Jeremy Hammond tenía muy buenas razones para usar una contraseña imbatible. Era el sospechoso de un robo de información a la firma de seguridad Stratford, que le ofrecía servicios al Pentágono y a algunas de las más grandes corporaciones de Estados Unidos. Por eso su cabeza tenía un precio alto. Para capturarlo, el FBI tuvo que seguirlo por meses, incluso infiltrándose en sus redes de contactos.
Cuando lo encontraron en su casa, corrió a cerrar su portátil, de modo que toda su información quedara cifrada. Pero su contraseña era muy débil: ‘Chewey123’. Chewey era el nombre de su gato. Él sospecha que por eso los agentes pudieron recoger pruebas en su contra. Hoy paga 10 años de cárcel.
Mark Zuckerberg, el fundador de Facebook, creó un imperio basado en el axioma fundamental de la ética hacker: la pericia informática y la afición por los retos. Igual: sus cuentas –inactivas– de Twitter y Pinterest fueron violadas de la forma más estúpida. Al parecer, ‘Zuck’ usaba su clave de LinkedIn en estos dos servicios, y cuando fueron robadas las credenciales de la red social profesional, los atacantes pudieron acceder a sus otras cuentas.
Si esto le ocurre a gente como a Hammond o Zuckerberg, ¿qué nos puede pasar a usted o a mí? ¿Será que estamos condenados a que nos roben las claves todo el tiempo? Claro: no usamos buenas contraseñas porque son difíciles de memorizar. Y si lo hacemos, lo más probable es que sea la misma en varios servicios. Si ‘grabarse’ una contraseña buena es difícil, grabarse varias es casi imposible. Y, de todos modos, ésta quedaría expuesta tan pronto se la roben.
No usamos buenas contraseñas porque son difíciles de memorizar
Y –no quiero ser ave de mal agüero, pero– digo ‘se la roben’ porque va a pasar. Esos ataques ocurren casi todos los días. Solo en mayo pasado, unas 642 millones de contraseñas fueron hurtadas, según calculó el medio Ars Technica.
¿Qué pasaría si nuestra mala memoria dejara de ser un problema? Como pasaba más tiempo del que me gustaría admitir recuperando las claves que olvidaba todo el tiempo, descargué LastPass, un administrador de contraseñas. Hay otras opciones bastante buenas en el mercado, como Dashlane o Sticky Password.
Ahora, los accesos de todos mis servicios son una cadena de letras, números y caracteres especiales que no quiero ni debo aprender de memoria. Incluso se completan automáticamente en mi navegador o mi móvil. Por eso, puedo darme el lujo de no usar la misma clave en dos servicios diferentes.
En realidad, solo me toca aprenderme una contraseña: la del acceso al administrador. Como tenía que ser segura y fácil de memorizar, opté por una frase larga que no solo es obviamente falsa, sino que no tiene sentido: algo así como ‘el mandarinas con sandalias tienes un color salado’. Con espacios y todo. Ese es un truco común en las decenas de publicaciones que hay en internet sobre cómo crear claves fuertes: si usas combinaciones de palabras muy comunes, es más fácil adivinarlas.
La única vez que he odiado al administrador de contraseñas es cuando me tocó cambiar de móvil. Para poder bajar la app de LastPass me toca ingresar en mi cuenta de Google, y digitar cada caracter sin equivocarse es tortuoso.
Claro, me toca pagar unos cuantos dólares al año. Pero, a cambio, puedo olvidarme de recordar la clave de cada pequeño servicio que uso o he usado. Ese es un problema que tú también has tenido. Y estamos de acuerdo en que la vida es muy corta como para pasarla recordando contraseñas.
Imagen: Psyomjesus (vía Wikimedia Commons)
Tiro al aire es mi columna mensual en la revista ENTER.CO.
comentario general. cuando en un sitio web se graban contraseñas, muchas veces (al parecer no siempre, o si no cuando se robaran las contraseñas de un sitio no servirían para otro) esas contraseñas se guardan encriptadas. se supone que no es que haya una forma de desencriptarlas. de hecho generalmente no se usa un sistema de encripción o cifrado sino de hashing. el hashing es algo que se usa para otras cosas, como bases de datos, paa asignarle a unos datos un valor dentro de un rango, y asegurar que ese valor dentro del rango tenga una distribución más o menos uniforma. entonces lo que hacen con ese cambio en las claves, es que la clave no queda guardad como la clave inicial, sino como un valor que a simple vista es como aleatorio, y que no es una función 1 a 1. para recordar, funciones 1 a 1 son las funciones que para cada valor en el rango, se puede aplicar una función reversa y se obtiene un único valor del dominio. acá no es así. es un valor que depronto no es evidente cuál era el valor que originó esa respuesta. cuando el usuario ingresa su clave, el programa aplica la misma función de conversión, y mira si esa cosa que salio al aplicar el hashing es igual a lo que tiene grabado el usuario como clave.
sin embargo, si en un servidor están grabadas esas claves paralos demás sitios, es porque no están con el hashing, o si estñan encriptadas, quedan encriptadas con una función ‘reversible’, y conociendo la función se puede obtener el valor original (o con fuerza bruta, pero con adivinar una sola clave usando fuerza bruta ya le quedan todas las demás claves al descubierto). por qué nopueden quedar grabadas sin el hashing? porque ese programa le indica al formato web la clave de ingreso, a travñes de la misma forma que el usuario se la daría escribiendo el teclado. no le da ya la clave con el hash. tiene ué tener una forma de obtener esa cadena para ingresarla al sitio que se la pida.
es decir, cruzarlos dedos que por ptoteger las claves alguien no le robe todas las claves de una, atacando als itio que le guarda esas claves. aunque hay un punto positivo: en los ataques de fuerza bruta, yo puedo ya detenerme si lo que encuentro usando una clave que obtuve adivinando parece tener sentido. si al usar claves aleatorias siempre obtengo cadenas de caracteres aleatorias, no sé cuñando detenerme, porque nos é cuándo esa cadena puede o no ser la clave desencriptada. en todo caso tener presente que siempre hay riesgos
Los servidores de LastPass también son suceptibles a ataques.