Cómo usar un generador de contraseñas aleatorias
Publicado: 2022-01-29Casi todos los sitios web que visitas quieren que crees una cuenta, ya sea para transacciones financieras de alta seguridad o juegos de animales ridículos. No puede salirse con la suya simplemente usando la misma contraseña para todos ellos, porque entonces una violación en cualquier sitio los pondría en riesgo a todos. Y no puede memorizar fácilmente una contraseña diferente para cada sitio. La única solución sensata es instalar un administrador de contraseñas y usarlo para almacenar y mejorar sus contraseñas. Cada vez que reemplaza una contraseña demasiado simple con una larga, segura y aleatoria, mejora su seguridad general. Pero, ¿de dónde sacas esas contraseñas largas, seguras y aleatorias?
Casi todos los administradores de contraseñas incluyen un componente generador de contraseñas, por lo que no tiene que crear esas contraseñas aleatorias usted mismo. (Pero si desea una solución de bricolaje, le mostraremos cómo crear su propio generador de contraseñas aleatorias). Sin embargo, no todos los generadores de contraseñas son iguales. Cuando sabe cómo funcionan, puede elegir el que más le convenga y utilizar el que tiene de forma inteligente.
Generadores de contraseñas: ¿al azar o no?
Cuando lanzas un par de dados, obtienes un resultado verdaderamente aleatorio. Nadie puede predecir si obtendrá ojos de serpiente, furgones o un siete de la suerte. Pero en el ámbito de la informática, los aleatorizadores físicos como los dados no están disponibles. Sí, hay algunas fuentes de números aleatorios basadas en la descomposición radiactiva, pero no las encontrará en el administrador de contraseñas del lado del consumidor promedio.
Los administradores de contraseñas y otros programas informáticos utilizan lo que se denomina un algoritmo pseudoaleatorio. Este algoritmo comienza con un número llamado semilla. El algoritmo procesa la semilla y obtiene un nuevo número sin conexión rastreable con el anterior, y el nuevo número se convierte en la próxima semilla. La semilla original nunca vuelve a aparecer hasta que todos los demás números hayan aparecido. Si la semilla fuera un número entero de 32 bits, eso significa que el algoritmo ejecutaría otros 4.294.967.295 números antes de una repetición.
Esto está bien para el uso diario y está bien para las necesidades de generación de contraseñas de la mayoría de las personas. Sin embargo, es teóricamente posible que un hacker experto determine el algoritmo pseudoaleatorio utilizado. Dada esa información y la semilla, el hacker posiblemente podría replicar la secuencia de números aleatorios (aunque sería difícil).
Ese tipo de piratería dirigida es extraordinariamente improbable, excepto en un ataque dedicado a un estado-nación o espionaje corporativo. Si usted es objeto de un ataque de este tipo, es probable que su paquete de seguridad no pueda protegerlo. Afortunadamente, es casi seguro que usted no es el objetivo de este tipo de ciberespionaje.
Aun así, algunos administradores de contraseñas trabajan activamente para eliminar incluso la posibilidad remota de un ataque tan enfocado. Al incorporar sus propios movimientos de mouse o caracteres aleatorios en el algoritmo aleatorio, obtienen un resultado verdaderamente aleatorio. Entre los que ofrecen esta aleatorización del mundo real se encuentran AceBIT Password Depot, KeePass y Steganos Password Manager. La captura de pantalla anterior muestra el aleatorizador de estilo matricial de Password Depot; sí, los personajes caen a medida que mueves el mouse.
¿Realmente necesita agregar aleatorización del mundo real? Probablemente no. Pero si te hace feliz, ¡adelante!
Los administradores de contraseñas reducen la aleatoriedad
Por supuesto, los generadores de contraseñas no devuelven literalmente números aleatorios. Más bien, devuelven una cadena de caracteres, utilizando números aleatorios para elegir entre los juegos de caracteres disponibles. Siempre debe habilitar el uso de todos los conjuntos de caracteres disponibles, a menos que esté generando una contraseña para un sitio web que, por ejemplo, no permite caracteres especiales.
El grupo de caracteres disponibles incluye 26 letras mayúsculas, 26 letras minúsculas y 10 dígitos. También incluye una colección de caracteres especiales que pueden variar de un producto a otro. Para simplificar, digamos que hay 18 caracteres especiales disponibles. Eso hace un buen total redondo de 80 caracteres para elegir. En una contraseña totalmente aleatoria, hay 80 posibilidades para cada carácter. Si elige una contraseña de ocho caracteres, el número de posibilidades es 80 elevado a la octava potencia, o 1.677.721.600.000.000, más de un cuatrillón. Eso es difícil para un ataque de descifrado de fuerza bruta, y adivinar por fuerza bruta es realmente la única forma de descifrar una contraseña verdaderamente aleatoria.
Nuestras mejores selecciones de administradores de contraseñas
Ver todo (4 artículos)
Por supuesto, un generador totalmente aleatorio eventualmente producirá "aaaaaaaa" y "¡Covfefe!" y "12345678", ya que son tan probables como cualquier otra secuencia de ocho caracteres. Algunos generadores de contraseñas filtran activamente su salida para evitar tales contraseñas. Eso está bien, pero si un pirata informático conoce esos filtros, en realidad reduce la cantidad de posibilidades y facilita el descifrado por fuerza bruta.
He aquí un ejemplo extremo. Hay 40.960.000 contraseñas posibles de cuatro caracteres, extraídas de una colección de 80 caracteres. Pero algunos generadores de contraseña fuerzan la selección de al menos uno de cada tipo de carácter, y eso reduce drásticamente las posibilidades. Todavía hay 80 posibilidades para el primer personaje. Supongamos que es una letra mayúscula; el grupo para el segundo carácter es 54 (80 menos los 26 caracteres en mayúscula). Suponga además que el segundo carácter es una letra minúscula. Para el tercer carácter, solo quedan dígitos y caracteres especiales, para 28 opciones. Y si el tercer carácter es puntuación, el último debe ser un dígito, 10 opciones. Nuestras 40 millones de posibilidades se reducen a 1.209.600.
El uso de todos los conjuntos de caracteres es una necesidad para muchos sitios web. Para evitar que ese requisito reduzca su conjunto de contraseñas, establezca una longitud de contraseña alta. Cuando la contraseña es lo suficientemente larga, el efecto de forzar todos los tipos de caracteres se vuelve insignificante.
Otros límites que aplican los administradores de contraseñas reducen el conjunto de posibles contraseñas innecesariamente. Por ejemplo, RememBear Premium especifica el número exacto de caracteres de cada conjunto de cuatro caracteres, lo que reduce drásticamente el grupo. De manera predeterminada, requiere dos letras mayúsculas, dos dígitos, 14 letras minúsculas y ningún símbolo, para un total de 18 caracteres. Esto da como resultado un grupo de contraseñas que es cientos de millones de veces más pequeño que si simplemente requiriera uno o más de cada tipo de carácter. Una vez más, puede compensar este problema configurando una contraseña de mayor longitud.
LastPass y varios otros por defecto evitan pares de caracteres ambiguos como el dígito 0 y la letra O. Cuando no tiene que recordar la contraseña, esto no es necesario; desactivar esta opción. Asimismo, no elijas la opción de generar una contraseña pronunciable como "bogafewazepa". Esa opción solo es importante si se trata de una contraseña que debe recordar. Aplicar esta opción no solo te limita a los caracteres en minúsculas, sino que rechaza la gran cantidad de posibilidades que el generador de contraseñas considera impronunciables.
Recomendado por Nuestros Editores
Generar contraseñas largas
Como hemos visto, los generadores de contraseñas no eligen necesariamente del grupo de todas las contraseñas posibles que coincidan con la longitud y los conjuntos de caracteres que seleccionó. En el ejemplo extremo de una contraseña de cuatro caracteres que usa todos los conjuntos de caracteres, alrededor del 97 por ciento de las posibles contraseñas de cuatro caracteres nunca aparecen. La solución es simple; ¡Ve largo! No tiene que recordar estas contraseñas, por lo que pueden ser enormes. Al menos, tan grande como acepte el sitio web en cuestión; algunos imponen límites.
Cuanto más grande sea el espacio de búsqueda (lo que he estado llamando el conjunto de contraseñas disponibles), más tardará un ataque de fuerza bruta en su contraseña. Puede jugar con la Calculadora de contraseñas de pajar (como una aguja en un pajar) en el sitio web de Gibson Research para tener una idea del valor de la longitud.
Simplemente ingrese una contraseña para ver cuánto tiempo tomaría descifrarlo. (El sitio promete "NADA de lo que haga aquí sale de su navegador. Lo que sucede aquí, se queda aquí". Pero la precaución sugiere que evite usar sus contraseñas reales). Una contraseña de cuatro caracteres como 9kM$ no tardaría ni un día en descifrarse, si el hacker tiene que enviar conjeturas en línea. Pero en un escenario fuera de línea, donde el pirata informático puede intentar adivinar a alta velocidad, el tiempo de descifrado es una fracción de segundo.
En mi artículo sobre la creación de contraseñas fuertes memorables (para cosas como la contraseña maestra de un administrador de contraseñas), sugiero una técnica mnemotécnica que transforma una línea de un poema o una obra de teatro en una contraseña de apariencia aleatoria. Por ejemplo, una línea de Romeo y Julieta, Acto 2, Escena 2, se convirtió en "bS,wLtYdWdB?A2S2". Esta no es una contraseña aleatoria, pero un cracker no lo sabe. Al colocarlo en la calculadora de Gibson, nos enteramos de que incluso usando una matriz de craqueo masivo, tomaría 1.410 millones de siglos para forzarlo por fuerza bruta.
Tome una decisión informada sobre el administrador de contraseñas
Así que ya sabe: el factor más importante para generar contraseñas seguras y aleatorias es hacerlas largas. Algunos generadores de contraseñas rechazan las contraseñas que no contienen todos los conjuntos de caracteres, algunos rechazan las que tienen palabras de diccionario incrustadas, algunos descartan las contraseñas que contienen caracteres ambiguos como l minúscula y dígito 1. Todas estas restricciones limitan el grupo de contraseñas posibles, pero cuando la longitud es lo suficientemente alto, esta limitación simplemente no importa.
Por supuesto, es teóricamente (si no prácticamente) posible que algún malhechor pueda piratear el esquema de generación de contraseñas de su administrador de contraseñas favorito y, por lo tanto, obtenga la capacidad de predecir las contraseñas pseudoaleatorias que le ofrecerá. Un programa dudoso de administración de contraseñas podría enviar sus contraseñas aleatorias a la sede de la empresa. Esto está realmente en el nivel de preocupación de la paranoia del sombrero de papel de aluminio. Pero si realmente no quiere confiar en otra persona para sus contraseñas aleatorias, puede crear su propio generador de contraseñas aleatorias en Excel.