Criptografía e informática: consejos y una app para hacer contraseñas seguras
Un especialista en informática y criptografía de Neuquén desarrolló una plataforma para hacer contraseñas seguras. Ejes a tener en cuenta y qué se debe evitar para incrementar la seguridad.
La plataforma para hacer contraseñas seguras fue creada a principios de año y se utilizó código fuente libre. (Foto: gentileza)
A pesar de ser la llave para acceder a documentos e información sensible, la mayoría de las contraseñas que se utilizan son vulnerables y fáciles de robar, y las más complejas suelen olvidarse o quedan anotadas en libretas. Un especialista en criptografía informática de Neuquén brindó una serie de recomendaciones para crear claves difíciles de descifrar y diseñó una plataforma para hacerlo en tres simples pasos.
El proceso de elaboración de una contraseña suele ser engorroso, pese a que se usan para ingresar a casi todas las herramientas que vinculan trabajo y vida privada como computadoras, correos electrónicos, home banking, aplicaciones y plataformas.
Para saber qué estrategias se deben aplicar y qué malas costumbres se deben evitar, Generación EZ dialogó con el investigador y docente del departamento de Ciencias de la Computación de Universidad Nacional del Comahue, Christian Giménez.
Giménez se presentó como investigador y docente, pero por su conocimiento sobre criptografía tranquilamente puede confundirse como un criptógrafo digital.
Sin entrar en la historia y evitando tecnicismos, la criptografía refiere a las técnicas de cifrado o codificado de una información que se quiere transmitir con el objetivo de que sea inteligible para terceros no autorizados.
Basándose en conceptos de la materia y en lo que se conoce como principios de Kerckhoffs (propiedades deseables de un sistema criptográfico), Giménez recopiló un código fuente libre y de una extensión del explorador Firefox, lo optimizó y desarrolló una web para hacer contraseñas -casi- indescifrables para terceros (ver adelante).
Qué hacer (y que no) para tener una buena contraseña
Las recomendaciones para hacer que una contraseña sea difícil de descifrar tienen que ver con la cantidad de caracteres, símbolos, números y variaciones entre mayúsculas y minúsculas. Sin embargo, una contraseña que no se recuerde no sirve de nada.
Más allá de todas las combinaciones y extensión que se use, si se la anota en un documento de texto en la computadora o una libreta física, pierde toda la seguridad. “Lo ideal es que tengan letras, números y símbolos, pero que sean conocidos como el de resta, suma o admiración. No sirve poner símbolos extraños que después no recuerdes cómo ponerlos”, señaló Giménez.
Y agregó: “Es importante también agregar combinaciones de letras mayúsculas y minúsculas, o utilizar espacios”.
Es importante también agregar combinaciones de letras mayúsculas y minúsculas, o utilizar espacios».
Christian Giménez.
Casi todos los exploradores más usados (Firefox, Chrome, Edge, Safari, Opera) ofrecen a los usuarios guardar las contraseñas de los sitios a los que ingresan. Esto no solo es riesgoso, sino que le facilita la tarea a quien quiere entrar a cuentas ajenas. Aunque se las guarde a todas bajo una contraseña maestra, sigue siendo vulnerable.
Hay que evitar utilizar nombres propios, fechas de cumpleaños, números de teléfono, DNI, domicilios, o frases conocidas.
“Todas las recomendaciones no sirven de nada si vas a anotar las contraseñas en una libreta que puede caer en manos ajenas o en un documento de texto en la computadora y después se la das a un técnico para que te la arregle”, aclaró.
Todas las recomendaciones no sirven de nada si vas a anotar las contraseñas en una libreta»
Christian Giménez.
La conclusión es que, a pesar de todas las recomendaciones en cuanto a extensión y combinaciones, la conducta en cuanto a lo que hacemos con nuestras contraseñas afuera de los dispositivos es fundamental.
Cuál es la app y cómo se usa
La aplicación que creó Giménez se llama Hash It y se puede ingresar a través de este link: https://cnngimenez.gitlab.io/hashit-onsen/
El objetivo de la aplicación fue crear una estrategia nueva que permita tener a mano varias contraseñas complejas, sin necesidad de saberlas de memoria, sino que recordando un tag (etiqueta) y una sola contraseña madre.
Es importante remarcar que Hash It no almacena contraseñas, sino que es un sistema cifrado el cual nos devuelve una combinación de caracteres (contraseña) que será igual, siempre y cuando, ingresemos la misma contraseña madre y el mismo tag.
Para cada una de las claves usaremos la misma contraseña madre, más un tag que será distinto en cada caso. A continuación, utilizaremos el home banking como ejemplo.
Como mínimo, la aplicación le pide al usuario que ingrese un número (representa la cantidad de veces que se cambió la contraseña para ese sitio), un tag (en este caso home banking) y la contraseña madre.
Con estas tres variables, la aplicación nos entregará, por defecto, una contraseña de 12 dígitos que mezclará mayúsculas y minúsculas, símbolos y números. Nos da la opción también de elegir un PIN de entre 4 a 10 dígitos y también sin símbolos.
Cada vez que el home banking nos pida cambiar la contraseña lo que haremos es cambiar el número, sin tocar la contraseña madre y el tag. El resultado que nos arrojará la aplicación es totalmente distinto.
“Lo único que tenés que hacer es memorizarte una contraseña madre y, si necesitas, anotas los tags en una libreta, si total, sin tu contraseña madre, no le sirven a nadie. Una simple manera de tener contraseñas distintas para cada cosa y seguras”, explicó.
La seguridad de este método es, por un lado, que no almacena la contraseña y, por otro, que el proceso de ingeniería inversa es sumamente complejo y Giménez explicó por qué:
“Esta función permite generar una contraseña, o hash, de manera fácil, pero es difícil de volver para atrás. Si quiero obtener con qué se generó ese hash, ya sea la contraseña madre o el tag, es computacionalmente complejo y puede ser un proceso que demora hasta un año. En ese período probablemente vos cambiaste la contraseña varias veces”.
Cómo diseñó la aplicación para hacer contraseñas cifradas
Con el objetivo de tener contraseñas complejas de descifrar y -no menos importante- que sean fáciles de recordar, Giménez creó Hash It, una plataforma web que utiliza los principios de Kerckhoffs, ampliamente referenciado por las personas que estudian criptografía.
Este método establece que la seguridad recae sobre la clave y no por la oscuridad del sistema. “A veces se cree que para mayor seguridad hay que ocultar los algoritmos que se usan y la verdad es que no. Lo que preserva la información es la contraseña”, explicó Giménez.
Y sumó: “Los algoritmos está bueno dejarlos públicos para que se pueda determinar si tiene errores, o vulnerabilidades, y haya retroalimentación”.
Los algoritmos está bueno dejarlos públicos para que se pueda determinar si tiene errores, o vulnerabilidades, y haya retroalimentación».
Christian Giménez.
Hash It fue creada de cero por Giménez y se basó en un código libre de una aplicación de Android y también en otra de un complemento de Firefox, que él usaba antes y que lo abandonó por falta de actualizaciones.
“Tomé ese código libre, más el de Firefox, para tratar de entenderlo, replicar ese JavaScript y ver si podía transformarlo y optimizarlo. Por ejemplo, antes te ofrecía una contraseña de cuatro a ocho dígitos y ahora se puede hasta 12 dígitos”, señaló.
Para quienes busquen ampliar información sobre la plataforma, Giménez agregó una pestaña dentro de la herramienta que explica cómo funciona, con todos los tecnicismos. Además, también hay links al código fuente que utilizó.
Comentarios