Publicado el 07 de nov de 2012 8:33 pm |

  comentarios

Foto: DPA

(Berlín, 7 de noviembre – dpa) – Nuestra identidad en la red es frágil. Sólo una contraseña nos separa de ojos curiosos o criminales en nuestra búsqueda de noticias, cuentas bancarias o servicios de correo. Y muchas veces esas contraseñas tampoco merecen su nombre. Pero una buena contraseña es difícil de recordar.

Echar mano del diccionario es algo que rechazan de entrada los expertos en seguridad, porque las palabras son de uso común, pero muy inseguras como contraseñas. Los ladrones las descubren rápidamente con programas especiales mediante “fuerza bruta”, sistema criptográfico que prueba todas las combinaciones posibles a miles de palabras por segundo hasta dar con la clave o la contraseña que se busca.

Por el contrario, usar largas combinaciones alfanuméricas de signos al azar es bastante seguro, aunque sea una tortura en el momento de recordarlas. Las contraseñas gráficas, consistentes en identificar tres gestos en una imagen a elección, como las introducidas por el nuevo sistema operativo Windows 8, son aún mucho más seguras y más fáciles de recordar, pero no se han generalizado todavía.

Para el profesor Norbert Pohlmann, las contraseñas alfanuméricas son un mal necesario, “el mecanismo de identificación menos apropiado imaginable”. Pese a ello, actualmente no hay otra solución, dice Pohlmann, director del instituto de seguridad informática de la Escuela Técnica de Gelsenkirchen, en Alemania. “Como usuarios, no nos queda otra posibilidad que aprender a manejarlas y hacer uso de ellas lo mejor que podamos”.

El mayor peligro está en usar la misma contraseña para todas las cuentas aunque sea buena

Eso se traduce en que una contraseña debe constar de por lo menos diez signos, y contener signos especiales, mayúsculas y minúsculas, además de números.

“Con esto ampliamos el espacio de cifrado de tal modo que un ataque de fuerza bruta necesitaría más de 200 años en descifrar la contraseña”, dice el experto. “Pero muchos usan malas contraseñas, porque toman el nombre de la novia, el de la empresa en que trabajan o su fecha de nacimiento”, y todo esto está en su perfil de Facebook.

Pero ¿cómo acordarse de una contraseña compleja? La agencia alemana para seguridad informática (BSI) aconseja utilizar una frase entera fácil de recordar. Por ejemplo, la frase “Tengo 100 contraseñas para entrar en Internet!”, se convierte en la contraseña “T100cpeeI!”. No conviene usar la “ñ”, porque no figura en los teclados de todos los países. En números PIN (número personal de identificación) no se debe en absoluto usar fecha o año de nacimiento. Lo mejor es cambiar las contraseñas cada seis meses y poner atención a ataques de phishing.

El mayor peligro está en usar la misma contraseña para todas las cuentas, aunque sea buena, porque quien se haga con ella puede apoderarse también de todos los servicios del usuario.

“Lo ideal es tener una contraseña propia para cada cuenta”, aconseja Melanie Volkamer, profesora del centro de investigaciones informáticas avanzadas de la universidad técnica de Darmstadt. Aunque reconoce que “¿quién se va a acordar de 30 combinaciones alfanuméricas al azar?”.

Pero también puede variarse una contraseña segura, anteponiéndole o postponiéndole, según una norma determinada, una serie de letras que, por ejemplo, estén relacionadas con el nombre del sitio que se visita.

Y, puesto que no todos los servicios tienen la misma importancia, se puede llegar a un compromiso entre la seguridad y la usabilidad de la contraseña. Se puede usar, por ejemplo, una contraseña para las redes sociales, otra para las tiendas online, una para la cuenta bancaria y otra para la cuenta de correo.

Los programas gestores de contraseñas para almacenar una cantidad indefinida de códigos

Servicios especialmente críticos usan una contraseña adicional, como la clave personal que los bancos exigen para entrar en un banco online. Algunos servicios como Paypal, Google o Dropbox ofrecen un servicio adicional de comprobación, enviando un código por email o mensaje SMS al teléfono móvil.

Los programas gestores de contraseñas para almacenar una cantidad indefinida de códigos tienen sólo una utilidad determinada. En algún momento tropiezan con sus límites, cuando se los usa en una computadora de dudosa seguridad. Si un troyano se apodera de la clave de ingreso, también todas las demás claves caerán en su poder.

“Mucho está aún por verse”, dice el profesor Pohlmann. En muchos países europeos y en Estados Unidos ha comenzado a utilizarse el carnet de identidad electrónico, que se abre mediante un aparato lector de tarjetas y una clave personal, función que exige al usuario activarla previamente.

“Se puede también usar contraseñas gráficas, porque nuestra memoria funciona mejor con imágenes”, dice la profesora Volkamer. Hay sistemas en los cuales hay que identificar varias veces una selección cambiante de fotos de rostros conocidos. “No hay nada que escribir, solamente reconocer”, señala. Lo ideal sería que los usuarios pudiesen elegir libremente el tipo de contraseña de cada servicio.

El Instituto Fraunhofer de Tecnología Informática Segura ha desarrollado iMobileSitter (www.imobilesitter.com/index_en.php), una app para guardar códigos en smartphones, que combina una contraseña maestra (MP) con un elemento gráfico.

Independientemente de qué MP se introduzca, esta aplicación permite siempre a hackers, ladrones o curiosos el acceso al teléfono y les da contraseñas, falsas y verdaderas. El propietario del aparato puede reconocer la verdadera mediante una secuencia de símbolos y una imagen que aprendió al instalar la MP. Los demás podrán perder su tiempo (sin saberlo) y seguir probando contraseñas falsas hasta que el aparato les niegue definitivamente el acceso.

Foto: DPA