¿Contraseña o frase de paso?

¿En qué se diferencia una contraseña de una frase de paso? ¿Cuando utilizar una u otra opción a la hora de proteger nuestra privacidad? ¿Cual es más segura?

Fuente: xkcd

A la hora de registrarnos en algún servicio, protegemos nuestra identidad y nuestros datos con una contraseña personal que nos da “la llave” para desbloquear esos servicios y poder acceder a ellos, nuestra cuenta en distintos servicios como distintas webs, foros, blogs, etc.

Estas contraseñas generalmente están compuestas por una cadena más o menos corta de caracteres que forman “una palabra” en la que en ocasiones nos piden que contenga números, mayúsculas y minúsculas o caracteres que no sean alfanuméricos. Pero no permiten espacios en blanco.

El uso y combinación de eso hace robusta una contraseña, la exclusividad de usarla sólo en un servicio la hace todavía más segura (esa debería ser la norma general).

En ocasiones lo que nos piden no es una contraseña, si no una frase de paso (en inglés passphrase) lo que generalmente se atribuye a un conjunto de palabras que forman una frase con espacios en blanco.

Las frases de paso son incluso mucho más robustas a la hora de tratar de romperlas y conseguir adivinarlas.

Ahora los equipos son mucho más potentes, y hay más herramientas para tratar de adivinar y conseguir esa preciada información. Por tanto mejor utilizar una buena frase de paso que ponga las cosas más difíciles.

Es conveniente utilizar frases de paso a la hora de cifrar datos de nuestros equipos o particiones, a la hora de desbloquear nuestra firma GPG, conexiones SSH o para gestores de contraseñas que guardan, gestionan y cifran nuestras contraseñas.

Pero aunque sea más segura una frase de paso, conviene recordar que no es conveniente utilizar citas, estrofas de canciones, nombres personales de nuestro entorno, etc…

La aletoriedad de las palabras utilizadas, aunque sean palabras basadas en el diccionario, hace muy robusta la frase de paso. Imagináos la cantidad de convinaciones de palabras distintas que puede haber!!

Se aconseja que la frase de paso tenga 4 o 6 palabras (6 mejor). Que sean aleatorias, y no tengan siginificado en conjunto. Para escoger esas palabras la Electronic Frontier Foundation (EFF) tiene un sistema basado en la aletoriedad de unas tiradas con dados y una lista de palabras.

El sistema es sencillo, tiramos 5 dados (o un dado 5 veces) y apuntamos los números que salen (por ejemplo: 4, 2,3,6,6) y buscamos en la lista de palabras que ofrecen la palabra que corresponde a ese número (en el ejemplo “occupant”) la traducimos a nuestro idioma y ya tenemos la primera palabra.

Repetimos las tiradas para las siguientes palabras que formarán nuestra frase de paso. Hecho eso tenemos un grupo de palabras sin significado. Para recordarlas mejor podemos crear una regla memotécnica, una frase que incluya dichas palabras para que nos ayude a recordarlas.

Mediante esa frase de paso, ya tendremos la seguridad de que aunque nuestra clave privada GPG caiga en otras manos, se pueden tirar unos cuantos años hasta que consigan descifrarla o nuestro disco duro cifrado, etc…

También decir que esa frase de paso debería ser única, y no compartirla entre varios servicios o aplicaciones que requieran una frase de paso.

Somos vagos por naturaleza y nos cuesta invertir algo de tiempo en proteger nuestros datos en la red. Utilizamos contraseñas poco seguras, que reutilizamos en varios sitios. ¿Nos imaginamos cerrando la puerta de nuestra casa con la misma llave del portal que además es sencilla de manipular o copiar?

Me aplicaré yo también los consejos que doy por aquí y mejoraré este aspecto de nuestra seguridad en la red.

Enlaces de interés

————————————————-

10 pensamientos en “¿Contraseña o frase de paso?

  1. Todo va a depender del algoritmo de encriptación usado, de las palabras elegidas y otros muchos factores… Personalmente no considero las frases de paso más robustas que las contraseñas, podria decir incluso que son más débiles a la hora de ataques por fuerza bruta (a menos que le agreguemos caracteristicas extra y digamos adios a la facilidad para recordarlas).

    A nivel algoritmo, alguien podria usar crypt() DES y sólo se usaráin 8 caracteres, asíque de poco o nada serviria añadir más caracteres.

    El problema está en los ataques de combinaciones a nivel palabra. Otra cosa es que en la caricatura se suponga el ataque a la frase de paso a nivel caracter.

    • Una frase de paso compuesta por palabras no conectadas de alguna manera es la recomendación de GPG.
      Para crear una regla memotécnica podemos unir esas palabras en una frase que inventemos…

      Saludos y gracias por el comentario!! 🙂

  2. Yo no termino de entender este asunto, y he preguntado a gente que supuestamente sabía del tema y sus respuestas han sido bastante dispares. Un amigo matemático de carrera me dijo que la cantidad de combinaciones posibles era mucho mayor en contraseñas “tineadas”, usando caracteres incluso para “dibujar” letras y poner emoticonos, algo como “3sTæ5·l\/Ii_(0nTrAS€Ñ@ :-)” (obviamente se puede evitar que tenga sentido y enrevesarlo más, esto lo pongo sólo como ejemplo) que usando combinaciones de palabras reales presentes en cualquier diccionario.
    No sé qué pensar, en realidad la combinación de arriba podría considerarse una “frase” pues son 3 “palabras y un emoticonos separadas también por símbolos en vez de sólo por espacios, no? Cierto que fácil de recordar las sustituciones no son, pero de verdad sería más seguro algo como “comentario noche patrocinio las esqueje pues”? Al fin y al cabo en un diccionario están todas esas palabras, mientras que no sé en qué diccionario va a aparecer “esta es” como “3sTæ5” o “mi” como “l\/Ii”.
    Pregunto desde la ignorancia, jeje. Si algún experto en combinatoria y esas cosas puede dar una respuesta clara, pues se agradece.

    Saludos.

Me gustaría saber tu opinión. Deja un comentario (Puedes usar MarkDown)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s