Dejamos por un rato los sesudos estudios el cachondeo y las mariconadas propias de este blog para tratar un tema serio que últimamente inquieta a bastante gente: la seguridad en internet y las cuentas robadas.
Los principales peligros con respecto a la seguridad online son dos:
- Que consigan adivinar tu clave de un sitio y puedan acceder a él
- Que roben tu clave de un sitio (hackeandolo) y la utilicen para acceder a otros sitios
Para minimizar estos riesgos las dos medidas principales a tener en cuenta son:
- Utilizar una clave lo más complicada posible
- No utilizar la misma clave para dos sitios diferentes
Y precisamente en estas dos medidas está el mayor problema: una clave complicada es difícil de memorizar y recordar y si encima usamos una diferente para cada uno de los mil sitios webs en los que tenemos una cuenta… mal asunto. Por eso la mayoría de la gente suele usar dos claves: una para los sitios “serios” y otra para los sitios “no serios”. Lejos de ser una solución esto solo consigue compartimentar el riesgo en dos.
Este artículo propone un método para poder recordar claves complicadas y diferentes cada sitio usando un algoritmo personal de derivación de passwords.
Método pastoso de derivación de passwords
Este método utiliza una serie de reglas para construir una password diferente para casa sitio a partir de una base y unos parámetros que dependerán del sitio para el que estemos generando la clave. Las reglas han ser simples y sencillas de tal modo que se puedan recordar fácilmente y sean sencillas de aplicar.
Pasamos a poner un ejemplo práctico. Nuestro conejillo de indias será Pablo Catedrales.
Pablo elige como base Ghji%T. Esta será la única cosa rara que tendrá que memorizar. Realmente Pablo quería utilizar algo como MarianoMaricon, pero es conveniente usar una base que no sea una palabra que pueda aparecer en un diccionario y que contenga signos no alfabéticos y mezcle mayúsculas y minúsculas.
Las reglas de transformación de Pablo serán 4:
- Añadir al principio de la base la última letra + 1 del sitio web al que desea acceder (esto es, la siguiente letra del abecedario de la letra por la que termina la web en cuestión)
- Añadir al final de la base la primera letra -1 del sitio web al que desea acceder (esto es, la letra anterior del abecedario a la letra por la que empieza la web en cuestión)
- Añadir al final de la base el número de sílabas que tiene el sitio web al que desea acceder (usando la fonética española, que para eso Pablo es un patriota)
- Añadir al final de la base la segunda letra +1 de su login para ese sitio en mayúsculas
¿Complicado? No tanto. Además en cuanto se usa cuatro veces seremos capaces de automatizarlo. Pongamos un par de ejemplos.
Pablo quiere acceder a su Facebook para hablar con su amigo Íñigo Errevaca. Comencemos:
- El sitio web al que Pablo quiere acceder es www.facebook.com, para nuestra derivación obviamos el www y el .com y nos quedamos con facebook.
- Pablo toma su base: Ghji%T y aplica la primera regla: añade al principio la última letra del sitio web +1. Esto es la k de facebook +1: l. Por tanto la base queda en: lGhji%T
- Segunda regla: a lo anterior añade al final la primera letra – 1, esto es la f de facebook – 1: e. Por tanto queda: lGhji%Te
- Tercera regla: facebook tiene 4 sílabas en español (fa-ce-bo-ok), añadimos un 4: lGhji%Te4
- Última regla: añadimos la segunda letra del login de pablo +1 en mayúsculas. Como su login es su email (pabloiglesias39@hormail.com) la segunda letra es la a, +1 sería una b que añadimos en mayúscula: lGhji%Te4B
Y ya tenemos una maravillosa password única para facebook y suficientemente ininteligible para adivinarla con un diccionario. Algunos otros ejemplos serían:
- Para acceder a su correo de hotmail (que usa como login pabloiglesias39): mGhji%Tg2B
- Para acceder a su cuenta de series.ly (que usa como login podemos39): tGhji%Tr2P
- Para su cuenta de pornotube (que usa como login viciosilla22): fGhji%To4j
- …
La fortaleza de este método reside precisamente en tener una base complicada y unas reglas de transformación que aunque no son muy complicadas si pueden ser muy variadas de modo que no es práctico un ataque que una vez robada la password de pornotube intente adivinar la de otro sitio.
Algunos ejemplos de otras reglas o variaciones de las anteriores para contruirse cada uno sus propias transformaciones:
- Usar como número a añadir el número de letras
- En vez de añadir el número de sílabas añadir el símbolo que hay encima de ese número en el teclado (! para 1, ” para 2, · para 3, $ para 4, etc…)
- En vez de hacer letra + 1 o letra – 1 hacer letra +2 o letra -2 (no es conveniente hacer “saltos” muy grandes porque si no se tarda bastante más en pensar)
- En vez de coger la primera letra del sitio coger la segunda, o la tercera
- En vez de coger la última, coger la penúltima
- Coger la última letra del login.
- Partir la base en dos, por ejemplo esPr8 + J8(y y añadir en medio de ella alguna transformación