Incluso los ejemplos que puse pueden adivinarse. Pero algo como ji32k7au4a83 no parece decir nada y, al menos en apariencia, es una contraseña muy difícil de descubrir. Pero no, aunque no lo creas, según Have I Been Pwned es usada por muchas personas y ha sido objeto de 141 violaciones de seguridad.

Para que entiendas mejor el contexto, Have I Been Pwned (HIBP) es una página, creada por el experto en seguridad Troy Hunt, que recopila información de 551.509.767 contraseñas que han sido expuestas a violaciones de seguridad. El sitio web tiene una herramienta en la que puedes poner tus contraseñas y saber si han sido objeto de alguna violación de datos y debes cambiarla o no.

La pregunta es ¿por qué una contraseña tan rara y difícil ha sido expuesta tantas veces? El ingeniero de hardware y software, autodenominado hacker, lanzó un desafío en su cuenta de Twitter para quien sea capaz de explicar la razón por la que esa extraña contraseña es insegura.

Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed

— R. Ou (@rqou_) March 1, 2019

Es como si me hablaran en chino

En el hilo del trino se puede leer la razón, que es tan compleja como el propio password, pero que trataré de resumir lo mejor que pueda. Para aprender a hablar las distintas lenguas chinas, especialmente el mandarín, se usa un sistema fonético de símbolos llamado Zhuyin Fuhao o Bopomofo (por las primeras letras del alfabeto chino), que contiene 37 símbolos especiales que representan los sonidos de 21 consonantes y 16 vocales.

https://twitter.com/bofh453/status/1101335595916451840

Ese es uno de los sistemas, si no el más, utilizado por los taiwaneses para escribir y, además, es reconocido por Unicode e ISO. No entiendo muy bien cómo funciona el asunto, pero básicamente, si se divide la contraseña en varias partes de a tres caracteres y se usa el sistema Unicode, se forma un kanji (o creo que es un kanji, parece un kanji) diferente que, al traducirlo, dice “My Password” o, en español, “Mi Contraseña”.

Explíqueme más despacio que tengo una toalla

Para ser más claros, la contraseña completa es ji32k7au4a83, si la dividimos de a tres caracteres quedaría ji3 2k7 au4 a83. Si haces una búsqueda en Internet de cada una de esas partes, encontrarás algo como esto ji3: 我, 2K7: 的, au4: 密, a83: 碼. Buscando en Internet, descubres que esta es la traducción de cada ‘kanji’: 我: M, 的: Y, 密: PASS, 碼: WORD.

Hay una explicación más compleja de fonética y construcción lingüística que no comprendo porque es como si me hablaran en chino (momento, sí me están hablando en chino) y que por eso no explicaré. En resumen, para aclarar todo el enredo anterior: ji32k7au4a83 es un Bopomofo que traduce 我 的 密 碼 y que, a su vez, traduce “my password” o “mi contraseña”. Esa es la razón, así de simple. Si te quieres estallar la cabeza, puedes investigar más sobre el asunto, yo me rindo y lo dejo ahí. Si alguien más me pregunta sobre el tema, mi respuesta es: solo hay una explicación, chinos.

Imágenes: Yclinf y Grindi (vía: iStock)