¿Es tu contraseña fácil de adivinar? En One Man's Blog se hace un estudio (en inglés) del tiempo que tardaría en encontrarse una contraseña por "fuerza bruta" (probando todas las posibles combinaciones), según la cantidad de letras que la forman, y según si emplea todos los caracteres posibles o sólo letras en minúscula. Las cifras asustarían a la mayoría de gente:
Longitud de la contraseña | Cualquier letra | Sólo minúsculas |
---|---|---|
3 caracteres 4 caracteres 5 caracteres 6 caracteres 7 caracteres 8 caracteres 9 caracteres 10 caracteres 11 caracteres 12 caracteres 13 caracteres 14 caracteres | 0.86 segundos 1.36 minutos 2.15 horas 8.51 días 2.21 años 2.10 siglos 20 milenios 1,899 milenios 180,365 milenios 17,184,705 milenios 1,627,797,068 milenios 154,640,721,434 milenios | 0.02 segundos 0.46 segundos 11.9 segundos 5.15 minutos 2.23 horas 2.42 días 2.07 meses 4.48 años 1.16 siglos 3.03 milenios 78.7 milenios 2,046 milenios |
Vemos que una contraseña de 5 caracteres que estuviera formada sólo por letras minúsculas (ej: nacho) se podría descubrir en 11.9 segundos... o menos. Si al menos tuviera alguna cifra numérica, algún signo de puntuación y/o alguna mayúscula, se necesitaría (como mucho) unas dos horas.
Lo razonable es no bajar de las 7 letras, y que incluyan algún carácter que no sea letras en minúscula, porque si un atacante necesita 2 años para encontrar nuestra contraseña, generalmente no se molestará en intentarlo.
Pero la cosa puede ser peor:
- Son tiempos estimados para un "ordenador medio". Si se usa un ordenador de gran potencia, se podría tardar todavía menos (y los ordenadores tienen cada vez más potencia, lo que quiere decir que cada vez será necesario menos tiempo).
- Hay ataques todavía más rápidos: si usamos como contraseña una palabra que pueda aparecer en diccionarios, los tiempos de búsqueda pueden ser muchísimo menores.
- También se puede acortar si el "atacante" conoce a su "víctima", porque mucha gente usa contraseñas como el nombre de su mascota, o de su pareja, su número de teléfono o de DNI...
- Y también está la opción de atacar a través de otras páginas que "la víctima" frecuente, como foros de internet, porque mucha gente usa la misma contraseña (o un número muy reducido de contraseñas), de modo que se puede descubrir en un sitio "débil" y ya tenemos el acceso a todos los demás sitios.
- Si se tiene acceso al ordenador del "atacado", la situación puede ser enormemente fácil, simplemente mirando las cookies de su navegador, porque la mayoría de gente no se molesta en borrar la información privada al terminar la sesión (a pesar de que en Firefox se puede hacer de forma automática).
Recuerda: tienes el artículo original (en inglés) en One Man's Blog.
No hay comentarios:
Publicar un comentario