Índex
Les persones són l’esglaó més dèbil en qualsevol sistema de seguretat i per extensió, les contrasenyes que escullen. La gran majoria mètodes amb els que es roben comptes de xarxes socials o fotografies personals, s’aconsegueixen mitjançant una sèrie d’atacs que només funcionen si la contrasenya és dèbil.
És per això que no serveix de res invertir milions en un super sistema de seguretat o utilitzar una aplicació molt segura si la clau d’accés és una contrasenya poc complexa.
Per aquest motiu, és completament necessari i imprescindible que qualsevol persona que es preocupi per la seva privacitat sàpiga crear i utilitzi contrasenyes fortes.
Paraula vs Frases
Un debat que sempre ha estat sobre la taula és el de si és millor utilitzar una paraula super-complexa o una frase fàcil de recordar. A continuació mostrem un còmic de XKCD que en fa una comparació:
Bàsicament s’ha d’aconseguir trobar la balança entre seguretat i usabilitat. És a dir, una contrasenya de 8 caràcters és molt fàcil d’esbrinar, però si es vol complicar i afegir números en lloc de vocals o signes de puntuació, és molt probable que l’usuari se n’oblidi.
En canvi, pensa una frase fàcil de recordar. El fet que tingui tants dígits ja incrementa molt la complexitat. Per tant, ja no seria necessari afegir tants signes de puntuació i números intercalats.
Per tant, et recomano utilitzar frases en lloc de contrasenyes tenint en compte el següent:
- Quatre paraules és suficient, però millor si en són cinc.
- No utilitzar paraules que siguin comunes i, per descomptat, no utilitzar frases fetes o frases conegudes que hagin sortit a pel·lícules, per exemple. Les paraules de la frase haurien de ser el màxim d’aleatòries possible.
- Utilitzar una frase diferent per cada compte. Així, si comprometen algun compte, no podran accedir a tots els comptes.
Nota: aprofitar per indicar que molts dels atacs per esbrinar contrasenyes, tenen contemplades els intercanvis de vocals per números. Per exemple, o per 0, a per 4, e per 3, etc. Això implica que el fet de canviar aquests caràcters no té un increment gaire elevat de complexitat.
Atacs
La millor manera de saber com defensar-se és saber com ho fan els atacants per aconseguir robar contrasenyes. És per això, que a continuació us ensenyo dos d’atacs que s’utilitzen a la vida real.
Per un atacant hi ha diverses maneres d’aconseguir “hackejar” una pàgina web. Una és atacar el panell d’inici de sessió de la pàgina objectiu o el servidor, però hi ha el problema que normalment estan ben protegits amb controls que eviten aquests tipus d’atacs.
Per tant, si com a atacant el que vull és només robar comptes d’usuaris el que faré serà atacar directament als usuaris Ja sigui mitjançant atacs de phishing o intentant esbrinar la seva contrasenya.
Forca Bruta
Consisteix a provar totes les combinacions possibles donada una certa longitud. Per exemple, si fos una contrasenya de 4 caràcters, es provaria “aaaa”, “aaab”, “aaac”, …, “zzzz”. Aquests atacs són lents però t’assegures de provar totes les combinacions possibles, així que si aconsegueixes acabar-lo tens un 100% de probabilitats de trobar la contrasenya. No obstant això, moltes vegades és fa molt complicat acabar-los, ja que el punt negatiu dels atacs de força bruta és el temps.
Pels exemples següents es faran les següents suposicions:
- S’utilitzarà l’alfabet espanyol de 27 dígits
- Números del 0 al 9
- Signes de puntuació en seran 10
- Velocitat calculada és una aproximació.
Quant de temps tardaria un atacant en endevinar-les. Fixa’t sobretot en la diferència de temps entre les diferents contrasenyes i no tant en si tarda 45 minuts o 46, ja que és un càlcul completament aproximat i depèn de molts factors:
- Contrasenya: abcdefg
- Complexitat: 7 dígits només minúscules
- Combinacions: 27 lletres
- Temps en trencar-la: 0.29 mil·lisegons
- Contrasenya: abcdefgh
- Complexitat: 8 dígits només minúscules
- Combinacions: 27 lletres
- Temps en trencar-la: 3 hores i 24 minuts
- Contrasenya: abcdefg1
- Complexitat: 8 dígits alfanumèrics
- Combinacions: 27 lletres + 10 números
- Temps en trencar-la: 2 dies i 21 hores
- Contrasenya: Abcdefgh
- Complexitat: 8 dígits amb majúscules i minúscules
- Combinacions: 27 lletres minúscules + 27 lletres majúscules
- Temps en trencar-la: 1 mes i 6 dies
- Contrasenya: Abcdefg1
- Complexitat: 8 dígits alfanumèrics amb majúscules i minúscules
- Combinacions: 27 lletres minúscules + 27 lletres majúscules + 10 números
- Temps en trencar-la: 7 mesos i 1 setmana
- Contrasenya: Abcdef1!
- Complexitat: 8 dígits alfanumèrics amb majúscules, minúscules i signes de puntuació
- Combinacions: 27 lletres minúscules + 27 lletres majúscules + 10 números + 10 signes de puntuació
- Temps en trencar-la: 9 anys i 6 mesos
Com pots comprovar, el fet d’afegir complexitat o tenir més longitud, té un increment molt gran en el temps que un atacant tardaria a aconseguir-la. El teu objectiu ha de ser trobar aquest equilibri entre seguretat i usabilitat per fer una contrasenya el màxim de segura possible.
Diccionari
Segur que has pensat que llavors la contrasenya “Casa1234!” és super segura perquè ho té tot i és llarga. Em sap greu decebre’t, però no tot podia ser tan fàcil.
De la mateixa manera que el mètode anterior provava totes les combinacions possibles, hi ha un altre tipus d’atac que utilitza un diccionari. És a dir, donat un document amb paraules ja definides, les prova totes i a més a més, les combina. D’aquesta manera, es poden fer atacs molt més dirigits i encertar la contrasenya invertint menys temps que provant totes les combinacions.
Normalment, els atacants creen diccionaris personalitzats que contenen les següents paraules (per descomptat en l’idioma de l’objectiu):
- TOP contrasenyes més utilitzades
- Noms de familiars
- Noms de mascotes
- Dates importants
- Perfils de xarxes socials
Per fer l’atac més complet, existeixen programes que a part de combinar les paraules del diccionari, utilitzen regles per fer modificacions que normalment fan els usuaris quan volen incrementar la complexitat de les seves contrasenyes:
- Canviar números per lletres: canviar les e per 3, les a per 4…
- Afegir exclamacions al final
- Afegir punts entre paraules
- Posar la primera lletra de la frase o de cada paraula en majúscula
Els atacs de diccionari no tenen un 100% de fiabilitat però es poden dur a terme en un període de temps assequible si es realitza una investigació prèvia de la víctima.
Per tant, a part de escollir una contrasenya complexa has de tenir en compte també si teva contrasenya la podria endevinar algú a través del que publiques a les teves xarxes socials, per exemple.
Gestor de contrasenyes
Després de llegir els atacs i les recomanacions segur que deus estar pensant que és literalment impossible que puguis recordar tantes contrasenyes i amb un alt nivell de complexitat.
Se saben alguns casos on hackers han aconseguit entrar a una empresa i robar dades confidencials perquè algun treballador apuntava les seves contrasenyes en un post-it o en un fitxer al seu escriptori anomenat “contrasenyes.txt”.
És per això, que et recomano molt fortament l’ús d’un gestor de contrasenyes per emmagatzemar-les de manera segura. Bàsicament, és un programa que permet organitzar-les en carpetes i posar descripcions a les contrasenyes. A més a més, la base de dades on es guarden està xifrada, cosa que fa que sigui molt complicat obtenir les contrasenyes en clar si la contrasenya que s’ha escollit per xifrar la base de dades és segura.
Alguns gestors de contrasenyes recomanats:
El meu preferit i el que utilitzo des de fa anys és KeePass, ja que és de programari lliure i sense connexió a Internet, així no cal que em preocupi de si algú compromet els servidors de l’empresa del gestor de contrasenyes. No obstant això, si tens la necessitat d’accedir a les contrasenyes des de qualsevol dispositiu a qualsevol hora, et recomanaria Bitwarden.
Com crear una contrasenya forta
La contrasenya més segura que podràs generar és les que generen els gestors de contrasenyes automàticament, ja que són llargues, aleatòries i complexes. El problema és que et serà impossible recordar-les, així que només les pots utilitzar quan tingueu accés al gestor.
Si el que vols és recordar-la, et recomaano utilitzar una frase i afegir-hi complexitat. Has de tenir present els atacs que hem explicat per evitar que la frase contingui paraules típiques o que es puguin deduir investigant les vostres xarxes socials. Per exemple, el nom del gos.
Conclusions
Un dels principis de ProtonMail diu:
Security at the expense of usability comes at the expense of security.
És a dir, que si s’incrementa moltíssim el nivell de seguretat, fa que sigui tan complicat de gestionar pels usuaris que al final s’acaba tenint un nivell de seguretat més baix que el que tenies sense afegir sistemes de seguretat.
Amb les contrasenyes passa exactament el mateix. És per això que s’ha de trobar un equilibri entre seguretat i usabilitat.
Recomanacions:
- Més de 8 caràcters, utilitzar frases per recordar les contrasenyes més fàcilment
- Alfanumèrica: lletres i números (o símbols)
- Majúscules i minúscules
- No repetir contrasenyes
- Canviar la contrasenyes si t’enteres han compromès la pàgina on tens un usuari
- Guardar-les a un gestor de contrasenyes
Referències
- Còmic XKCD: enllaç
- Discusió XKCD: enllaç
- ProtonMail – Let’s settle the password vs. passphrase debate once and for all: enllaç
- ProtonMail – How long should your password be?: enllaç
- ProtonMail – 3 safety tips to create a strong password: enllaç
- Estimació complexitat contrasenya: enllaç
- Surveillance Self-Defense – Creando contraseñas seguras: enllaç