Recientemente se ha publicado un ranking que recoge las 25 contraseñas más utilizadas durante el año 2016. Casi todas las claves que figuran en la lista, encabezada por “123456”, responden a un patrón lógico, simple y predecible. Así pues tenemos sucesiones de números (“123456789” o viceversa), la utilización del mismo número varias veces (“555555”). Otras como “qwerty”, “qwertyuiop”, “zxcvbnm”, aunque en principio pueden parecer aleatorias, son en realidad las letras de la primera y última fila del teclado. La versión avanzada de estas contraseñas, “1q2w3e4r” tampoco protege la información adecuadamente, al igual que tampoco es seguro el uso de palabras como “password” o “google”.
¿Por qué no es recomendable emplear este tipo de contraseñas?
Todas las contraseñas que figuran en esta lista tiene en común que son “fáciles de recordar” y también fácilmente averiguables usando técnicas de cracking como son el ataque por fuerza bruta o el ataque del diccionario. Estas tareas se realizan habitualmente de forma automatizada mediante softwares capaces de probar miles de combinaciones en cuestión de minutos (y cuyo uso no implica necesariamente un fin fraudulento, ya que también se pueden emplear para comprobar la seguridad de una contraseña por administradores autorizados, entre otros usos).
Así pues, contraseñas construidas con conjunto de números y/o letras predecible son las que más probabilidades tienen de ser vulnerables ante ataques por fuerza bruta, es decir, ataques en los que se prueban todas las combinaciones posibles hasta dar con la correcta.
Por otro lado, tampoco es conveniente utilizar como password la palabra “password” ni cualquier otro vocablo dado que una forma de averiguar la contraseña es la conocida como ataque de diccionario, que consiste en probar todas las palabras del diccionario, empezando habitualmente por aquellas más frecuentes.
Por tanto, es conveniente utilizar una combinación aleatoria de caracteres especiales, números y letras mayúsculas y minúsculas que cumpla ciertos requisitos de extensión. Dado que esta práctica puede generar contraseñas difíciles de recordar, una práctica habitual es utilizar las primeras letras de una frase que tenga sentido para el usuario o también se puede utilizar un gestor de contraseñas (un programa que almacena las contraseñas de todos los sitios en los que el usuario está registrado, de modo que solo tiene que recordar la clave del gestor).
El ranking
Este ranking procede del estudio The Most Common Passwords of 2016, realizado por la empresa Keeper, propietaria de un gestor de contraseñas y bóveda digital de seguridad comercializado con el mismo nombre, después de analizar alrededor de 10 millones de contraseñas que se hicieron públicas tras filtrados de datos ocurridos en 2016.