La seguridad de su contraseña no importa, dice un experto en seguridad de Microsoft. Ni la longitud, ni la complejidad, ni la cantidad de caracteres especiales que utiliza. Los piratas informáticos pueden conseguirlo de todos modos, y lo único que realmente marca la diferencia, dice, es si tienes autenticación de dos factores (2FA) encendido.

"Centrarse en las reglas de las contraseñas, en lugar de en las cosas que realmente pueden ayudar", escribe Alex Weinert, Gerente de programas grupales para la seguridad y protección de la identidad en Microsoft en una publicación de blog de principios de este verano, "es solo una distracción".

No estamos completamente de acuerdo con Weinert. La complejidad de la contraseña seguirá ralentizando a los atacantes en muchos casos. Pero tiene razón en que incluso la contraseña más segura no puede defenderse de un buen ataque de phishing, que una contraseña se usa más de una vez. bien podría considerarse desaparecido, y que 2FA, que Microsoft llama autenticación multifactor, o MFA, es un absoluto necesidad.

"Su cuenta tiene más del 99,9% menos de probabilidades de verse comprometida si utiliza MFA", escribe Weinert.

MÁS: Cómo crear contraseñas seguras y seguras

La publicación de Weinert, publicada en Azure Active Directory Identity Blog de Microsoft a principios de julio, contiene una lista de gráficos fácil de entender varios ataques diferentes a las contraseñas, la frecuencia con la que se prueban, el éxito que tienen y si la complejidad de la contraseña ayuda a detener ellos.

Relleno de credenciales

Uno de los ataques más comunes es el relleno de credenciales, que según Weinert se prueba en 20 millones de cuentas asociadas a Microsoft todos los días.

Los atacantes toman enormes listas de credenciales comprometidas (contraseñas y sus nombres de usuario o direcciones de correo electrónico asociados) de violaciones de datos pasadas y pruebe cada conjunto de credenciales en otros sitios web.

Entonces, si usó "[email protected]" y "L10nK1Ng333" en LinkedIn (totalmente comprometido en 2012), luego un atacante probará esas credenciales para iniciar sesión en cuentas en Facebook, Google, Dropbox, Spotify, Microsoft y varias docenas de otros sitios web, incluidos bancos y minoristas en línea. Lo más probable es que esas credenciales se hayan reutilizado al menos una vez.

"Es difícil pensar en las contraseñas", dice Weinert en su publicación de blog, y agrega que "el 62% de los usuarios admiten la reutilización".

La seguridad de la contraseña no importa con el relleno de credenciales, escribe, porque el atacante ya la tiene. Las defensas son nunca reutilizar las contraseñas y usar 2FA siempre que sea posible para evitar que el atacante inicie sesión incluso si tiene la contraseña.

Suplantación de identidad

También son muy comunes ataques de phishing, que engaña al usuario para que escriba una contraseña en una página de inicio de sesión falsa. Uno de cada 500 mensajes de correo electrónico es un señuelo de phishing, dice Weinert, y los usuarios se enamoran de ellos porque "la gente siente curiosidad o está preocupada e ignora las señales de advertencia".

Una vez más, la seguridad de la contraseña no importa. Le acaba de dar la contraseña al atacante. La autenticación de dos factores ayudará a bloquear el ataque en la mayoría de los casos, pero como comentarista en la publicación de Weinert señaló, los buenos phishers pueden interceptar códigos 2FA enviados por mensaje de texto o pueden engañar a los usuarios para que escriban códigos 2FA en phishing sitios.

La mejor defensa contra el phishing es la forma más cara de 2FA: una llave de seguridad física que se comunica con su computadora o teléfono inteligente a través de USB, Bluetooth o NFC. No puede duplicar estas claves o reenviar sus comunicaciones desde una página de phishing a una página de inicio de sesión real.

Llaves de seguridad desde $ 15 o $ 20 en línea, pero pueden valer la pena, y cada clave crea un conjunto diferente de credenciales cifradas para cada cuenta en línea. Google ahora requiere llaves de seguridad físicas para sus empleados y supuestamente no ha tenido una sola cuenta comprometida desde que instituyó esa regla.

Pulverización de contraseña

Intentos de contraseña escritos en papel.
(Crédito de la imagen: designer491 / Shutterstock)

Aquí es donde la seguridad de la contraseña sí importa. El atacante tiene una larga lista de direcciones de correo electrónico conocidas (fáciles de obtener) e intenta utilizar cada una con las 20 o 50 contraseñas más utilizadas para iniciar sesión en muchos sitios web diferentes.

Este ataque no funcionará en la mayoría de los intentos. Pero funcionará con bastante frecuencia, porque millones de personas todavía utilizan "123456" o "qwerty456" o "000000" o incluso "contraseña" como contraseñas. Weinert adivina que cientos de miles de cuentas se acceden cada día a través de la propagación de contraseñas.

Pero, dice, solo las contraseñas verdaderamente terribles son vulnerables a la propagación de contraseñas. De lo contrario, las contraseñas mediocres como "dijskb" (no hay suficientes caracteres, todas en minúsculas) son tan seguras como fuertes como "V6 [zjzau / # q9vK-rd, +:" (20 caracteres de diferentes casos y tipos) porque no son entre las peores contraseñas de todas.

Fuerza bruta

Aquí es donde la seguridad de la contraseña realmente marca la diferencia. Weinert dice que una buena computadora actual para descifrar contraseñas podría descifrar "dijskb" en unos pocos segundos, pero que un La contraseña de 10 caracteres con letras mayúsculas, minúsculas, números y signos de puntuación tardaría unos 20 años para romper. Hicimos los cálculos y calculamos que "V6 [zjzau / # q9vK-rd, +:" tardaría más de 10 septillones de años.

Eso es genial, y realmente ayuda en los casos en que se viola una base de datos Y las contraseñas están fuertemente "hash", es decir, protegidas por cifrado unidireccional para que no se puedan revertir. (Cuando inicia sesión en un sitio web, la contraseña que ingresa se codifica rápidamente y el resultado se compara con el hash que el sitio almacenó cuando configuró la cuenta).

Pero aquí es donde no estamos de acuerdo con Weinert. Él dice que en el caso de una violación de datos, donde un atacante se enfrenta a contraseñas fuertemente hash, la fuerza de su la contraseña aún no importa "a menos que tenga más de 12 caracteres y nunca se haya usado antes, lo que significa que fue generada por un administrador de contraseñas."

Estamos de acuerdo en que una buena contraseña debe tener más de 12 caracteres. Quince personajes es donde estaríamos cómodos ahora.

Pero una buena frase de contraseña, palabras aleatorias unidas, con algunas sustituciones de caracteres, que sea lo suficientemente larga funcionará bien. No uses el proverbial "caballo correcto, "porque eso es bien conocido, pero algo como" F1n3! $ od4? Bu1Ld1ng # 4ccur4cy "(basado en" finesodabuildingaccuracy ") debería estar bien, no se romperá durante años, y podría ser lo suficientemente fácil de recordar para que lo recuerde mientras sigue siendo muy difícil adivinar.

Administradores de contraseñas y comprobación de nuevas contraseñas

Weinert atraviesa algunos tipos más de ataques de contraseñas: registrar pulsaciones de teclas, encontrar las contraseñas de alguien escrito y extorsión rotunda, y señala que la seguridad de la contraseña no les importa mucho ya sea. Pero su incidencia es tan baja que no debería preocuparse demasiado por ellos.

Para asegurarse de que sus contraseñas sean lo más seguras posible, usar un administrador de contraseñas para asegurarse de que sus contraseñas sean seguras, largas y únicas.

Cuando crea una contraseña, o un administrador de contraseñas genera una, verifique la nueva contraseña para asegurarse de que no esté entre los cientos de millones de contraseñas comprometidas conocidas en https://haveibeenpwned.com/Passwords antes de usarlo.

HaveIBeenPwned nos dice que "correcthorsebatterystaple" ha aparecido 120 veces en violaciones de datos, pero que, sorpresa, "dijskb" no se ha visto. Tampoco tiene "F1n3! $ Od4? Bu1Ld1ng # 4ccur4cy" o la frase en la que se basó, "finesodabuildingaccuracy". Pero no use ninguno de ellos como su propia contraseña, porque el hecho de que los hayamos publicado en línea significa que ya están comprometidos.

Y, una vez más, configure la autenticación de dos factores en cada cuenta que lo permita. Acepta el factor de código de texto si eso es todo lo que está disponible. Si es posible, use aplicaciones de autenticación como Autenticador de Google en lugar. Y si puede pagar $ 20 por una llave de seguridad USB, utilícela en todas las cuentas que la admitan.

  • Probablemente esté haciendo 2FA mal: este es el camino correcto
  • El consejo de una contraseña que todos deben saber
  • Las peores filtraciones de datos de todos los tiempos