Todos los días se usa una contraseña para acceder a las cuentas de correo u otros servicios, otros las guardan en su navegador (mala idea), otros prefieren anotarla en un post-it en su escritorio u oficina (peor idea); el problema de estas prácticas es la complejidad del password.
Si uno de los propósitos para este año 2017 es crear contraseñas seguras para tu vida diaria, este post es para ti.
Al tener que memorizar algo que usas a diario, lo más cómodo sería hacerlo sencillo; han elegido palabras simples (hola, contraseña, perro, gato), otros han elegido algo más elaborado, por ejemplo, usar tu nombre, tu fecha de nacimiento, el SSN (número de seguridad social), etc.
Según la definición, contraseña es una palabra o texto alfanumérico usados para acceder y controlar un sistema informático. Por otra parte, algo más complejo, una frase de contraseña o passphrase, es una secuencia de palabras o frases, normalmente sin sentido, usadas de manera general para agregar seguridad a un sistema.
¿Porqué es mejor?
Mientras las palabras de nuestro idioma y que podemos encontrar en el diccionario son la peor elección por si solas, las contraseñas son muy débiles. Una frase segura involucra entropía, la dificultad en bits de seguridad de dicha frase.
Por ello combinar palabras del diccionario y crear una frase sin sentido de una manera realmente aleatoria, vuelve una simple frase muy segura ante ataques de fuerza bruta y por diccionario; siendo además fácil de memorizar. Si incluso agregas palabras no existentes o en diferente idioma, la seguridad aumenta.
Lanzando el dado
A la hora de crear una contraseña o frase segura, lo ideal son los generadores de números aleatorios, si bien existen muchas implementaciones, muchas de ellas no son realmente aleatorias. Pocas opciones como GPG, OpenSSL y dev/random son relativamente seguras para generar una contraseña aleatoria, pero no frases seguras; para las frases vamos a jugar con un dado.
Diceware es un método para crear frases seguras, usando la probabilidad 1/6 de un dado y una lista de palabras sean en idioma inglés, español, francés, alemán, japonés, etc. Cada palabra en la lista está precedida por un número de cinco dígitos. Todos los dígitos están entre 1 y 6, lo que permite usar el resultado de lanzar cinco dados, para seleccionar de la lista una palabra única.
Necesitamos un dado, papel y la lista de palabras en nuestro idioma preferido.
Ahora necesitamos decidir la longitud de nuestra frase, dependiendo del nivel de seguridad que desee, puedes optar por frases de cuatro palabras o más. Para los paranoicos, seis o más es suficiente hasta ahora.
Ahora lanzaremos nuestro dado cinco veces, escribiendo el número resultante en un papel, buscamos ahora en la lista de Diceware nuestro grupo de cinco números y anotamos en nuestro papel la palabra correspondiente a dicho número. Por ejemplo, ha caído la combinación 22236, entonces la palabra de la lista es "lignux" (no es verdad esa palabra, es un ejemplo).
Vamos a suponer que ahora queremos una frase de cinco palabras, lanzamos cinco veces cinco dados. Para que quede más claro, el resultado en nuestro papel queda así:
52634
15662
43223
22512
22212
Buscamos las palabras correspondientes y ahora:
52634 lignux
15662 hola
43223 espías
22512 rápido
22212 pato
La frase resultante es: lignuxholaespiasrapidopato
Una vez lanzados los dados unas mil veces o las elegidas, anotamos la frase completa y la memorizamos, otra opción es guardarla en nuestro administrador de contraseñas seguro. Quema el papel donde anotaste los números y las palabras.
Felicidades, tienes una frase segura de Diceware de cinco palabras con una entropía mínima de 64.6 bits
Recomendaciones
Preferiblemente realiza este "juego" en un lugar solo y cerrado sin la supervisión de un adulto.
Imprime o guarda el archivo con las combinaciones de números y palabras.
Usa la frase exactamente como ha sido generada.
Es casi improbable, pero si se genera una frase con sentido o de pocos caracteres, vuelva a lanzar los dados; si falla, posiblemente los dados han sido comprometidos por la NSA, CISEN o su agencia de inteligencia local.
Referencias
http://world.std.com/%7Ereinhold/dicewarefaq.html Preguntas frecuentes
https://world.std.com/~reinhold/diceware.wordlist.asc Lista de palabras
http://observer.com/2016/09/eff-diceware-passwords/ Lista de palabras