Habitualmente la gente presupone que una contraseña, por el mero hecho de que sea difícil de recordar, la hace más segura.
Y lo cierto es que esto no tiene por qué cumplirse.
El razonamiento detrás de ello es que estamos asumiendo que los ordenadores operan algorítmicamente igual que opera biológicamente nuestro cerebro. Cosa que, al menos hasta el momento, es totalmente falsa.

En la imagen superior tenemos dos ejemplos de contraseñas: «Tr0ub4dor&3» y «correcthorsebatterystaple».
La primera cumple los mandamientos tradicionales de creación de claves -más de 8 caracteres, mayúsculas y minúsculas, con números y otros caracteres no alfanuméricos-, y además -a no ser que por detrás tenga alguna técnica nemotécnica que desconocemos- es dificilísima de recordar.
La segunda, sin embargo, es una mera enumeración de cuatro palabras en inglés: «correcto+caballo+batería+grapa». Terriblemente sencilla de recordar, y que encima se salta a la ligera la mayoría de elementos de la receta de creación de contraseñas que ya conocemos.
Y, sin embargo…, la segunda es muchísimo más segura.
Para la primera un ordenador podría tardar -según los datos de la imagen, que ya se han quedado anticuados- alrededor de 3 días en descubrirla por fuerza bruta. Para la segunda, sin embargo, necesitaría 550 años. La diferencia es sustancial, ¿verdad?
Detrás de esto hay, por supuesto, un razonamiento matemático.
La entropía entra en juego
Para obtener una contraseña, el ordenador debe generar lo que se denomina ataques de fuerza bruta, que no son más que una sucesión infinita de prueba/error con claves que va generando aleatoriamente hasta que da con la contraseña objetivo.
Y bajo este prisma, si la contraseña tiene más caracteres, parece que a priori será más complicada de descubrir.
Por supuesto los sistemas de fuerza bruta han ido evolucionando con el paso del tiempo y según el caso, se aplican una serie de reglas que los hace más eficientes.
Puede ser, por ejemplo, que un cracker haya diseñado su herramienta de descubrimiento de claves para que pruebe primero combinaciones de palabras más habituales. O que pruebe listados de contraseñas más utilizadas. O que pondere el carácter en base al uso que se le da en una zona geográfica específica.
Es decir, que la entropía informática -la cantidad de información promedio que contienen los símbolos usados, en este caso caracteres en una clave- define la robustez de la contraseña, y a la vez, es la herramienta que utilizarán los malos para descubrirla.
¿Cómo creo contraseñas seguras?
Pues hay dos caminos principales.
El primero, sin lugar a dudas, es que te olvides de generar tú la clave, delegando en un tercero que está específicamente diseñado para realizar correctamente esta labor.
Es decir, apostar por un gestor de contraseñas, que transforma el sistema de identificación basado en el conocimiento -yo demuestro que soy yo en este servicio porque sé esta contraseña que solo debería saber yo– por otro basado en la posesión -yo demuestro que soy yo en este servicio porque tengo acceso a esta herramienta que es quien certifica que soy yo-.
En el mercado tienes muchos, y prácticamente casi todos ofrecen lo mismo.
En mi caso, estoy utilizando CiberProtector, más que nada porque es una empresa española y porque además de gestor de contraseñas, me incluye otras herramientas de seguridad y privacidad que también utilizo, como es un doble factor de autenticación, una VPN -red privada virtual- y un sistema de recomendaciones de seguridad.
Y el segundo sería generarla tú teniendo en cuenta los siguientes puntos:
- Que sea fácil de recordar: Fíjate que esto, que a priori considerábamos negativo hace unos años, ha demostrado ser más adecuado a la larga. Tanto como para que recientemente Windows eliminara de su sistema la recomendación de cambiar de clave cada X periodos de tiempo. Una contraseña es un sistema de identificación basado en el conocimiento, y por tanto, tiene que ser fácilmente recordable por nosotros.
- Que sea larga: Mientras más larga, mejor, ya que más entropía incluyes en la ecuación. Por ejemplo, «mypassword» es una contraseña que llevaría 59 minutos a un sistema de fuerza bruta tradicional descubrirla. Sin embargo «mypasswordisgood» es igual de sencilla y llevaría a la máquina 35.000 años.
- Mezcla de caracteres: A igual número de caracteres, una contraseña con solo minúsculas, y otra que incluya mayúsculas y números ha demostrado ser muchísimo más segura. En el caso anterior con «mypassword» teníamos una clave débil, que en una hora se podía descubrir con pura fuerza bruta. Si en vez de esa contraseña ponemos«MyP4ssword», aún siendo todavía bastante débil, forzaríamos a esa máquina a trabajar durante 8 meses para obtenerla.
- Nada personal: Un error muy habitual es utilizar para las contraseñas fechas, nombres o datos personales nuestros y/o de nuestros familiares. Recuerda que aunque aquí estamos hablando de la robustez de una contraseña basándonos en su propia estructura y caracteres, si incluimos datos personales facilitamos que terceros que nos conozcan lo tengan infinitamente más fácil para robárnoslas.
- El truco español: En nuestro idioma tenemos una particularidad extra que por sencilla que parezca nos permite crear una contraseña mucho más segura: nuestra querida «Ñ». Simplemente por incluir este carácter en nuestra clave, y puesto que la mayoría de estas herramientas de fuerza bruta genéricas están creadas para un mercado global, pasamos por ejemplo de esos 59 minutos que tiene «contrasena» a los 500 años que me nos daría un «contraseña».
Cómo comprobar la seguridad de nuestras contraseñas
Para ello tenemos HowSecureIsMyPassword, un servicio gratuito que nos permite, más o menos, calcular cómo de seguro es nuestra clave.
Y vuelvo a repetir que todo esto se basa en el conocimiento cero del atacante y en su intento de atacarnos mediante pura fuerza bruta.
Lo cierto es que por muy segura que hayamos creado nuestra contraseña, el mayor riesgo al que nos enfrentamos no es el que alguien quiera atacarnos justo a nosotros para robarnos la cuenta mediante fuerza bruta, sino que simplemente uno de los servicios masivos que utilizamos haya sido atacado con éxito, exponiendo toda su base de datos de usuarios, entre los que por supuesto estamos.
Y como nosotros hemos estado utilizando la misma contraseña para distintos servicios, al comprometerse ese servicio, estamos comprometidos en todos los demás.
En este caso lo más recomendable es que eches un ojo a ver si tu correo ya aparece en algún filtrado masivo anterior, utilizando para ello otro servicio gratuito: HaveIBeenPwned.
Y si es así, activa ya de una vez el segundo factor de autenticación, que ha demostrado ser sin lugar a dudas la medida de seguridad más cómoda de aplicar y que más riesgo nos quita.
Te explico todo esto y mucho más en mi Curso sobre Fundamentos de la Seguridad y Privacidad Digital.