7 consejos de sentido común relacionados con las contraseñas
- No utilizar palabras que estén en los diccionarios ni que sean demasiado comunes. Existen programas maliciosos especializados en ir probando miles y miles de palabras de diccionarios ya existentes, hasta que aciertan a «adivinar» las contraseñas. Cualquier palabra que esté en un diccionario, en cualquier lenguaje, debe ser considerada insegura.
- Evitar las contraseñas más típicas que la gente usa en el ordenador. Al parecer la gente no tiene mucha imaginación y las contraseñas favoritas son siempre las mismas: 1111, 1234, password, querty… Hay listas y listas con cientos de ellas – que también prueban los atacantes mediante diccionarios. Twitter tuvo que prohibir 370 contraseñas demasiado obvias para evitar que hurtar cuentas a los famosos fuera casi trivial.
- Complicar las contraseñas con mayúsculas y minúsculas, números y otros caracteres. Basta añadir algunas mayúsculas, además de números y otros caracteres especiales, para hacer más «fuerte» una password. Por ejemplo: escribiendo las tres o cinco primeras letras en mayúscula, o la última (BOBesponjA), anteponiendo un número (1313prohibidO) o usando dos o más palabras separadas por un guión (Tango*Alfa*Charlie67).
- No repetir contraseñas. Aquí se trata de encontrar un equilibrio entre lo ideal (una password distinta para cada servicio: lo más seguro) y la comodidad (tener treinta o cuarenta contraseñas: escaso práctico). Se puede, por ejemplo, usar contraseñas muy seguras y distintas en sitios importantes: correo, banco, etcétera. Y dejar otra password genérica para sitios menos vitales: foros, juegos, sitios de prueba y demás. Hay que recordar que si alguien se hace con una password en cualquier servicio –el más débil de ellos– sin duda la probará en todos los demás.
- No utilizar palabras obvias como contraseñas: nombres propios, de ciudades, famosos, mascotas, fechas de nacimiento… Casi todos esas palabras o bien están en los diccionarios o bien son fácilmente adivinables.
- No escribir la password en papel y pegarla en la pantalla, bajo el teclado o en la última hoja de la agenda que está en el cajón. Esos son los sitios obvios donde primero mirará alguien que tenga acceso a nuestra computadora. Es especialmente delicado no tanto en casa como en el puesto de trabajo, por donde puede pasar cualquiera a distintas horas.
- No escribir obviedades en las «pregunta secretas para recuperar la password»: ignorar esa función. Algunos servicios de Internet están mal diseñados y permiten «recuperar» la password si se responde a una «pregunta secreta» que se supone que sólo uno conoce. El problema es que a veces esto depende de una lista de preguntas demasiado obvias: nombre de la ciudad de nacimiento, segundo apellido, nombre de la madre, DNI… Es mejor no utilizar esa función –que es muy débil– e ignorarla, rellenándola con cualquier texto falso. En caso de que se nos olvide la password es más práctico pedir una nueva por correo con la típica función «Olvidé mi password».