Para acceder a cualquier tipo de servicio solemos requerir de, al menos, dos elementos. El primero indica quienes somos, y el segundo sirve para demostrar que realmente somos quienes decimos ser. El primer elemento puede ser el nombre de usuario de un servicio, o la tarjeta de crédito que introducimos en un cajero, mientras que el 2º elemento es la contraseña.
En este primer post sobre contraseñas vamos a hablar un poco del funcionamiento más básico de este rudimentario sistema de seguridad que tan vigente está en nuestros días. Y es que, no por rudimentario, es ineficiente.
La primera ventaja es, al mismo tiempo, la principal desventaja, depende de la memoria del propietario de la contraseña y, en consecuencia, cuanto más compleja sea la contraseña, más fácil resultará de olvidarla. De hecho, cuenta el saber popular, que el PIN de las tarjetas de crédito es una decisión arbitraria del inventor de las mismas, que contaba que su mujer decía no poder memorizar más de 4 números.
Cuando creamos una cuenta en un servicio, sea la cuenta de usuario de nuestra computadora, la de acceso a nuestro correo electrónico o la de una red social, por ejemplo, lo más común es que nunca quede almacenada la contraseña «en claro». Es decir, que si alguien pudiese leer todos los textos y bases de datos de un sistema, no debería ser capaz de ver nuestra contraseña de forma inteligible. Lo que se suele hacer es calcular un hash de la contraseña.
Un HASH es un algoritmo matemático que se aplica a un conjunto de datos y que da siempre como resultado una cadena de texto, aparentemente aleatoria, que tiene una longitud fija sin importar el tamaño de los datos originales sobre las que se calcula el HASH.
Con las contraseñas lo que se hace es calcular el HASH de las mismas y almacenar el resultado. De forma que cada vez que una plataforma o servicio solicite la contraseña, se calculará el HASH de la contraseña que escribamos y se comparará con el HASH almacenado. Si coinciden, es que la contraseña es correcta.
En próximos posts estudiaremos los HASH más en profundidad. De momento, nos basta con conocer su característica principal: son algoritmos no reversibles, es decir, que conociendo la contraseña, puedo calcular el HASH, pero conociendo el HASH, no puedo calcular la contraseña o cualquier otro tipo de información a la que haga referencia porque, como hemos dicho, los HASH se calculan a partir de unos datos, sin importar si esos datos son una palabra, un archivo de audio, una fotografía o la imagen completa de un disco duro.
Entonces, ¿cómo podemos averiguar una contraseña a partir del HASH? Por fuerza bruta. Tendremos que probar distintas combinaciones de caracteres hasta que alguna, al aplicar el algoritmo del HASH, de como resultado el mismo HASH almacenado.
Por este motivo las contraseñas deben ser largas, complejas, impersonales y únicas.
Largas para que quien quiera aplicar fuerza bruta tenga que probar millones o incluso miles de millones más de combinaciones.
Complejas, por el mismo motivo, porque si combinamos letras mayúsculas y minúsculas con números y signos de puntuación, la permutabilidad y combinatoria de los elementos aumenta tanto que las combinaciones posibles son desproporcionadas y, en consecuencia, dificultan los ataques por fuerza bruta.
Impersonales, dado que si la contraseña se basa en nuestro nombre, documento de identidad, cumpleaños, aniversarios, los de algún amigo, pariente o ídolo, si se basan en nuestros gustos musicales, deportivos o cinéfilos, o incluso en el propio servicio al que dan acceso, un atacante podría construir un diccionario específico para atacar por fuerza bruta que sería mucho más pequeño que si tuviese que probar todas las combinaciones posibles.
Las contraseñas también deben ser únicas, es decir, que no debemos usar la misma contraseña para distintos servicios. Por una razón muy sencilla, porque si alguien descubre una de nuestras contraseñas, lo siguiente que hará será probarla en otros servicios por si hemos sido tan poco prudentes de no respetar esta regla de seguridad.
Deja una respuesta