Crear nuevas contraseñas probablemente sea uno de los procesos por los que más incomoda pasar actualmente, más aún cuando el número de servicios que se utilizan -y, por tanto, de claves- es cada vez mayor. Además, los requerimientos a la hora de registrar una nueva contraseña no facilitan que estas sean fáciles y sencillas de recordar, llegando al punto de tener que disponer de un registro de las mismas si no queremos estar solicitando la opción de recuperación de con frecuencia.
Esta es una de las razones por las que soluciones como los lectores de huellas dactilares en los teléfonos móviles han gozado de una acogida tan especular por parte de fabricantes y usuarios, puesto que se elimina el paso intermedio de tener que introducir la contraseña y se evitan los problemas derivados que el proceso puede suponer. Pero, ¿y si hubiésemos estado utilizando mal las contraseñas toda la vida? ¿Y si no tuvieran que ser necesariamente difíciles de recordar?
Detrás de todos esos estándares que complican la elección de una nueva contraseña (letras mayúsculas y minúsculas, números, símbolos) está un hombre que en su día creyó que la combinación de todos ellos hacía a la palabra resultante más complicada de descifrar. Lo cierto es que no es así. Resultan más difíciles de recordar para los humanos, pero las máquinas pueden descifrarlas con una mayor facilidad que si se tratara de cadenas de palabras con cierto sentido que facilitasen el no ser olvidadas.
Bill Blurr, entonces trabajador del Instituto Nacional de Estándares y Tecnología (NIST), estableció en 2003 lo que se ha convertido a lo largo de los años en el referente a la hora de requerir que las contraseñas cumplan unas determinadas características. Ahora, a sus 72 años, Burr admite que no se tenían entonces los conocimientos necesarios para desarrollar un documento de esta envergadura y que las pautas establecidas están fundamentadas sobre las bases erróneas.
La imagen que se encuentra sobre estas líneas ilustra de manera gráfica dónde radica el error en esta fundamentación. En la fila superior se muestran unas viñetas en las que se establece una contraseña alfanumérica la cual, mediante un ataque estándar por fuerza bruta, tardaría unos tres días en ser descifrada. En la inferior, por el contrario, se crea una frase cuya combinación resultante se aproximaría a un tiempo de 550 años en ser descifrada mediante el mismo ataque que en el caso anterior. En pocas palabras, mientras que la primera contraseña es fácil de adivinar y difícil de recordar, la segunda no solo es fácil de recordar, sino que también es más complicado que quede comprometida.
Comprueba si tus contraseñas han sido comprometidas con esta herramienta
Todos esas contraseñas complicadas que nos han provocado más de un dolor de cabeza, frustración y enfado podrían, por tanto, no haber tenido que existir nunca. De hecho, la propia NIST recomienda en sus últimas directrices que las contraseñas sean frases como la del ejemplo en lugar de devanarse los sesos para crear una única palabra llena de caracteres, como Burr asumió en su día que era lo más correcto.