04 abril 2007

Es fácil tu contraseña?

¿Es tu contraseña fácil de adivinar? En One Man's Blog se hace un estudio (en inglés) del tiempo que tardaría en encontrarse una contraseña por "fuerza bruta" (probando todas las posibles combinaciones), según la cantidad de letras que la forman, y según si emplea todos los caracteres posibles o sólo letras en minúscula. Las cifras asustarían a la mayoría de gente:

Longitud de la contraseña
Cualquier letra
Sólo minúsculas
3 caracteres
4 caracteres
5 caracteres
6 caracteres
7 caracteres
8 caracteres
9 caracteres
10 caracteres
11 caracteres
12 caracteres
13 caracteres
14 caracteres
0.86 segundos
1.36 minutos
2.15 horas
8.51 días
2.21 años
2.10 siglos
20 milenios
1,899 milenios
180,365 milenios
17,184,705 milenios
1,627,797,068 milenios
154,640,721,434 milenios
0.02 segundos
0.46 segundos
11.9 segundos
5.15 minutos
2.23 horas
2.42 días
2.07 meses
4.48 años
1.16 siglos
3.03 milenios
78.7 milenios
2,046 milenios

Vemos que una contraseña de 5 caracteres que estuviera formada sólo por letras minúsculas (ej: nacho) se podría descubrir en 11.9 segundos... o menos. Si al menos tuviera alguna cifra numérica, algún signo de puntuación y/o alguna mayúscula, se necesitaría (como mucho) unas dos horas.

Lo razonable es no bajar de las 7 letras, y que incluyan algún carácter que no sea letras en minúscula, porque si un atacante necesita 2 años para encontrar nuestra contraseña, generalmente no se molestará en intentarlo.

Pero la cosa puede ser peor:
  • Son tiempos estimados para un "ordenador medio". Si se usa un ordenador de gran potencia, se podría tardar todavía menos (y los ordenadores tienen cada vez más potencia, lo que quiere decir que cada vez será necesario menos tiempo).
  • Hay ataques todavía más rápidos: si usamos como contraseña una palabra que pueda aparecer en diccionarios, los tiempos de búsqueda pueden ser muchísimo menores.
  • También se puede acortar si el "atacante" conoce a su "víctima", porque mucha gente usa contraseñas como el nombre de su mascota, o de su pareja, su número de teléfono o de DNI...
  • Y también está la opción de atacar a través de otras páginas que "la víctima" frecuente, como foros de internet, porque mucha gente usa la misma contraseña (o un número muy reducido de contraseñas), de modo que se puede descubrir en un sitio "débil" y ya tenemos el acceso a todos los demás sitios.
  • Si se tiene acceso al ordenador del "atacado", la situación puede ser enormemente fácil, simplemente mirando las cookies de su navegador, porque la mayoría de gente no se molesta en borrar la información privada al terminar la sesión (a pesar de que en Firefox se puede hacer de forma automática).
Así que ahora te toca meditar... ¿es fácil descubrir tu contraseña?

Recuerda: tienes el artículo original (en inglés) en One Man's Blog.