Un año más, y más de lo mismo. La inseguridad de las contraseñas es el cuento de nunca acabar… Seguimos incumpliendo todas las normas básicas para su creación y mantenimiento y a pesar de los repetidos intentos de concienciación cometemos los mismos errores año a año.

El especialista NordPass ha publicado su informe anual sobre el estado de la seguridad de las contraseñas. Ha sido confeccionado después de analizar más de 275 millones de contraseñas filtradas en los ataques producidos el último año. No hay semana que pase sin conocer alguna violación masiva de datos y con ello millones de contraseñas quedan expuestas.

La lista de las peores es lamentable y se repite año a año con viejas conocidas como «123456» (Primer puesto), «111111» (sexto) o «password» (cuarto puesto). Por descontado, son las que hay que evitar a toda costa ya que un pirata informático las puede obtener en menos de un segundo simplemente con un comando que pruebe las más utilizadas.

Es trivial.

Creo que es el caso de la inmensa masa que apenas sabe lo justo de informática, usa los recursos de la red, pero no sabe nada subyacente sobre la tecnología, son puramente consumidores... En realidad no es culpa de ellos, a menudo en ejemplos de manuales aparecen contraseñas como 'admin', '1234' (parta ejemplo tenemos los fabricantes de router, que las suelen usar por defecto), luego ellos acaban por considerar que 'si lo usan los fabricantes, será que eso es seguro, entonces ''pluto1234'' tiene que serlo mucho más'.

Sin ir más lejos, cuando lees manuales de programación ves cosas igualmente ridículas como: 'Ahora vas a crear tu primer programa en el lenguaje 'x'... escribe:
print "Hola mundo"
y se quedan tan panchos... Al igual que los lenguajes de 'Hola mundo' crean programadores mediocres, los manuales de programas que señalan 'crea tu contraseña' y exponen como ejemplo una casilla de texto con '1234' han acabado creando usuarios confiados (no retrasados, retrasado lo sería si después de birlarle una cuenta, siguiera usando esas contraseñas). Para ellos es muy fácil pensar en algo como: 'con toda la gente que hay en el mundo, con dinero y otras coas de valor, para qué me van a atacar a mi con mi modesta contraseña???'...

Las tarjetas de crédito sin ir más lejos se han manejado con 4 digítos... claro que al  tercer intento fallido la tarjeta quedaba bloqueada en el cajero.

Tampoco podremos cambiar la creencia de los fabricantes de imaginar que los sitemas biométricos son infalibles, no solo antes el robo si no ya incluso para uno mismo.
Yo mismo si uso mi huella dactilar para el tf. móvil, solo me vale para el propio día, al día siguiente ya no me la reconoce... las yemas de mis dedos no mantienen largo tiempo su aspecto, las líneas no cambian básicamente en la vida, pero sí se pueden deformar fácilmente por la erosión. Si eres dado a las manualidades, te podrá suceder a menudo.

Es que ahí es donde tenemos cierto deber nosotros. Si cada uno enseñamos a nuestos amigos y conocidos a usar contraseñas fuertes y muy fáciles de recordar, no tendrían problema en mantener contraseñas seguras... y con el tiempo, cada uno de ellos, se lo enseñaría a otros...

A menudo cuando descubro esas contraseñas ridículas en mis amistades, les pregunto: "tienes en tu cabeza alguna estrofa de una canción o una frase, que sabes que jamás se te olvidará?. La respuesta siempre es sí.. les pido que la reciten  y les muestro como usar (por ejemplo, en el modo más sencillo), la primera letra de cada palabra... así si la estrofa tiene 20 palabras es de 20 caracteres de largo, guau, escrito no la podrías recordar, pero resulta que la frase YA ESTÁ memorizada en tu cerebro... luego les digo, bueno no lo dejes tan simple, después de todo hay letras que son las más comunes para empezar palabras, podrías por ejemplo descartar palabras de menos de 3-5 letras, o usa la letra inicial, luego la segunda en la siguiente palabra, luego la primera, etc... alternas una mayúscula otra minúscula, si son dos o más vocales seguidas omite excepto la primera o la última. etc... usa tu imaginación, y mete en algún punto algún número aunque no tenga número, por ejemplo cuenta las letras de una o dos palabras y ahí en medio de ellas lo pones, etc... después de una breve charla con diversos ejemplo escritos, captan la idea y con el tiempo notan la diferencia.

Yo que lo más odio, es que el usuario que aparece en un sitio, sea justamente la mitad de tu login en ese sitio...
Si aquí tu alias es 'TickTack', cualquiera tiene ya la mitad de tu login, solo precisa encontrar la contraseña... Además si algien quiere entrar en tu cuenta ya sabe que tiene que usar 'TickTack'... si consigo dar con la contraseña tengo acceso a tu cuenta, que es la que uno en un momento dado quería atacar...
Yo prefiriría que el login exigiera un alias que para nada sea el alias usado en el foro, supongamos que en tu login usaras 'perico1234' (ahí que no te gusta eso del 1234  ), solo con ver tu alias de 'TickTack', yo no podría decir... "voy a ver si consigo entrar en tu cuenta..." porque no sé cual sería tu alias de login, un login cualquiera usado podría corresponder a cualquier usuario desconocido, luego no podría siquiera 'fijar un objetivo concreto'...
...pero 'Donald Trump' sabemos que es la cuenta de 'Donald Trump', pero si Donald Trump, hiciera su login con "Pato Donald", la gente tendría que adivinar no solo una contraseña facilona (que seguro que la tiene facilona), si no además el alias... las combinaciones se elevan al cuadrado.

Se podría hacer que al crear un tema se pueda (por opción) cambiar el alias. Es decir, la misma idea tuya. Solo que en vez de escoger un secundario alias en el registro, que eso recién se haga cuando uno cree un tema.

---

No conozco hasta ahora ningún foro así. En el caso de que elhacker.net llegase a implementar 2FA sería entonces el primer foro de habla hispana que lo haría y por ende, en tal aspecto probablemente el mejor foro español  

Si se me vienen ideas a la mente en cuanto a la implementación, las compartire/mos.

---

Mod: No hacer doble post.