Puede que tu nueva contraseña sea “muy segura” para los medidores de contraseña de las páginas web donde la utilizas, pero eso no sirve de nada.

Seguro que, cuando os habéis registrado en una página web, habéis visto que el campo de contraseñas suele contar con un medidor de seguridad, el cual nos indica lo “segura” que es nuestra contraseña ante posibles ataques. Raro es que una página no lo tenga en la actualidad, y gigantes como Google o Dropbox llevan con el sistema mucho tiempo.

Sin embargo, y para desgracia de los usuarios, estos medidores de contraseña no sirven para nada, aparte de para darnos una falsa sensación de seguridad, y un estudio realizado por Mark Stockley de Sophos lo pone de relieve.

Los medidores de contraseña no dan pie con bola

contraseñas-iniciar-sesion

En este estudio, Mark seleccionó 5 de las 10.000 contraseñas más utilizadas por los usuarios, claves que no aguantarían ni un asalto en un intento de acceso no autorizado a una cuenta:

• abc123 – número 14, la primera en mezclar letras y números
• trustno1 – número 29, la segunda en mezclar letras y números
• ncc1701 – número 158, el número de registro de la USS Enterprise
• iloveyou! – número 8778, la primera con un carácter no alfanumérico
• primetime21 – número 8280, la más larga con letras y números

Da igual que la contraseña sea muy avanzada o segura si aparece en la lista de contraseñas más utilizadas; los crackers de contraseñas llenan sus diccionarios de palabras y contraseñas que la gente usa habitualmente, por lo que aparecer en esta lista es sinónimo de contar con una mala contraseña.

Una vez tuvo las contraseñas, Mark escogió los 5 primeros medidores de contraseña que aparecieron al buscar en Google ‘jQuery strength meter’, y añadió a la comparación un medidor de control (zxcvbn, creado por Dropbox y puesto a prueba en más ocasiones). Con todo dispuesto sólo tuvo que empezar a introducir las contraseñas en los medidores y comparar los resultados.

tabla-comparadora-medidores-de-contraseña

Como podéis ver en la tabla, zxcvbn es el único medidor de contraseña que identifica las cinco contraseñas como muy débiles: el resto dejan pasar una como mínimo, e incluso hay medidores de contraseña que le dan buena nota a esas 5 contraseñas nada seguras. En otras palabras, todos han suspendido al dejar pasar alguna.

¿Por qué fallan los medidores de contraseña?

contraseñas-google

Todo esto ocurre porque los medidores de contraseña no miden la verdadera fuerza de la contraseña, algo que es muy complejo de averiguar y requiere tiempo y recursos: la mayoría recurren a averiguar la entropía de la contraseña, la cual es relativamente sencilla de medir en comparación. Y todo esto está bien hasta que caemos en que los que intentan romper nuestra contraseña también son humanos: conocen nuestros trucos para camb1ar c0ntras3ñas y los aplican a sus técnicas para reventar cuentas. La entropía no nos vale de nada a la hora de tener una contraseña fuerte y segura, en otras palabras.

¿Y qué podemos hacer para conseguir contraseñas seguras, os preguntaréis? Lo primero de todo es no confiar en estos medidores de contraseña, nunca sabremos cuál estamos utilizando y si nos está dando un buen o mal resultado. Un gestor de contraseñas con generador de contraseñas seguras debería ayudar a mantenernos a salvo en este sentido, y herramientas como la verificación en dos pasos también son eficaces para repeler los ataques que puedan producirse contra nuestra cuenta.