Creando buenas passwords

Una de las cosas que más me preocupan a la hora de administrar una cuenta, ya sea mi usuario / root de debian, mi cuenta de e-mail, o incluso esta cuenta de wordpress es la fortaleza que debe tener una password.

passmonitor

Por poner algunos ejemplo:

Me ha tocado administrar varios servidores Windows, con aplicaciones realmente importantes en donde la password del usuario Administrador era… admin!!!

Incluso me he topado con un equipo que ni siquiera tenía password de administrador!

Otro caso: en un Solaris fue encontrar el usuario root con password r00t.

También he visto al usuario “pepe” tener una contraseña “pepe1” y luego cambiarla por “123456”

O la típica… encontrar una muy buena contraseña escrita en un post-it pegada en el monitor…

Tips

Voy a proponer aquí algunos tips para generar buenas contraseñas y que podamos recordarlas (incluso si abrimos temporalmente un editor de texto y las tipeamos varias veces, nuestros dedos la memorizarán mecánicamente)

Primero nos hará falta la utilidad pwgen.

En Debian la podemos instalar con apt-get:

# apt-get install pwgen

La página man de la utilidad pwgen dice que permite generar passwords que son pronunciables en idioma inglés.

Veamos un par de ejemplos:

Al ejecutar pwgen sin parámetros nos dará un listado de unas 160 contraseñas de 8 caracteres que combinan mayúsculas, minúsculas y números.

$ pwgen
uic1oHo1 uemiN0ja heiR2mae ahkeiH5j Fiti3vae yuah5Eek PieGu8sh Ga5Oovoa
iSo3Eebe Phie8Bee AhZieL3K hooZ9iev EeM6mie5 ooteiZu9 Eel3Piet Su5uf3ee
aijeib8H VaiY4hoo Uon2gie0 Zaic9xua Sohsae3y VoiH5ahx EeT8Aipu AeYe1ohp
Zoon1Tah SieMai6M nieb4Ool fah4booZ lu7ohxoZ eix6lohM meif7Hah Ievoot9o
Dooxo3Nu aefoh3Qu phees3Oh eeXo4ieh io5ieJoe Kugheib0 Iwaj4aij aex7oGai
nah4wahX uiTh5ea8 theiL2Ri Jiegho3u eQu1phoo ningooC5 yaiCoh7c Ail8phoh
ahg8uB6F Uh1Ieg7v SieGho9r pu9MahYi Aapohk9n chooShi6 ou2biGez aeZuu3ag
fai3Eif7 aNg6yaez uu8ieR0C rael3oSa Ye7eeroo Kahzi8ca uu2JohXe eeg4Ieph
tai8oN1k Oijah8ro aJahqu7o aec7AChe thie0OhR Zee7du4i iequ7Be6 aeh2Quie
dahVo3ai EiW2waem caeWa6ra Je8ugei2 Eewe3aeR UZi9thos PhaiSh0a Oa9Iefie
chio4Air lee4Dai6 oothuJi0 waeh0Eec ui0aej2A aig3Ohx4 xai1aiSi ohd5Aise
ieNeiy7u Kaef2ahv peM6Ahh0 EiC3woh9 Ahfie1ub fu9Hae7K oi6Koh4O ubeiNoh4
Ahbe3iey irahh2Ei aiP8Sei1 uz7eiThu ahChei8e iewae7Ei ra0Zuix8 eich1Ahp
Oosh3za0 oe8iaCai oDail0ii taS0tohy eif8Eici emaa9Aip oB0sahla aeG6OoTh
Icohro2G geiWi7He Shoh9ohm Opoode0U eeBooni0 iethae8T Eipah4ae Teir4uuh
fai7Deic ieMoo7Th Aim4quah eeTh1sha Zohbai1I Ieghohf0 eiH8ohgo Eilee4ai
Ceu6pui3 ooK5maey mie4ju3H eY4vohzi zeeH9pai uKo9xeek Aes9eoj0 oor1zeeK
eZ0Luzee Eiw2Eedi Pohgh7ei yoh0Aeph ok3eeCae aquee4Ie Xei8evef uuToix1r
Leiyu0ei aiX7XeeG veipo6Et ahCha3ee aew3yeiC Iojie5ae mi0OoGoh vai5eiM9
Zohsei8U OophaQu7 Gaeg4le6 mosh6Fie dieKoa6l ieMeiw1l abieNii8 Iem8quo9

Muy lindo, pero todavía no nos sirve. Vamos a tratar de generar passwords que valgan la pena:

$ pwgen -n -c -y 10 5
EShoom,oh2 Ua8eiSieg? AF[ah5peak Tae3Ichoh" eeV9to;m4K

Aquí tenemos 5 contraseñas de 10 caracteres de longitud que contienen números (-n), mayúsculas y minúsculas (-c) y símbolos (-y).

Tomemos dos: EShoom,oh2 y AF[ah5peak. Si analizamos detenidamente, no son TAN difíciles de recordar. De hecho en AF[ah5peak podríamos hacer el reemplazo mental de [ por C y 5 por S con lo que nos quedaría AFCahSpeak. A F C ah Speak (speak en inglés es hablar)

También podemos generar muchas contraseñas y elegir las que nos resulten mas “amigables”. Dijimos que los valores en la línea de comando correspondían longitud de contraseña y número de contraseñas.

$ pwgen -n -c -y 15 20
uo&c'e1Eeraisup jee6ahdahcae+R1 zo5eeSoo7yohl\i Fu:gh@ii2bei7hu pie`Ng6aon<ah3i
Duu0ienah.cee6u uP9dee\raishubi eich6ic8ohPoh&m ooGah2eeng_am5e ix6Jeequ8EKi~an
Eo0Kiedahw=ae6j iez.o6Soj3Na`zo oth~oo\x2ieReib TheelahFee[t4me laic0eu3Su2ouX\
Quoo*n<ei1mo2au keiNoo[sh`i2io0 aefaiM0jee4ec>a at4thohphi`qu6Y Ait$ed0osh6Awoo

Ahora tenemos algo que empieza a parecerse a una buena contraseña. Vamos a probarlas en PasswordMeter. Al tomar por ejemplo uo&c’e1Eeraisup, vemos que la fortaleza de esta password es (tristemente) Good. No es del todo satisfactorio, porque es bastante difícil de recordar. Si analizamos detenidamente lo que indica la página de Password Meter, nos indica que “repite caracteres” y “hay minúsculas consecutivas”.

Hagamos algunos reemplazos: la u por V, el Ee por E3, nos queda: Vo&c’e1E3raisup. El test ahora nos da “Very Strong“. Pero todavía no es sencilla de recordar salvo por la última parte “raisup”.

Movamos algunas letras más: “raisup” nos recuerda al inglés “raise up” (levantar), movamos el 3: Vo&c’e1Erais3up.

Otro intento por darle sencillez sería mover las letras para que nos quede Vo1ce&E’rais3up, lo que podríamos “leer” como Voice &E’ raise up. Por último si cambiamos los símbolos podríamos hacer que fuera una frase: Vo1ce:E!rais3up (Voice: E! raise up). Nuevamente el test nos da “Very Strong” y así tenemos una buena password, bastante sencilla de recordar y bien difícil de crackear.

Otro tip podría ser generar dos contraseñas cortas (de 6 caracteres por ejemplo) y combinarlas o unirlas.

$ pwgen -n -c -y 6 10
Auy*i7 oa0Ma( shu@Y6 Oc{ie4 sha\M6 eB3ke' Ahv@a7 OH~ei4 aCh:i6 Ein_u8

Voy a tomar sha\M6 y OH~ei4. Podría combinarlas de la siguiente manera OHsha\64~Mei. Si bien el test de Password Meter nos indica varias advertencias (caracteres repetidos, mayúsculas consecutivas, minúsculas consecutivas y números consecutivos) la fortaleza indica “Very Strong” por lo que sería una buena password también.

Veamos ahora, según Password Meter, qué password sería ideal: Una de 8 caracteres mínimo con al menos 2 de cada tipo de caracter: mayúscula, minúscula, números y símbolos.

He aquí algunos ejemplo sin usar pwgen: &Cr1m|NaL3$ (&criminales), .2Tr4M0$! (.2 tramos!), Mi-tío S4b3+ (mi tío sabe más)

Conclusión

Lo más importante a la hora de colocar un password es que

  • debe ser lo suficientemente complejo como para que sea complicado crackearla
  • debe ser lo suficientemente sencilla de recordar para no tener que anotarla en ningún lado
  • debe tener una buena longitud (recomiendo algo mayor a 10 caracteres)
  • si utilizas frases, trata de usar reemplazos para algunas letras.

Ojalá sea de utilidad para alguien.

1 comentario (+¿añadir los tuyos?)

  1. Trackback: Trackback

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Archivos

julio 2009
D L M X J V S
« Jun   Sep »
 1234
567891011
12131415161718
19202122232425
262728293031  
A %d blogueros les gusta esto: