símbolos, es casi imposible de cuantificar.
Vía | Xataka / Hive Systems
En Mundo Xiaomi | Cómo desbloquear tu móvil Xiaomi si has olvidado el patrón o la contraseña
Ver 0 comentarios