NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

Blog

Diceware le da contraseñas verdaderamente aleatorias pero fáciles de memorizar

Las contraseñas están en todas partes. Los usamos para desbloquear teléfonos, computadoras, sitios web, discos encriptados, archivos encriptados … la lista sigue y sigue. Los usuarios expertos ya tendrán un administrador de contraseñas de algún tipo que puede generar una contraseña muy segura por sitio. Sin embargo, estos administradores de contraseñas también requieren una contraseña. No solo eso, tiene que ser algo memorable.

Entonces, ¿cómo puede mantener segura su Key Vault?

Para que una contraseña sea segura, debe ser aleatoria y larga. Desafortunadamente, las contraseñas aleatorias generadas por un administrador de contraseñas son muy difíciles de memorizar para los humanos. A los humanos les gusta la simplicidad y la facilidad, y eso conduce a contraseñas muy inseguras. Por lo tanto, crear una contraseña segura pero memorable para proteger sus contraseñas sigue siendo difícil. Todos hemos estado ahí mirando la pantalla, pensando que puedo usar como contraseña. No podemos tenerlo en el administrador de contraseñas, así que tenemos que hacerlo nosotros mismos y, a menudo, no hacemos lo mejor que podemos.

La respuesta a este problema no es una nueva tecnología. Es antiguo, es analógico y se llama Diceware. Este sistema, creado por Arnold G. Reinhold, existe desde 1995 y funciona bien. Además, el concepto subyacente es realmente simple: tira los dados para crear una frase de contraseña memorable basada en una lista de palabras correspondiente. Cuantas más palabras acumule, más segura será la frase de contraseña.

Cuando acumula una frase de contraseña, puede estar seguro de que es realmente aleatoria. Una contraseña generada por computadora utiliza algoritmos para generar números pseudoaleatorios. Dado que estos algoritmos son deterministas, siempre obtendrá los mismos resultados con la misma semilla. Esto significa que si alguien encuentra la semilla, encontrará sus contraseñas.

¿Cuánto tiempo debe durar una frase de contraseña de Diceware?

Las frases de contraseña de Diceware que utilizan cinco palabras con espacios entre ellas tienen una entropía de al menos 66,4 bits. Eso significa que se necesitarían aproximadamente 1.000 PC de gama alta para descifrarlo. Esto está al alcance de los operadores de botnets, por lo que es mejor ir más alto.

Una frase de contraseña de seis palabras tiene al menos 77,5 bits, lo que la coloca en el ámbito de la posibilidad de que se pueda romper por un actor gubernamental bien financiado como la NSA.

Generar una frase de contraseña de siete palabras con este método tiene al menos 90,4 bits de entropía, lo que es suficiente para ser considerado irrompible según los estándares actuales. Reinhold afirma que para 2030, es probable que se pueda descifrar una frase de contraseña de siete palabras, pero esperemos que para entonces hayamos encontrado un mejor sistema de autenticación.

Obtener su frase de contraseña de Diceware

Configurar una frase de contraseña de Diceware es un proceso bastante simple de descargando la lista de palabras del sitio web de Reinhold y abriéndolo en su editor de texto favorito. También necesitarás asaltar tu armario de juegos para conseguir unos dados de seis caras.

Cada palabra se genera en base a cinco tiradas de 1d6. Por ejemplo, si sacaste 62514, “máximo” sería tu primera palabra. Sigue tirando los dados hasta que alcances el nivel de entropía que necesitas.

Muchos de ustedes tal vez estén pensando: “Eso es genial … si sé que alguien usa Diceware, entonces tengo una lista de palabras para la fuerza bruta”. Incluso si sabe que una persona usa Diceware y descarga la lista de palabras, sería una frase de contraseña difícil de descifrar.

La lista de Diceware tiene 7.776 palabras. Si usa una frase de contraseña de cinco palabras, el número total de posibilidades es 7.776 elevado a la quinta potencia. Si usa una frase de contraseña de siete palabras, está viendo la friolera de 1,719,070,799,748,422,591,028,658,176 posibilidades, que se reduce a aproximadamente 90 bits de entropía. Por supuesto, podría lograr esta misma cantidad de entropía con una contraseña generada por un administrador de contraseñas, pero sería extremadamente difícil de recordar. Sin embargo, sería igualmente difícil de romper.

En general, esta es una gran solución para el problema del huevo de gallina de los administradores de contraseñas. Durante la primera semana de uso, es posible que deba escribir la frase de contraseña. Después de eso, es solo memoria muscular. No puede ser más sencillo. Aparte de la seguridad adicional, crear una frase de contraseña de Diceware también es divertido; Enrollé la frase de contraseña de cuatro palabras “man haley i would cream” que me da una entropía de 71 bits. No está mal, definitivamente mejor que mi antigua contraseña “hunter2”, que solo tenía 24 bits … y probablemente en alguna lista.

Foto de portada de Dejan Veljkovic / 123RF

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar