Todos los días se usa una contraseña para acceder a las cuentas de correo u otros servicios, otros las guardan en su navegador (mala idea), otros prefieren anotarla en un post-it en su escritorio u oficina (peor idea); el problema de estas prácticas es la complejidad del password.

Si uno de los propósitos para este año 2017 es crear contraseñas seguras para tu vida diaria, este post es para ti.

Al tener que memorizar algo que usas a diario, lo más cómodo sería hacerlo sencillo; han elegido palabras simples (hola, contraseña, perro, gato), otros han elegido algo más elaborado, por ejemplo, usar tu nombre, tu fecha de nacimiento, el SSN (número de seguridad social), etc.

Según la definición, contraseña es una palabra o texto alfanumérico usados para acceder y controlar un sistema informático. Por otra parte, algo más complejo, una frase de contraseña o passphrase, es una secuencia de palabras o frases, normalmente sin sentido, usadas de manera general para agregar seguridad a un sistema.

Bailemos el happy dance!

¿Porqué es mejor?

Mientras las palabras de nuestro idioma y que podemos encontrar en el diccionario son la peor elección por si solas, las contraseñas son muy débiles. Una frase segura involucra entropía, la dificultad en bits de seguridad de dicha frase.

Por ello combinar palabras del diccionario y crear una frase sin sentido de una manera realmente aleatoria, vuelve una simple frase muy segura ante ataques de fuerza bruta y por diccionario; siendo además fácil de memorizar. Si incluso agregas palabras no existentes o en diferente idioma, la seguridad aumenta.

Lanzando el dado

A la hora de crear una contraseña o frase segura, lo ideal son los generadores de números aleatorios, si bien existen muchas implementaciones, muchas de ellas no son realmente aleatorias. Pocas opciones como GPG, OpenSSL y dev/random son relativamente seguras para generar una contraseña aleatoria, pero no frases seguras; para las frases vamos a jugar con un dado.

Diceware es un método para crear frases seguras, usando la probabilidad 1/6 de un dado y una lista de palabras sean en idioma inglés, español, francés, alemán, japonés, etc. Cada palabra en la lista está precedida por un número de cinco dígitos. Todos los dígitos están entre 1 y 6, lo que permite usar el resultado de lanzar cinco dados, para seleccionar de la lista una palabra única.

Necesitamos un dado, papel y la lista de palabras en nuestro idioma preferido.
Ahora necesitamos decidir la longitud de nuestra frase, dependiendo del nivel de seguridad que desee, puedes optar por frases de cuatro palabras o más. Para los paranoicos, seis o más es suficiente hasta ahora.

Ahora lanzaremos nuestro dado cinco veces, escribiendo el número resultante en un papel, buscamos ahora en la lista de Diceware nuestro grupo de cinco números y anotamos en nuestro papel la palabra correspondiente a dicho número. Por ejemplo, ha caído la combinación 22236, entonces la palabra de la lista es “lignux” (no es verdad esa palabra, es un ejemplo).

Vamos a suponer que ahora queremos una frase de cinco palabras, lanzamos cinco veces cinco dados. Para que quede más claro, el resultado en nuestro papel queda así:
52634
15662
43223
22512
22212

Buscamos las palabras correspondientes y ahora:

52634    lignux
15662    hola
43223    espías
22512    rápido
22212    pato

La frase resultante es: lignuxholaespiasrapidopato

Una vez lanzados los dados unas mil veces o las elegidas, anotamos la frase completa y la memorizamos, otra opción es guardarla en nuestro administrador de contraseñas seguro. Quema el papel donde anotaste los números y las palabras.

Felicidades, tienes una frase segura de Diceware de cinco palabras con una entropía mínima de 64.6 bits

Recomendaciones

  • Vamos a tener mucho cuidado tirando el papel donde realizamos las anotaciones o pasarle un shred al archivo de texto donde guardamos los resultados.
  • Preferiblemente realiza este “juego” en un lugar solo y cerrado sin la supervisión de un adulto.

  • Imprime o guarda el archivo con las combinaciones de números y palabras.

  • Usa la frase exactamente como ha sido generada.

  • Es casi improbable, pero si se genera una frase con sentido o de pocos caracteres, vuelva a lanzar los dados; si falla, posiblemente los dados han sido comprometidos por la NSA, CISEN o su agencia de inteligencia local.

Referencias

http://world.std.com/%7Ereinhold/dicewarefaq.html        Preguntas frecuentes
https://world.std.com/~reinhold/diceware.wordlist.asc        Lista de palabras
http://observer.com/2016/09/eff-diceware-passwords/        Lista de palabras

9
Deja una respuesta

avatar
3 Hilos de comentario
6 Respuestas de hilo
0 Seguidores
 
Comentario más reaccionado
El hilo de comentarios más caliente
4 Autores de comentarios
NoelJinkrosZZAZZppnmanBitacoras.com Autores de comentarios recientes
  Suscribirse  
Los más recientes Los más antiguos Más votados
Notificarme las
cr58j3sP2X rF3H44wvB3
Miembro

Buen post es bueno conocer mas métodos de creación de contraseñas, en lo personal yo suelo usar palabras en varios idiomas y sacar un hash ejemplo:

hola contraseña perro gato

Conversión a otros idiomas (preferentemente sin cambiar los caracteres tipográficos):

hallo password canis kottur

Se cambian de posición y se unen:

kotturpasswordhallocanis

Se agregan caracteres especiales, números y letras mayúsculas.

[email protected]#hA1$loc-a7Is

Por ultimo se procede a sacar el hash(sha512 es el que yo uso):

echo -n “[email protected]#hA1$loc-a7Is” | sha512sum

Resultado:
6f1c392d8bb74b29aece6cd1126843bb150ffc2f8fd84fea9385b7a679d5f64418e79c0647e57023b08bef2d63584c0e45e3ca19b1c798d8d653d190a6615bf1

Crack this!!

Duplicar el hash es muy difícil pero no imposible, estaría bien implementar un hash que contuviera caracteres especiales, para descifrar el hash el atacante tendría 2 opciones:
1: Duplicarlo muy, muy complicado pero no imposible.
2: Saber el orden, idioma, orden y cambios en las palabras (imposible).

Por lo menos desde mi punto de vista este método me resulta mas sencillo que el de el dado XD.

Suerte.

Jinkros
Miembro
Jinkros

0_o que mareo jajajaj ¿has probado passwordsgenerator.net? Genera la contraseña en el lado del cliente, una vez cargada la página funciona aunque desconectes tu conexión a internet, si juegas con las opciones que ofrece vas a sacar unas buenas combinaciones

cr58j3sP2X rF3H44wvB3
Miembro

Esa opción no la conocía, seré paranoico pero prefiero no usar ningún generador que este basado en la web aunque sea de lado del cliente, observando bien sus características es idéntico al generador de passwords que usa KeePassX2, y en todo caso prefiero este ultimo o mi técnica de hash Lvl: paranoico de gorro de aluminio XD.

cr58j3sP2X rF3H44wvB3
Miembro

Pd: No se si ya notaste que la pagina web de (passwordsgenerator.net) usa el protocolo http en lugar de https, me huelo un posible y muy jugoso ataque MitM (Man-in-the-middle) para las personas que la usen LOL.

ppnman
Miembro
ppnman

mujer, eres la única que escribe cosas interesantes en este blog,gracias.

Jinkros
Miembro
Jinkros

Deberías valorar el trabajo de los demás y si no pues ya sabes, empieza a escribir tú mismo algo interesante 😉

cr58j3sP2X rF3H44wvB3
Miembro

Totalmente de acuerdo.

Noel
Admin

Me alegra que al menos te guste algo xD

Pd. ppnman, recuerda que tu también puedes aportar algo de calidad si te animas 😉

trackback

Información Bitacoras.com

Valora en Bitacoras.com: Todos los días se usa una contraseña para acceder a las cuentas de correo u otros servicios, otros las guardan en su navegador (mala idea), otros prefieren anotarla en un post-it en su escritorio u oficina (peor idea); el p…