Skip to content

Cómo elegir nuestras claves adecuadamente

Publicado por Sergio Hernando el 15 noviembre 2007

Buenas,

El tema de las claves es un tema recurrente. Muchos son los que nos recomiendan escoger claves de calidad y robustas, pero ya no son tantos los que nos explican cómo hacer esto. Ante la ausencia de una explicación, el usuario experimentado sabe bien qué es una clave de calidad, y no necesitará muchas más explicaciones, pero el usuario menos experimentado se quedará diciendo ¿y cómo hago yo eso? ¿de qué me está Usted hablando?

No son muy abundantes, pero hay textos que explican muy correctamente cómo se deben elegir las claves. A mi me gusta mucho cómo lo cuenta el School of Computer Science de Carnegie Mellon, porque lo hace fácilmente entendible a cualquier usuario. A mí, si me lo permitís, además de traducir voy a incorporar alguna que otra cosita al texto.

Las cuatro reglas de oro al elegir claves

Hay cuatro reglas que si seguimos, probablemente conducirán a que tengamos claves adecuadas. Son los siguientes:

  1. Nunca bases tu clave en información personal: ni nombre, ni nombre de usuario, ni fecha de compleaños, números de pasaporte o documentos de identidad, ni aniversarios ni nada que sea fácilmente adivinable o intuíble, o que simplemente se peuda averiguar conociendo un poco a la persona.
  2. No elijas claves que sean palabras que puedan aparecer en cualquier diccionario. Los ataques de diccionario se basan precisamente en esto.
  3. No escojas transformaciones simples de palabras. Si me llamo Sergio, emplear la clave Oigres no es una buena idea. Tampoco lo sería s3rg10. Son las dos transformaciones típicas que cualquier programa para crackeo de contraseñas contempla.
  4. Por último, y como norma general, evita escoger claves de menos de 8 caracteres. También hay que evitar seleccionar claves sólo numéricas (1234) o sólo compuestas de letras (abcd). Es recomendable combinar ambos y emplear caracteres no alfanuméricos (;&%$/). Las claves, cuanto más cortas, son más fácilmente resolubles por ataque de fuerza bruta.

Una manera muy sencilla de generar y recordar una clave de calidad

Paso 1: Invéntate una frase que te sea fácil recordar, y que sea real, lo que ayuda a recordar la clave. Por ejemplo Tengo dos hijos: Antonio y Carmen

Paso 2: Selecciona sólo el carácter inicial de las palabras de la frase, y transforma "y" por & (es el símbolo de AND), el símbolo igual por =, "o" por | (símbolo de OR), etc. Alterna mayusculas y mayúsculas para ir tomando la primera letra de cada palabra de nuestra frase inventada. En nuestro caso, nuestra clave sería TdH:A&c, una clave que os garantizo no está definida en ningún diccionario para ataque a claves, y que impedirá ser descubierta haciendo uso de los métodos tradicionales y comunes de descubrimiento de claves.

Otra manera muy sencilla de generar una clave segura

Paso 1: Piensa en dos palabras que no tengan nada que ver, y que te sean fáciles de recordar. Por ejemplo, vacaciones y tomates

Paso 2: Alterna mayúsculas y minúsculas, e introduce un símbolo al principio y otro al final (por ejemplo los símbolos $ y %). La palabra y la cambiaremos por &. Nuestra clave sería $VaCaCiOnEs&ToMaTeS%. Hemos logrado una clave de 20 dígitos, que se puede considerar de alta seguridad.

El método más fácil de todos

Consiste en hacer que nuestra clave sea una frase fácil de recordar. Por ejemplo "Me llamo Sergio y trabajo de lunes a viernes en Madrid". Este método tiene un inconveniente, y ese no es otro que la limitación de la longitud que algunas aplicaciones y sistemas imponen a las claves.

¿Qué longitud tiene que tener una clave?

El asunto de la longitud de claves es un tema donde hay poco consenso. Suele haber opiniones dispares, ya que lo que para unos es seguro, para otros es menos seguro y viceversa.

Como normal general, tener claves de 8 dígitos, alfanuméricas y con caracteres no alfanuméricos, es un buen punto de partida. Los sitemas Windows 95 y 98, en prácticamente desuso, limitan las claves a 14 caracteres de longitud. En el caso de 2000 y XP, la limitación se subio a 128.

Estas limitaciones iniciales provocaron que se generasen las famosas tablas rainbow. Este tipo de tablas hace que, por ejemplo, en entornos Microsoft, se consideren débiles las claves no complejas de 14 o menos caracteres. En UNIX hay sistemas antiguos que limitan la longitud a 8 caracteres, si bien cada sistema tiene sus propias limitaciones.

A modo de resumen, una clave tiene que tener una longitud suficiente, no excesiva, y debe poderse recordar fácilmente. Una clave del tipo /e$RT%"|2wDfS)f&¬ es excelente por su complejidad, pero no hay manera de aprendérsela.

10 mitos sobre las claves

Como complemento, os recomiendo la lectura de Ten Windows Password Myths, en el que veréis 10 aseveraciones sobre claves que no siempre se cumplen o son ciertas. Merece una lectura.

Un saludo,

Be Sociable, Share!

Categoría/s → Seguridad

8 comentarios
  1. 15 noviembre 2007

    Antigua NAUTOPIA PINs (apartado
    creación de contraseñas seguras, por maty)

    3J3MPLO 1

    Lo mejor es utilizar palabras no existentes en diccionarios, evitando nuestros
    nombres, teléfonos, dni, fecha de cumpleaños, nombre de la mascota, ciudad, calle,
    … En caso de utilizar palabras existentes, que pertenezcan a una lengua
    minoritaria, no al español o al inglés.

    rompeme si puedes cariño (24 caracteres, contando los espacios en blanco)

    24* r0mp3m3 S1 PU3D35 car1ñ0 4#

    He añadido una información resumen de la contraseña, que puedo intercalar, y al
    hacerlo utilizo caracteres especiales. Son 24 caracteres y cuatro palabras. Además,
    hemos utilizado la ñ, carácter sólo disponible en castellano.

    Si sabemos catalán, tanto mejor, dejando cariño en castellano, por la ñ, y así
    utilizar dos lenguas.

    ?22 &4 TR3NCAM s1 p0ts car1ñ0

    OJO: El uso de caracteres como la ñ o la ç puede ser problemático con algunos softs,
    pensados en inglés y para teclados en inglés.

    3J3MPL0 2

    En vez de palabras podríamos utilizar acrónimos creados por nosotros.

    jorge maty wolffete trio calavera nautopia: jmw3tcn (6 caracteres)

    orgía jondo cigarrillo sueño adios: 0JC5A (5 caracteres) -> 6+5 espacio
    = 12 caracteres

    Ya tenemos letras, números, mayúsculas y minúsculas. Añadamos caracteres especiales.

    jmw3tcn 0JC5A 4!*12

    en total tenemos 4 palabras y 20 caracteres, que con unos cuantos tecleos
    memorizaremos rápidamente, gracias al uso de acrónimos y mnemotécnicos.

    En mi caso (maty), las palabras carecen de sentido, evitando así cualquier tipo de
    ataque por diccionario.

  2. 18 noviembre 2007
    Currito permalink

    Parece que hubo un error al publicar, si os sale repetido perdonad O:-).

    Algunas referencias sobre este tema que podrían interesar:

    Existe programas que generan contraseñas automáticas tales como http://www.adel.nursat.kz/apg/

    El resultado de su ejecución puede ser este:
    Gucujhoc2 (Guc-uj-hoc-TWO)
    Usbejyev0 (Us-bej-yev-ZERO)
    Ten2omarEc (Ten-TWO-om-ar-Ec)
    whivOwnIj8 (whiv-Own-Ij-EIGHT)
    clatJabneg3 (clat-Jab-neg-THREE)
    KeGhilOnjev0 (Ke-Ghil-On-jev-ZERO)
    Observad que indica a la derecha como recordar la contraseña.

    Esta página es similar, cada vez que la visitas te indica contraseñas con diferentes niveles de calidad:
    http://www.tufuncion.com/archivos/passwords-aleatorias.php

    Por último en este artículo explica reglas mnemotécnicas para generar y memorizar contraseñas:
    http://www.uninformed.org/?v=7&a=3&t=sumry

    Yo utilizo esta sencilla aplicación en modo texto que permite almacenar las contraseñas cifradas:
    http://nsd.dyndns.org/pwsafe/

  3. 18 noviembre 2007

    Currito,

    Excelente aporte. Muy buenos enlaces ;)

    Muchas gracias por tu colaboración,

  4. 19 noviembre 2007

Trackbacks & Pingbacks

  1. Cómo elegir nuestras claves adecuadamente « Celciuz’s Weblog
  2. Las cuatro reglas de oro al elegir tus claves | El Blog de Rastreador
  3. Claves seguras
  4. Bocados de Actualidad (39º) | Versvs

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS