martes, 26 de junio de 2012

Cuidado con las contraseñas


El otro día un compañero me pasó este enlace a una aplicación que busca hashes MD5 en varias bases de datos. Ya había visto sistemas de este tipo, pero la verdad es que esta vez me impresionó por la cantidad de cadenas que indexa (me desveló combinaciones como m00nwalker ,marta16 ó enunlugardelamancha ).

Si alguien consiguiera extraer miles de passwords de algún portal o red social (como ocurrió hace poco en linkedin) y los procesara con una herramienta de este calibre ( o más potentes, algo probable en el futuro) seguro que podría desenmascarar entre el 10% y el 20% de las claves, y eso son muchos fraudes en potencia.

¿Qué podemos hacer para que nuestros datos estén a salvo? Yo recomendaría al menos seguir estas sencillas buenas costumbres:

  • Usar claves distintas para cada web (o al menos distinguir entre dos o tres distintas), así si nos roban una clave no podrán acceder a todas nuestras cuentas.
  • Combinar mayúsculas, minúsculas y números intentando usar algún truco mnemotécnico para no olvidarla, pero no ser muy evidentes ( por ejemplo pEPit000, 30m30NA, etc... )
  • Si el sistema lo permite, añadir símbolos ( "_" "-" "@" )
  • Cambiar las claves cada cierto tiempo es una excelente costumbre.
  • Destruir cookies al cerrar una sesión, sobre todo usando un ordenador público o una conexión WIFI poco segura.
Muchas de estas medidas pueden parecer incómodas, pero es muy sencillo de cumplir y nos puede evitar más de un dolor de cabeza.  La verdad es que como desarrollador he comprobado por mí mismo la cantidad de usuarios que utilizan claves del tipo "micasa" ó "123456" quedando totalmente expuestos al primer hackercillo de fin de semana. Estas claves son el equivalente a guardar la llave del coche en el parabrisas o la de casa debajo del felpudo.


Url del buscador MD5:
http://www.tmto.org/pages/passwordtools/hashcracker