Contraseñas

¿Anotar o no anotar las contraseñas? He ahí el dilema.

Basta pensar en la típica contraseña escrita en un post-it pegado sobre el marco del monitor para aborrecer la idea, pero sin embargo escribir las contraseñas en algún sitio también tiene su punto, porque a ver quién es el listo que se aprende de memoria -digamos- 50 contraseñas diferentes y de calidad. Además la otra alternativa (es decir, usar la misma contraseña para todo) es aún peor.

Sí, lo sé. Tenemos Password Safe, KeePass y similares. De hecho anotar las contraseñas en una libreta también tiene muchos inconvenientes y riesgos. Por ejemplo, has de cargar con ella en tus desplazamientos, con lo que el riesgo de perderla (o que te la "distraigan") no es en absoluto despreciable (la solución podría ser hacer un "backup" de libretas ;) Otra pega considerable es que la libreta no ayuda a generar contraseñas aleatorias (algo que sí hace, por ejemplo, nuestro entrañable KriptPass).

En definitiva: antes de desechar la idea por descabellada, ¿merece la pena siquiera discutirla...?

Elcomsoft es una empresa rusa conocida por sus herramientas de craqueo de contraseñas. Su producto estrella, EPRB (Elcomsoft Password Recovery Bundle), está dirigido a "corporaciones y gobiernos", y asegura funcionar sobre más de cien formatos de ficheros y diferentes sistemas de cifrado de contraseñas.

Hoy, Elcomsoft presenta la última versión de AOPR (Advanced Office Password Recovery), otra de sus herramientas, dirigida esta vez a recuperar contraseñas "perdidas u olvidadas" de documentos creados con Microsoft Office, incluyendo la última versión 2007, que se supone viene con seguridad mejorada (AES, etc).

Lo ¿sorprendente? aquí es que Elcomsoft es Partner Gold Certified de Microsoft, con lo que uno proporciona "la solución" y el otro "el antídoto". ¿A que mola?

Esta vez se trata de nombres de usuario, direcciones e-mail, contraseñas y/o "hashes" (fácilmente revertibles en el caso de contraseñas poco sólidas), pero ejemplifica perfectamente lo que comentábamos hace poco sobre la necesidad de intentar esmerarse en cuanto a no reutilizar contraseñas.

Si la seguridad de tus datos te importa, nunca -y digo nunca- utilices la misma contraseña en varios servicios web.

Lo sé; es incómodo tener una contraseña diferente para cada sitio, pero no queda más remedio. Una vez más, la comodidad es el peor enemigo de la seguridad. Basta con pararse a pensar un poco en lo mucho que cedemos a un desconocido cada vez que nos registramos en un sitio, y en lo que puede hacer con ello un webmaster (o blogger) deshonesto.

Para ilustrar el asunto, nada mejor que un ejemplo...

Crear contraseñas que resistan ataques de diccionario o fuerza bruta no es difícil, pero ser capaz de recordarlas es otra cosa bien distinta.

En Watching the Net proponen un curioso método, consistente en dotar a los caracteres especiales de ciertos significados para el usuario y luego utilizarlos como parte de frases con algún sentido para él...