10 malos hábitos con las contraseñas de los que debería deshacerse inmediatamente

· 5 min de lectura
10 malos hábitos con las contraseñas de los que debería deshacerse inmediatamente

Muchos usuarios crean contraseñas utilizando el método del "teclado errante", que consiste en memorizar no la frase, sino el patrón que siguen los dedos al escribirla. El resultado son combinaciones como qwerty, asdfgh, 1qazxsw2, qazxswedc, etc.

A primera vista, parece que este abracadabra es bastante seguro. Pero los hackers también conocen este "truco", y todas las combinaciones posibles están registradas desde hace tiempo en los diccionarios que utilizan los programas maliciosos para encontrar contraseñas y descifrar hashes.

Así que arrastrar el dedo por el teclado sobre botones muy juntos no es la mejor idea si necesitas una contraseña resistente a las fisuras.

El uso repetido de las mismas contraseñas en distintos lugares también es una práctica muy poco recomendable. Puede parecer que todo lo que necesitas hacer es crear y memorizar un código fuerte y todas tus cuentas estarán a salvo, pero esto es una muy mala idea.

Si incluso un servicio se ve comprometido, el siguiente paso lógico es que el atacante intente utilizar la contraseña descifrada en otro lugar. Y todas tus cuentas estarán en peligro.

Inventar contraseñas inseguras ya es malo, pero aún peor es utilizarlas durante muchos años. Las filtraciones de datos personales de usuarios de diversos servicios ocurren con bastante frecuencia, e incluso la frase de contraseña más segura se vuelve inútil después de tales hackeos.

Cambiar las contraseñas con regularidad le ayudará a evitar consecuencias negativas. Puede utilizar el sitio web Have I Been Pwned para averiguar en qué servicios debe actualizar sus contraseñas. Introduce tu correo electrónico y verás qué sitios en los que te has registrado han sido pirateados. Y cambia allí tus contraseñas.

Tenemos que introducir contraseñas todo el tiempo, así que es natural querer idear un código que sea fácil de recordar. Por eso mucha gente añade a su contraseña su fecha de nacimiento, el nombre de un familiar, el nombre de su mascota favorita o la ciudad donde conoció a su cónyuge.

Los compañeros especialmente olvidadizos también escriben esta información en la pista, que algunos servicios aún ofrecen crear.

Naturalmente, no es una buena idea. Alguien que quiera piratear tu cuenta podría averiguar fácilmente tu fecha de nacimiento, el nombre de tu hijo o los nombres de las ciudades a las que has viajado simplemente echando un vistazo a tus entradas en las redes sociales. Cualquier contraseña que consista en una palabra real, un nombre o algo similar es más fácil de descifrar por su propia naturaleza.

Cada vez son más los servicios que aplican diversas formas de autenticación multifactor. Introducir un nombre de usuario y una contraseña es el primer nivel de protección. Después, necesitará una confirmación adicional de su identidad. Es una tontería descuidar esta función si está disponible.

Por ejemplo, el servicio puede obligarle a introducir un código enviado por SMS o a confirmar su inicio de sesión a través de una aplicación en su dispositivo móvil. Si un hacker descifra tu contraseña, seguirá necesitando acceder a tu teléfono, lo que dificulta la tarea.

Ten en cuenta que los códigos SMS no son tan seguros como las combinaciones generadas por las aplicaciones de autenticación de dos factores. Un atacante puede engañar o sobornar a los empleados del operador de telefonía móvil que utilices. Pero programas como Google Authenticator o Authy son mucho más difíciles de tratar.

Descargar

Precio: Gratuito

Descargar

Precio: Gratuito

Descargar

Precio: Gratuito

Descargar

Precio: Gratuito

Así que has abandonado tus malos hábitos anteriores y ahora creas contraseñas fuertes y variadas para cada sitio web. Sin embargo, surge un nuevo problema: cómo guardar frases de contraseña complejas.

Nunca las escribas en una hoja de cálculo de Excel, y mucho menos en una hoja de Google basada en la nube. No te envíes tus contraseñas por correo electrónico ni las pongas en un archivo de texto, un documento de Word o una nota en un servicio como Evernote.

Y Dios te libre de escribirlos en post-its adhesivos y pegarlos a la pantalla de tu monitor.

Todos estos métodos de guardar datos son demasiado inseguros y personas ajenas pueden acceder a tus contraseñas.

Existe una herramienta sencilla pero eficaz que puede mejorar considerablemente la seguridad de sus cuentas: un generador de contraseñas. Te permite crear combinaciones difíciles de recordar e imposibles de igualar. Se trata de conjuntos de letras, números y caracteres especiales que se reúnen aleatoriamente. Puede utilizar cualquiera de los servicios de esta colección - o nuestro generador.

Recordar contraseñas generadas aleatoriamente a prueba de cracks es sencillamente una tarea imposible. Puedes tener la tentación de guardarlas en una hoja de cálculo o en un archivo de texto, pero como ya hemos dicho, éste es un método completamente poco fiable. Es mucho mejor utilizar gestores de contraseñas especializados. Sin embargo, no son tan fáciles de usar.

Puedes encontrar muchos servicios en la Red diseñados para almacenar tus credenciales. Pero todos tienen una gran desventaja: almacenan tus contraseñas en sus servidores, y si esos servidores se ven comprometidos, la información llegará a manos de ladrones. LastPass ha sido pirateado más de una vez.

Por lo tanto, debe evitar los servicios con su propia nube para las contraseñas y preferir las aplicaciones que almacenan los datos localmente.

La mejor opción es el gestor de código abierto KeePass. Se trata de un programa que se ejecuta localmente en tu ordenador. Sus bases de datos de contraseñas no pueden filtrarse a la Red. Sin embargo, el cliente KeePass no es muy bonito, pero tiene un análogo más moderno KeePassXC. Clientes para Android e iOS, plugins para todos los navegadores populares: este gestor lo tiene todo. Y usted no tendrá que pagar por ello.

Además de KeePass, 1Password, de pago, y Enpass, gratuito, admiten el almacenamiento local de bases de datos de contraseñas. Además, puedes probar Bitwarden si tienes tu propio servidor doméstico y quieres implementar el almacenamiento de contraseñas en él. Pero deberías mantenerte alejado de las soluciones que no proporcionan almacenamiento offline.

Puede que pienses que un gestor es una herramienta totalmente innecesaria. Y que es mucho más fácil utilizar la función de guardado de contraseñas integrada en todos los navegadores. Es realmente conveniente, pero este método tiene algunas desventajas.

En primer lugar, cualquier persona a la que dejes usar tu ordenador -un colega, un amigo o incluso un familiar- puede ver las cuentas guardadas en tu navegador con una sencilla secuencia de pasos.

Esto no funcionará con KeePass o Enpass: la base de datos no se puede abrir sin una contraseña maestra o clave.

Además, puedes almacenar en el navegador sólo los códigos de servicios web, mientras que puedes transferir al gestor de contraseñas tus datos bancarios, el código Wi-Fi, las cuentas del sistema operativo y varios programas de tu ordenador. Y todo esto se mantendrá completamente seguro - por supuesto, si usted tiene una contraseña maestra fuerte.

Ni siquiera las contraseñas más potentes son tan seguras como las claves de acceso, las llamadas Passkeys. Para que las combinaciones funcionen, los servidores de cuentas deben almacenarlas, o al menos los hashes de las contraseñas. Esto es necesario para comparar los datos almacenados con los introducidos por el usuario.

Y la tecnología Passkeys no requiere almacenar datos privados del usuario en servidores de cuentas. E incluso si dicho servidor se ve comprometido, los atacantes no podrán averiguar las claves de acceso porque se almacenan de forma privada en el dispositivo del usuario.

La clave de acceso tampoco puede ser comprometida en esquemas de phishing, ya que es imposible engañar a una persona para que la introduzca en un sitio falso doppelganger - simplemente no conocen el código correcto.

Para acceder a una cuenta protegida por Passkeys, el usuario no necesita contraseña: sólo autenticación biométrica mediante huella dactilar o facial, introduciendo un código pin o escaneando un código QR. La clave de acceso creada por su navegador, ordenador o smartphone se almacenará cifrada en su dispositivo, y ni siquiera el servicio en el que se conecte tendrá acceso a ella.

Así que si el servicio que utilizas admite la tecnología de inicio de sesión mediante claves (también puede llamarse Passkeys o "inicio de sesión sin contraseña"), es mejor utilizarla en lugar de contraseñas triviales.