En 2002, la empresa de seguridad de redes con sede en el Reino Unido NTA Monitor encuestó a sus clientes y encontró que, en promedio, los usuarios necesitaban recordar 21 contraseñas, desde el PIN utilizado para acceder a un cajero automático hasta la contraseña utilizada para iniciar sesión en la computadora de su oficina..

Esa cifra seguramente ha aumentado en los años intermedios a medida que más aspectos de nuestras vidas han cambiado en línea. Cuente la cantidad de servicios, sitios de la comunidad y foros que usa regularmente y de seguro se sorprenderá de la cantidad de contraseñas que ingresa en una semana promedio.

Pero, ¿qué es una contraseña, por qué son tan ubicuas y cómo se eligen las que son difíciles de descifrar y, a la vez, fáciles de recordar? Que es una contraseña?

En sentido estricto, una contraseña es cualquier conocimiento secreto que se utiliza para otorgar acceso a algo. Las contraseñas toman muchas formas, desde fragmentos de texto ingresados ​​en el teclado de una computadora hasta las combinaciones de números introducidas en un cajero automático..

El uso registrado de contraseñas se remonta al menos a la época romana, cuando los guardias desafían a las personas que intentan obtener acceso a áreas o edificios para una palabra o frase secreta. La contraseña cambiaría cada día y cada actualización se distribuiría en una tableta de madera.

Cada guardia dejaría su marca única en la tableta al aceptar la nueva información. Eventualmente, la tableta regresaría al comandante del campamento, quien sabría por las marcas que todos los guardias habían recibido la nueva información..

En informática, las contraseñas son casi tan antiguas como los sistemas operativos de tiempo compartido que protegen. Su primer uso fue probablemente en el Sistema de Tiempo Compartido Compatible de MIT de 1961. Desde entonces, las dos artes de crear y descifrar contraseñas se han bloqueado en una carrera de armamentos que ha impulsado el arte del cifrado..

Almacenar contraseñas

En las décadas intermedias, la informática ha desarrollado muchos métodos diferentes para almacenar, enviar y verificar contraseñas, desde las seguras hasta las que ahora se consideran tan inseguras que ya no se deben usar..

El método menos seguro es almacenar las combinaciones de contraseña y nombre de usuario en una base de datos en texto simple (encriptado). Cualquier persona que pueda acceder a la base de datos tiene acceso a estos datos y, posteriormente, puede iniciar sesión como cualquier usuario..

Igualmente inseguro es transmitir contraseñas y combinaciones de nombre de usuario de una computadora cliente a un servidor en texto plano. Esto deja la información abierta a la interceptación por parte del malware diseñado para rastrearlo y, por lo tanto, la explotación por parte de hackers..

Por este motivo, nunca debe iniciar sesión en una cuenta sensible basada en web a través de Internet sin que aparezca el símbolo del candado en la barra de direcciones de su navegador. El icono del candado es una indicación visual de que el enlace entre el navegador y el servidor web está utilizando el protocolo seguro HTTPS para enviar y recibir información, incluido el nombre de usuario y la contraseña.

HTTPS utiliza un sistema de certificados digitales firmados por autoridades confiables que demuestran que un sitio es lo que dice que es.

En IE8, puedes ver esto de la siguiente manera. Primero, navegue a un sitio web de HTTPS. A la derecha de la barra de URL, hay un icono de candado. Haga clic en este y aparecerá un breve resumen. Haga clic en 'Ver certificados' y aparecerá una nueva ventana con el nombre de la autoridad (Verisign, por ejemplo). Haga clic en la pestaña Detalles y la entrada Clave pública en la lista de campos le mostrará la longitud de la clave utilizada para cifrar el tráfico del sitio.

En el caso de PayPal, esto es 1.024 bits, lo que actualmente se considera muy seguro. Para ver los certificados en Firefox, haga clic en el ícono del sitio web a la izquierda de 'HTTPS' en la URL. Haga clic en 'Más información' y luego haga clic en 'Ver certificado' en la ventana siguiente.

Vale la pena ingresar manualmente una 'S' después de HTTP cuando navega por sitios sin importancia que, sin embargo, requieren que cree una cuenta e inicie sesión. Esto se debe a que los administradores del sistema a veces habilitan el puerto 443 (sobre el cual fluye HTTPS) en su sitio. Si está disponible, HTTPS proporcionará una seguridad razonable desde la escucha de la red.

Los sistemas operativos de PC almacenan las contraseñas de las cuentas de usuario en forma cifrada. Esto significa que no se pueden leer. Cuando ingresa una contraseña para iniciar sesión, acceder a un recurso compartido protegido o unirse a un dominio, esta forma cifrada de la contraseña se calcula y se transmite a través de la red.

Los algoritmos utilizados por los sistemas operativos para cifrar las contraseñas son asimétricos. Esto significa que si trabaja al revés, no terminará con la contraseña. Para descifrarlo, debe cifrar diferentes palabras hasta que una sea igual a la versión cifrada de la contraseña que intenta descifrar. Esto se llama un ataque de 'fuerza bruta'.