Cómo usar un generador de contraseñas aleatorias

Las contraseñas son terribles. Si usa una contraseña débil para el sitio web de su banco, corre el riesgo de perder sus fondos debido a un ataque de craqueo por fuerza bruta. Pero si hace que la contraseña sea demasiado aleatoria, puede olvidarla y quedar bloqueado de la cuenta. Puede elegir memorizar solo una contraseña compleja y usarla en todas partes, pero si lo hace, una violación en un sitio expone todas sus cuentas. Su único curso razonable es solicitar la ayuda de un administrador de contraseñas y cambiar todas sus contraseñas débiles y duplicadas a cadenas de caracteres únicas y aleatorias.

Casi todos los administradores de contraseñas incluyen un componente generador de contraseñas, por lo que no tiene que encontrar esas contraseñas aleatorias usted mismo. (Pero si desea una solución de bricolaje, le mostraremos cómo crear su propio generador de contraseñas aleatorias). Sin embargo, no todos los generadores de contraseñas son iguales. Cuando sepa cómo funcionan, puede elegir el que sea mejor para usted y utilizar el que tenga de forma inteligente.

Generadores de contraseñas: ¿aleatorios o no?

Cuando lanzas un par de dados, obtienes un resultado verdaderamente aleatorio. Nadie puede predecir si obtendrás ojos de serpiente, furgones o siete afortunados. Pero en el ámbito informático, los aleatorizadores físicos como los dados no están disponibles. Sí, hay algunas fuentes de números aleatorios basadas en la desintegración radiactiva, pero no las encontrará en el administrador promedio de contraseñas del lado del consumidor.

Los administradores de contraseñas y otros programas de computadora usan lo que se llama un algoritmo pseudoaleatorio. Este algoritmo comienza con un número llamado semilla. El algoritmo procesa la semilla y obtiene un nuevo número sin conexión rastreable con la anterior, y el nuevo número se convierte en la próxima semilla. La semilla original nunca vuelve a aparecer hasta que salga cualquier otro número. Si la semilla era un número entero de 32 bits, eso significa que el algoritmo correría a través de 4, 294, 967, 295 otros números antes de una repetición.

Esto está bien para el uso diario, y está bien para las necesidades de generación de contraseñas de la mayoría de las personas. Sin embargo, en teoría es posible que un hacker experto determine el algoritmo pseudoaleatorio utilizado. Dada esa información y la semilla, el pirata informático podría replicar la secuencia de números aleatorios (aunque sería difícil).

Ese tipo de piratería dirigida es extraordinariamente improbable, excepto en un ataque dedicado de estado-nación o espionaje corporativo. Si eres objeto de un ataque de este tipo, tu suite de seguridad probablemente no pueda protegerte; Afortunadamente, seguramente no eres el objetivo de este tipo de ciberespionaje.

Aun así, algunos administradores de contraseñas trabajan activamente para eliminar incluso la posibilidad remota de un ataque tan centrado. Al incorporar sus propios movimientos de ratón o caracteres aleatorios en el algoritmo aleatorio, obtienen un resultado verdaderamente aleatorio. Entre los que ofrecen esta aleatorización del mundo real se encuentran AceBIT Password Depot, KeePass y Steganos Password Manager. La captura de pantalla muestra el aleatorizador estilo matriz de Password Depot; Sí, los caracteres caen al mover el mouse.

¿Realmente necesitas agregar aleatorización del mundo real? Probablemente no. Pero si te hace feliz, ¡adelante!

Los administradores de contraseñas reducen la aleatoriedad

Por supuesto, los generadores de contraseñas no devuelven literalmente números aleatorios. Por el contrario, devuelven una cadena de caracteres, utilizando números aleatorios para elegir entre los conjuntos de caracteres disponibles. Siempre debe habilitar el uso de todos los juegos de caracteres disponibles, a menos que esté generando una contraseña para un sitio web que, por ejemplo, no permite caracteres especiales.

El conjunto de caracteres disponibles incluye 26 letras mayúsculas, 26 letras minúsculas y 10 dígitos. También incluye una colección de caracteres especiales que pueden variar de un producto a otro. Por simplicidad, digamos que hay 18 caracteres especiales disponibles. Eso hace un buen total de 80 caracteres para elegir. En una contraseña totalmente aleatoria, hay 80 posibilidades para cada personaje. Si elige una contraseña de ocho caracteres, el número de posibilidades es de 80 a la octava potencia, o 1, 677, 721, 600, 000, 000, más de un billón. Es un trabajo duro para un ataque de craqueo por fuerza bruta, y adivinar la fuerza bruta es realmente la única forma de descifrar una contraseña verdaderamente aleatoria.

Por supuesto, un generador totalmente aleatorio eventualmente producirá "aaaaaaaa" y "Covfefe!" y "12345678", ya que son tan probables como cualquier otra secuencia de ocho caracteres. Algunos generadores de contraseñas filtran activamente su salida para evitar tales contraseñas. Está bien, pero si un pirata informático conoce esos filtros, en realidad reduce la cantidad de posibilidades y facilita el craqueo por fuerza bruta.

Aquí hay un ejemplo extremo. Hay 40, 960, 000 posibles contraseñas de cuatro caracteres, extraídas de una colección de 80 caracteres. Pero algunos generadores de contraseñas obligan a seleccionar al menos uno de cada tipo de personaje, y eso reduce drásticamente las posibilidades. Todavía hay 80 posibilidades para el primer personaje. Supongamos que es una letra mayúscula; el grupo para el segundo personaje es 54 (80 menos los 26 caracteres en mayúscula). Además, suponga que el segundo carácter es una letra minúscula. Para el tercer carácter, solo quedan dígitos y caracteres especiales, para 28 opciones. Y si el tercer carácter es la puntuación, el último debe ser un dígito, 10 opciones. Nuestras 40 millones de posibilidades disminuyen a 1, 209, 600.

Usar todos los juegos de caracteres es una necesidad para muchos sitios web. Para evitar que ese requisito reduzca su grupo de contraseñas, configure la longitud de la contraseña como alta. Cuando la contraseña es lo suficientemente larga, el efecto de forzar todos los tipos de caracteres se vuelve insignificante.

Otros límites que aplican los administradores de contraseñas reducen innecesariamente el conjunto de contraseñas posibles. Por ejemplo, RememBear Premium especifica el número preciso de caracteres de cada uno de los cuatro conjuntos de caracteres, lo que reduce drásticamente el grupo. Por defecto, requiere dos letras mayúsculas, dos dígitos, 14 letras minúsculas y ningún símbolo, para un total de 18 caracteres. Esto da como resultado un grupo de contraseñas que es cientos de millones de veces más pequeño que si simplemente necesitara uno o más de cada tipo de carácter. Aquí nuevamente, puede compensar este problema estableciendo una contraseña de mayor longitud.

LastPass y muchos otros prefieren evitar pares de caracteres ambiguos como el dígito 0 y la letra O. Cuando no tiene que recordar la contraseña, esto no es necesario; Desactiva esta opción. Del mismo modo, no elija la opción para generar una contraseña pronunciable como "entlestmospa". Esa opción solo es importante si es una contraseña que debe recordar. La aplicación de esta opción no solo lo limita a caracteres en minúscula, sino que rechaza la gran cantidad de posibilidades que el generador de contraseñas considera impronunciables.

Generar contraseñas largas

Como hemos visto, los generadores de contraseñas no necesariamente eligen del conjunto de todas las contraseñas posibles que coinciden con la longitud y los conjuntos de caracteres que seleccionó. En el ejemplo extremo de una contraseña de cuatro caracteres que utiliza todos los juegos de caracteres, aproximadamente el 97 por ciento de las posibles contraseñas de cuatro caracteres nunca aparecen. La solución es simple; ¡Ve largo! No tiene que recordar estas contraseñas, por lo que pueden ser enormes. Al menos, tan grande como el sitio web en cuestión acepta; algunos imponen límites.

Cuanto más grande sea el espacio de búsqueda (lo que he estado llamando el conjunto de contraseñas disponibles), más tiempo se necesitaría un ataque de fuerza bruta para su contraseña. Puede jugar con la Calculadora de Pajar de Contraseña (como en, aguja en un pajar) en el sitio web de Gibson Research para tener una idea del valor de la longitud.

Simplemente ingrese una contraseña para ver cuánto tiempo tomaría descifrar. (El sitio promete "NADA de lo que haces aquí nunca abandona tu navegador. Lo que sucede aquí, se queda aquí". Pero la precaución sugiere que evites usar tus contraseñas reales). Una contraseña de cuatro caracteres como 1eA y no tardaría ni un día en descifrarse, si el pirata informático tiene que enviar suposiciones en línea. Pero en un escenario fuera de línea, donde el hacker puede intentar adivinar a alta velocidad, el tiempo de descifrado es una fracción de segundo.

En mi artículo sobre la creación de contraseñas seguras memorables (para cosas como la contraseña maestra de un administrador de contraseñas) sugiero una técnica mnemónica que transforma una línea de un poema o juego en una contraseña de aspecto aleatorio. Por ejemplo, una línea de Romeo y Julieta, Acto 2, Escena 2, se convirtió en "bS, wLtYdWdB? A2S2". Esta no es una contraseña aleatoria, pero un cracker no lo sabe. Dejándolo caer en la calculadora de Gibson, aprendemos que incluso usando una matriz de craqueo masivo, tomaría 1.41 cientos de millones de siglos para aplicar esta fuerza bruta.

Haga una elección informada del administrador de contraseñas

Entonces, ahora lo sabe: el factor más importante para generar contraseñas seguras y aleatorias es hacerlas largas. Algunos generadores de contraseñas rechazan las contraseñas que no contienen todos los juegos de caracteres, algunas rechazan las que tienen palabras de diccionario incrustadas, algunas descartan las contraseñas que contienen caracteres ambiguos como l pequeño y dígito 1. Todas estas restricciones limitan el conjunto de contraseñas posibles, pero cuando es lo suficientemente alto, esta limitación simplemente no importa.

Por supuesto, es teóricamente (si no prácticamente) posible que algún malhechor pueda hackear el esquema de generación de contraseñas de su administrador de contraseñas favorito, y de ese modo obtener la capacidad de predecir las contraseñas pseudoaleatorias que le ofrecerá. Un programa sombrío de administrador de contraseñas podría enviar sus contraseñas aleatorias a la sede de la empresa. Esto está realmente en el nivel de preocupación de la paranoia del sombrero de papel de aluminio. Pero si realmente no desea confiar en otra persona para sus contraseñas aleatorias, puede crear su propio generador de contraseñas aleatorias en Excel.