Objetivos

• Conocer la problemática de la elección de palabras clave.
• Conocer técnicas para generar buenas palabras clave.
• Aprender a gestionar palabras clave.

Introducción

No sé vosotros, pero para mi es un infierno eso de las palabras clave. Que si es demasiado corta, que si es demasiado larga, que si pon signos, que tienes que cambiarla, que la has cambiado demasiado pronto, que no me acuerdo de lo que puse, que cuando puse lo que quise poner y puse lo que no se tenía que poner y después me dijo que si ponía lo que puse no sería la que puse antes, …

Lo de las claves se aplica a más cosa de las que imaginamos. Internamente nuestro teléfono, el router WiFi, etc. emplea claves que también pueden ser comprometidas.

Un chiste que circula por el Whatsapp:

– CREE SU CONTRASEÑA
– zanahoria
– LO SENTIMOS, SU CONTRASEÑA DEBE CONTENER MÁS DE DIEZ CARACTERES
– zanahoriagrandísima
– LO SENTIMOS, SU CONTRASEÑA DEBE CONTENER AL MENOS UNA CIFRA
– 1zanahoriagrandísima
– LO SENTIMOS, SU CONTRSEÑA NO PUEDE CONTENER ACENTOS
– 50putaszanahoriasgrandes
– LOS SENTIMOS, SU CONTRASEÑA DEBE CONTENER AL MENOS UNA MAYÚSCULA
– 50PUTASzanahoriasgrandes
– LO SENTIMOS, SU CONTRASEÑA NO PUEDE CONTENER MÁS DE DOS MAYÚSCULAS CONSECUTIVAS
– ¡50PutasZanahoriasGrandesQueTeVoyaMeterPorElCuloSiNoMeDasInmediatamenteUnAcceso!
– LO SENTIMOS, SU CONTRASEÑA NO PUEDE CONTENER EXCLAMACIONES
– AhoraSiQueVoyaIrDirectamenteaBuscarteyTeVoyaMeterLas50ZanahoriasGigantesPorElCulo
– LO SENTIMOS, ESA CONTRASEÑA YA ESTÁ SIENDO UTILIZADA

Bueno, intentaremos facilitar el asunto. Para ello, primero veremos dónde están las debilidades de las claves explicando cómo se «rompen» y advirtiendo sobre determinadas prácticas de riesgo. A continuación presentaremos la manera de generar claves apropiadas desde el punto de vista de seguridad y de poder memorizarlas. Finalmente, propondremos una manera de gestionar la ingente cantidad de claves que necesitaremos.

Cómo se rompe un clave

Conocer cómo se rompen las claves nos puede ayudar a asegurarlas mejor.

Robándolas

En general, el punto más débil de una clave somos nosotros mismos. Por ejemplo, si no tenemos la precaución de ocultar el “pin” de una tarjeta de crédito cuando la tecleamos, o respondemos a correos electrónicos donde se nos solicitan datos de nuestra tarjeta de crédito, nuestra cuenta del banco, etc., estaremos haciendo un flaco favor a nuestra seguridad.

Deduciéndolas

Si basamos nuestras claves en datos personales como la matrícula del coche, el año de nacimiento, el DNI, etc. entonces estaremos facilitando el trabajo de romper la clave. Tampoco sirven aquí antiguas técnicas como sustituir las vocales por números y similares. El que pretende romper la clave es humano, así que eso también lo puede pensar él.

Rompiéndolas

Mediante técnicas criptográficas y computadores potentes es posible generar miles de millones de combinaciones por segundo e ir probando suerte. Solo hay que sentarse y esperar un minuto, una hora, un día, una semana … un año ¡¡¡¡ Buena clave!!! ¡¡¡ Sí, señor!!!!.

Una buena clave es aquella que precisa mucho tiempo para romperla. Tanto, que una vez rota ya no tiene interés para el propósito de quien está intentándolo.

Buscándolas en un diccionario “hash” (revoltijo)

Esta explicación será un poco más larga.

Los bancos, las tiendas, etc. que manejan nuestras claves no suelen almacenar la clave real, si no el resultado de pasar nuestra clave por algoritmos criptográficos que generan una firma digital (“revoltijo” para nosotros). Cuando introducimos nuestra clave, se pasa por la sartén se le añaden espárragos y, si sale igual que la foto de la tortilla que tienen, entonces es nuestra clave.

El hacer una tortilla lleva su tiempo, así que es imposible hacer miles de millones de tortillas y acertar con la nuestra. Las bases de datos de firmas (fotos de tortillas) se pueden robar, pero es prácticamente imposible obtener la clave a partir de la firma … en principio.

Una manera bastante eficaz de obtener la clave a partir de la firma es usar diccionarios especializados que, dada una firma, tienen la clave equivalente precalculada. Un ejemplo famoso son las tablas Rainbow.

Estos diccionarios se generan mediante ordenadores que se pasan miles de horas generando firmas a partir de combinaciones aleatorias de caracteres. En este momento se siguen generando claves y, por tanto, somos un poco menos seguros.

Prácticas de riesgo

Ya hemos visto como romper una clave. Visto esto, podemos deducir una serie de practicas de riesgo y añadir otras:

• Usar claves cortas. Se rompen con mucha facilidad usando tablas.
• Permutar caracteres o sustituir letras por números. Eso está más visto que «La Charito».
• Usar la misma clave en varios sitios. Cada sitio con su clave o, al menos, los sitios con valor como el banco, el correo electrónico, etc.
• Guardar las claves escritas en libretas, calendarios, documentos del ordenador, la nube, etc. Las claves deben estar siempre a mano y deben guardarse encriptadas, ya sea en papel o en aplicaciones especializadas.

 

Como generar buenas claves

(Y acordarse después). Se siente, pero eso es imposible.

Para luchar contra este enemigo basta con usar claves largas y poco esperables. Las claves cortas, sea la combinación que sea, ya han sido calculadas.

Esto es una clave bastante buena: “sYQUUIklhjñl<89.3417u·%!FQADSN239)*¿?!!”
Pero también es una clave imposible de recordar e imposible de copiar bien.

Mi sugerencia es generar una clave larga a partir de algo mucho más largo que sea fácil de recordar y que no sea demasiado popular.

Un ejemplo de partida:

Les xiques de Xixona
s’han comprat una romana
per a pesar-se les mamelles
dos voltes a la setmana
si vols que te les pese
posat panxa cap amunt
i voras quina polseguera
t’ix pel forat del cul

A partir de esta “poesía”, podemos generar un clave como “LesxiqXixs’hanromper” y la podemos complicar un poco para que sea indestructible, por ejemplo “Les&xiq@Xix2345s’han=romper”. Eso sí, se nos ha quedado un poco corta si deseas seguridad de verdad.

En cualquier caso “No existe ni tren imparable ni roca inamovible”

Ah, otra posibilidad es utilizar generadores automáticos de claves. Un buen «generador automático» es aporrear el teclado, pero también existen aplicaciones apropiadas.

Administrando las claves

La mejor manera para administrar nuestras claves es emplear una aplicación que las almacene en una base de datos encriptada.

Estas aplicaciones emplean una clave «maestra» para encriptar el resto de información, por lo que este es el punto débil de la propuesta; si olvidas la clave «maestra» lo habrás perdido todo. Además, la clave maestra debe ser larga para que sea segura.

La idea es que utilicemos nuestra capacidad mental para recordar 5 o 6 claves importantes, entre ellas, esta clave y que el resto de claves de poca monta las almacenemos aquí. También deberíamos almacenar aquí las claves importantes por si tenemos un «lapsus» en un momento dado.

Hay que elegir la aplicación con muchísima cautela, no sea que estemos vendiendo el alma al diablo.

Nuestra recomendación es elegir la aplicación KeePass, que es perfecta para encriptar información sensible tipo claves de correo, números de tarjeta de crédito, clave del DNI electrónico, etc.

Esta aplicación es de código abierto y desarrollada por la comunidad, así que no tiene los peligros de las aplicaciones desarrolladas por empresas de las que podamos dudar o de gobiernos (la NSA americana, etc.) que puedan «choricear».

Hay versión para Windows, Linux, MacOS, iOS y Android, así que las claves las podemos tener en muchos sitios.

Para empezar con ella, se recomienda romper mano con la versión para Windows. Por desgracia, está en inglés, pero es tan buena que hay voluntarios que la han traducido a muchísimos idiomas.

Procedamos de la siguiente manera para instalarla:

• Descargar de la página http://keepass.info/ el enlace que pone «KeePass 2.35 released» o superior.
• Instalar la aplicación con el poco inglés que sepamos (preguntar si hay dudas).
• Ir a la página de traducciones http://keepass.info/translations.html y descargar el idioma elegido. Descomprimir el archivo en el directorio donde se haya instalado KeePass (donde esté KeePass.exe). En KeePAss ir al menu «View->Change Languaje» para elegir el nuevo idioma.

Para usarla, se proponen los siguientes tutoriales:

• ¿Qué es y cómo se usa KeePass?
• Gestiona tus contraseñas con KeePass y Dropbox

Una vez tengas algo de soltura con la aplicación y la consideres adecuada, puedes pasar a las versiones para dispositivo móvil disponibles en http://keepass.info/download.html.

Para Android, se recomienda probar con

• KeePassDroid https://play.google.com/store/apps/details?id=com.android.keepass
• Keepass2 https://play.google.com/store/apps/details?id=keepass2android.keepass2android

Para iOS

• MiniKeePass https://itunes.apple.com/app/id451661808

Y, para usuarios avanzados, echar un vistazo en http://keepass.info/plugins.html