Hablemos un poquito de seguridad de contraseñas, gente. No quiero que esto vaya a ser un hilo bastante largo, así que trataré de recortarlo.

Básicamente, lo que no quiero es que vayan a caer víctimas de un engaño.

Hoy vi que en mi carpeta de spam estaba un correo con algo similar a un password mío. Era un password muy viejo, de una cuenta en un sitio que ya no uso y que seguramente fue obtenido de una tabla de contraseñas robada.

El correo amenazaba con divulgar un video porno mío.

Es complicado que puedan tener un video porno mío, primero, porque la única laptop con cámara que tengo es mi chromebook, y la pobre tiene jodida la cámara. Aunque no la tuviera, la cámara es frontal. Antes de ella no tenía laptops con cámara.

Puedes alegar que fue en el teléfono, pero no veo porno ahí porque la pantalla es muy chica. Puedes alegar que fue en mi ipad, pero si logras instalar un programa para capturar video en el ipad tienes mi respeto y además tienes mi permiso para publicar mi video.

Entonces, debo dar por sentado que si no hay forma de sacar video, y el password es un password viejo, entonces es una estofa. Es como una estafa pero muy mala.

El correo, enviado usando una técnica llamada spoofing, aparenta venir de mi propio correo. Además, indica que tengo que hacer un pago vía bitcoin, y dice que tiene un rastreador de correo. Y pide 1400 dólares. Bitch, please, no he visto 1400 dólares juntos en mi pinche vida.

Si bien lo del rastreador es factible, porque se puede hacer un correo que descargue un pixel de una dirección específica, que confirma la recepción del correo (una técnica legal) ese código se anula si tu buzón mandó a spam el correo.

Así pues, esta estofa tiene como propósito despegar a las personas ricas de su dinero, lo cual es un propósito noble, pero al contrario de Robin Hood, es para que el estofador se vuelva rico. Y ahí sí que no, mi cabrón.

Además de lo pinche feo que está escrito el correo, lo cual ya es prueba suficiente que el juáquer no podría programar un programa tan sofisticado sino meramente usar algo ya hecho, la verdad es que no hay mucho por qué asustarte... si sigues ciertas prácticas.

He mencionado con anterioridad lo conveniente que es cambiar passwords y contraseñas por algunas que sean fáciles de recordar pero difíciles de adivinar.

Los generadores de contraseñas automáticos siguen la técnica de contraseñas difíciles de recordar pero fáciles de romper.

Sin entrar mucho en detalle, hay tres métodos principales de romper una contraseña:
1.- Fuerza bruta.
2.- Ataque de diccionario.
3.- Deducción.

Romper una contraseña por fuerza bruta es fácil, aunque computacionalmente tardado. Empezamos con una posición, que equivale a una letra, un número o un carácter, y vamos cambiando la letra y agregando letras hasta dar con la combinación adecuada.

Ejemplo:
a
b
c
d
e
f
g
h
[...]
z
aa
ab
ac
ad
ae

Este tipo de ataque es aburridísimo, pero una computadora no se aburre, así que puede realizar el ataque en un tiempo breve. Un ataque de 10 bits de entropía (un bit de entropía es el punto donde se puede hacer una sustitución) se rompe, con el poder actual, en seis meses.

O en mucho menos si se usa hardware especializado. La cosa es que una contraseña de tipo Jy&v3%HGaa que parece segura, se puede romper en cuestión de días. Básicamente no es segura. Si pones 15 bits de entropía la contraseña la vas a tener que apuntar porque no la vas a recordar.

Empleamos entonces otra técnica para ofuscar la contraseña y mejorar su entropía: usar palabras completas. Esto nos da pie al ataque de diccionario.
Si decides usar una palabra, tu entropía aumenta mucho.

En un ataque de diccionario, tenemos que tener un listado de todas las palabras que debemos emplear para romper una contraseña.
Por ejemplo, con la letra x:
X
Xábia
Xantofila
Xantoma
Xátiva
Xe
Xémal
Xenakis
Xenofilia
Xenofobia
Xenón
Y así sigue...

Usar una palabra del diccionario dependerá del tamaño del diccionario. No es lo mismo un diccionario escolar que un diccionario enciclopédico que una enciclopedia. Y aunque parezca que es más fácil romper el ataque de diccionario, romperlo por fuerza bruta es muy difícil.

Todavía puedes agregarle entropía al asunto. Toma una palabra que no esté en el diccionario pero suene «humana». Digamos «ercoburgle». Como no está en el diccionario, el ataque va a fallar. Pero son diez bits de entropía: un ataque de fuerza bruta dará con esa contraseña.

Algunos sugieren agregarle bits cambiando letras por números y agregando mayúsculas. Erc0bur6!3 es un hueso duro de roer... para tu memoria. Pero para una computadora apenas tiene catorce bits de entropía y sigue siendo vulnerable a un ataque de fuerza bruta.

La solución para evitar un ataque de fuerza bruta es hacer que la contraseña sea suficientemente larga como para que no se puedan romper las contraseñas en un tiempo razonable.

ElvisPresley es vulnerable a ataque de fuerza bruta y a ataque de diccionario.
Elvi5Pre5l3y es vulnerable a ataque de fuerza bruta.
ElvisPresleySeMurióEn1977 es jodidamente difícil de romper en fuerza bruta, y en diccionario, y sólo se puede adivinar por deducción.

ElvisPresleySeMurióEn1977 es una contraseña criptográficamente segura, fácil de recordar, pero también fácil de romper (por lo cual no es tan criptográficamente segura) si saben que eres fan de Elvis Presley.

Pero puedes usar una estrategia similar para hacer tus contraseñas.
Toma un libro. El que sea.

Abre el libro en una página al azar.

Toma las primeras cuatro palabras largas que veas.

Ahí está tu contraseña.

Supongamos que uso el «Ferrocarriles» de Francisco Togno.
«FormarTerraplenesLaderaAbajo» es un hueso duro de roer, fácil de recordar, criptográficamente seguro, y jodidamente difícil de adivinar.

Esa contraseña, con ataque de diccionario, podría romperse en unos cinco años. Suficiente como para que se considere que no vale la pena romperla. Es más fácil secuestrarte y romperte uno a uno los dedos de la mano con un martillo para obligarte a dar tu contraseña.

Y todavía puedes mejorar aún más tu entropía. Agrega unos cuantos números y unos signos de puntuación y en lugar de password tienes una passphrase. EN lugar de contraseña tienes una recontraseña.
Formar20Terraplenes¡LaderaAbajo! no lo rompe naiden en menos de un siglo.

Así que, para evitarse sustos, mis queridos educandos, es hora de cambiar sus contraseñas. No es necesario, en realidad, que sus contraseñas sean muy grandes. Dos palabras y cuatro números bastan para la mayor parte de sus necesidades. Tres palabras también.

PepsiRefresca2019 funcionará.
VivaPanchoVilla funcionará.
Inca_Kola_Es_La_Onda Funcionará.

Y así, los juáquers no podrán adivinar sus contraseñas. La única forma en que pudieran tener acceso a una contraseña así es tener acceso a la tabla del servidor y romper la codificación.

Si tienen acceso a esa tabla y se rompe la codificación, entonces sí que se puede hacer un análisis de fuerza bruta inverso.

Esto es, tomando en cuenta que ya tenemos una tabla, usar esas contraseñas para tratar de ver si tu cuenta usa alguna de las contraseñas ya descubiertas.

En ese sentido, será trivial entrar a una cuenta cuya contraseña sea muy común, por ejemplo, password, abcdefgh, 1234567890, abc123 y cosas así.

Pero para el resto de contraseñas todavía hay que pasar por todo el diccionario capturado para ver si es alguna de esas.

La moraleja del asunto es:

Cambia tus contraseñas con frecuencia.
No recicles tus contraseñas.
No uses contraseñas sencillas.
Y no andes entrando a sitios sospechosos por andar de calenturiento.

Es cuanto. Se abre la sesión de preguntas y respuestas.

¿Cómo saber si mi cuenta de usuario pudo haber sido comprometida en un robo de contraseñas? haveibeenpwned.com tiene la respuesta. Hay cerca de 6 millones de contraseñas robadas ahí, de muchos sitios. Si tu cuenta aparece hay que cambiar la contraseña de todas tus cuentas.