Si quieres crear una contraseña de verdad segura, sólo necesitas un dado y una lista de palabras.
Se dice que una contraseña ideal debe cumplir con dos características fundamentales: debe ser muy fácil de recordar y muy difícil de adivinar, incluso para alguien que te conozca muy bien. Aunque poco conocido y un poco laborioso, el método "diceware" es una de las mejores maneras de crear una buena contraseña: sólo necesitas un dado, prestar un poco de atención y tener paciencia para aprender a hacerlo.
Uno de los requisitos más importantes de una buena contraseña es su longitud: se recomiendan como mínimo doce caracteres, y en consecuencia, la tendencia a usar palabras como contraseñas (independientemente de sus variaciones, cifras o símbolos incluidos) tiene ya de partida dos factores de riesgo: su corta extensión (entre seis y diez caracteres, por lo general) y su facilidad para ser encontradas en un diccionario, lo que las hace susceptibles de ser rotas con facilidad. Ésta es una de las razones por las cuales se recomienda dejar de usar palabras y empezar a usar frases como contraseñas.
Deja de usar palabras y empieza a usar frases como contraseñas.
Una buena frase de contraseña tiene una serie de características: sólo debes conocerla tú, debe ser lo suficientemente larga para ser segura, debe ser difícil de adivinar, pero al mismo tiempo debe ser fácil de recordar y de teclear sin errores, de modo que evites cometer otro de los grandes errores de un usuario novato: anotar la contraseña en un trozo de papel para no olvidarla. El método diceware te permite crear frases de contraseñas usando un dado cualquiera como un generador de números aleatorio. A pesar de que existen páginas web y aplicaciones que facilitan "dados" en línea, se recomienda usar un dado verdadero, físico, para garantizar la verdadera aleatoreidad.
Para cada palabra que forme tu contraseña, se requieren cinco lanzamientos del dado. Los números (del 1 al 6) se ensamblan como una cifra de cinco dígitos, por ejemplo, 52346. Luego utilizarás ese número para buscar una palabra en la lista de palabras. Existen listas de palabras disponibles en diversos idiomas, incluyendo el español; por ejemplo, en la lista oficial de Diceware en español el número 52436 corresponde a la palabra "opaco". Estas listas son públicas, no tienen que estar ocultas de ninguna manera, puesto que la seguridad de una frase de contraseña creada con diceware está en la cantidad de palabras elegidas y en la cantidad de palabras a partir de las cuales éstas pudieron ser seleccionadas.
"Dice" por Daniel Dionne bajo licencia CC BY SA 2.0.
Según el modelo de amenazas más usado en la actualidad, una contraseña segura tiene al menos 72 bits de entropía. Esto, por supuesto, varía según los avances en el hardware y el software usado, pero considerando que cada palabra de una contraseña diceware añade 12.9 bits de entropía, una contraseña segura utilizará al menos seis palabras. Este cálculo asume que el atacante sabe que la contraseña es una contraseña diceware; de no ser así, la entropía originada puede ser significativamente mayor.
Luego de arrojar los dados cinco veces por cada palabra, para obtener seis palabras, nos resulta algo como lo siguiente:
opaco poema aguja tos sombra rojo
Utilizar espacios para separar las palabras puede aumentar ligeramente la entropía y es recomendado (en aquellos servicios que permiten utilizar espacios en las contraseñas, que no son todos). Concatenar las palabras, eliminando los espacios, puede resultar en la formación de términos que ya están en la lista: por ejemplo, en la lista en inglés, "in" y "put", al unirse, forman "input", y de esta forma reducen la entropía si se concatenan.
Según el creador del método Diceware, Arnold Reinhold, una frase de contraseña de seis palabras puede ser rota por una organización con un presupuesto muy largo (como una agencia de seguridad gubernamental), mientras que una de siete palabras o más aún no puede ser rota por ninguna tecnología conocida, pero probablemente esté dentro del alcance de organizaciones grandes para el año 2030. Mientras ese momento llega, va siendo hora de comenzar a lanzar los dados.
Continúar leyendo...