viernes, septiembre 17, 2004

Contraseñas más seguras

En el apartado Cómo bloquear y desbloquear su llave de Ayuda Apple, se enumeran varios criterios para obtener contraseñas más seguras, útiles para proteger una computadora, el correo electrónico, servidores y páginas web:
  1. Utilice una contraseña distinta para cada recurso que desee proteger. Por ejemplo, utilice contraseñas distintas para descargar su correo electrónico y conectarse a un servidor de archivos en red.
  2. Utilice una combinación de letras mayúsculas y minúsculas, números, signos de puntuación y símbolos.
  3. No utilice una contraseña fácil de averiguar, como su dirección, su fecha de nacimiento o el nombre de sus hijos.
  4. No comparta con nadie sus contraseñas.
  5. Utilice el "Asistente para contraseñas" para elegir una contraseña adecuada. Cuando defina una contraseña en un cuadro de diálogo, haga clic en el botón "i" para comprobar el grado de seguridad que ofrece tal contraseña.
El último punto es el que más me interesa. El Mac OS X 10.3.5 (Panther) introdujo una nueva función para comprobar contraseñas. Para acceder al Asistente para contraseñas, se abre Acceso a Llaves, en /Aplicaciones/Utilidades, se selecciona Nueva Llave en el menú Archivo, se hace clic en Crear, luego clic en el botón i para que aparezca el Asistente para contraseñas. Se teclea la contraseña en el campo correspondiente y una clasificación de seguridad aparecerá en la ventana inferior. Así pude comprobar que por lo general las contraseñas que uso están en el orden de los 40-50 puntos, nada particularmente malo pero tampoco muy seguro. Las contraseñas más seguras son aquellas que alcanzan como mínimo los 65 puntos en la escala de seguridad o, en términos visuales, cuando la escala de calidad está completamente en verde.

Pero ¡cuidado! si se considera la escala visual del Asistente para contraseñas por sí sola, no resulta ser muy confiable, por que también clasifica con un gran nivel de seguridad a contraseñas muy débiles —presumiblemente fáciles de adivinar o romper. Por ejemplo, tecleando cuarenta unos seguidos se consiguen 132.9 puntos —que indicaría un altísimo nivel de seguridad, lo que obviamente es falso.



Por otro lado, también es cierto que en el ejemplo anterior el Asistente para contraseñas despliega dos alertas (una de ellas en inglés, en un fallo de la interface), que nos dan pistas para mejorar la contraseña. Entonces, por motivos prácticos, una contraseña para ser considerada fuerte no sólo debe alcanzar los 65 puntos sino que además no debe tener alertas. Es más, el ideal sería que cumpla con los cinco puntos enumerados arriba.

Esperemos que en una próxima versión del Asistente para contraseñas la clasificación de seguridad sea realmente confiable.

Nota: Inspirado en este artículo (en inglés), al que también comenté la debilidad del Asistente para contraseñas.