La importancia del password como método de demostración está basado en los principios de la autenticación, que dictan el uso de al menos un factor para poder probar el reclamo de una cuenta. Este factor puede ser algo que el usuario tenga (Smartcard, hard token), algo que el usuario "sea" (voice recognition, face recognition, fingerprint) o algo que el usuario sepa, como un PIN o password.
El principio básico de la seguridad informática se resume en el reclamo de una cuenta y en la demostración de que quien la está reclamando es el verdadero dueño de esa cuenta. Para ello existen diferentes soluciones de Identity Management o Secure Sign In, que ocupan diferentes métodos como Single Sign On, o One Time Password entre otros. La combinación de diferentes caracteres en una contraseña constituye un espacio clave, que se puede calcular con la siguiente fórmula: C^N(CN). Donde C es la cantidad de caracteres posibles utilizados, y N es la longitud de la contraseña.
Por ejemplo, una contraseña de 6 caracteres que usa solo letras minúsculas (26 letras posibles) se calcula como 26^6 (26*6), o 48,190,861,056 posibilidades. Cambiemos esto a una contraseña de 8 caracteres, siempre con minúsculas nada mas, y el valor es 26^8 (26*8), o alrededor de 43,436,029,431,808 posibilidades. Aunque parece una gran cantidad de posibilidades, existen herramientas para descifrar contraseñas que pueden probar más de 20 mil millones de contraseñas por segundo en computadoras de escritorio con un procesador de gráficos de alta gama. Un hacker podría descifrar una contraseña de 8 caracteres, ojo, solo utilizando caracteres en minúsculas, en menos de 40 minutos. Sin embargo, si usa los 94 caracteres imprimibles (26 mayúsculas, 26 minúsculas, 10 números y 32 caracteres especiales) con las mismas longitudes de contraseña de 6 y 8 caracteres, los valores cambian significativamente: 94^6 (94x6) son aproximadamente 389,086,556,515,584 de posibilidades, y 94^8 (94x8) es aproximadamente 4583958417828933632.
La herramienta de descifrado de contraseñas que descifra una contraseña de longitud 6, en minúsculas, en 40 minutos le llevará, aproximadamente 7.3 años descifrar una contraseña de 10 caracteres con los cuatro tipos de caracteres posibles.
Los expertos en seguridad a menudo mencionan que, si hace una contraseña demasiado compleja, la hace menos segura. Así como lo leyó. Más complejidad equivale a menos seguridad. Esto se debe a que los usuarios tienen problemas para recordar contraseñas demasiado complejas como 5>qiPlHsX* y es más probable que las escriban en algun lugar, un post-it pegado al monitor, por ejemplo.
Una contraseña escrita en papel o almacenada en un archivo en la computadora de un usuario reduce significativamente la seguridad y mas bien deja una brecha abierta. En cambio, se recomienda a los usuarios usar frases clave. En lugar de cadenas de caracteres sin sentido, una frase de contraseña, que es una larga cadena de caracteres que tiene significado para el usuario. Algunos ejemplos de contraseñas fuertes podrian ser: iL0veMyJ0b+, 1L0veThi$G@me o Th1$15mYP@$$.
Hay que hacer hincapié que estos ejemplos incluyen los 4 tipos de caracteres: letras mayúsculas, minúsculas, uno o más números y uno o más caracteres especiales. Estas contraseñas también se conocen como frases de contraseña porque son una combinación de palabras que son más fáciles de recordar que una cadena sin sentido de caracteres como 4*eiRS @ <].
Las contraseñas seguras nunca incluyen palabras que se puedan adivinar fácilmente, como el nombre de un usuario, palabras en un diccionario (en cualquier idioma) o combinaciones consecutivas de teclas comunes como 123abc, abcdef, o qwerty.
Esta es una adaptación de un texto encontrado en internet, en ingles, del que no pude encontrar la referencia, pero me pareció importante tropicalizar el texto y los ejemplos a unos que pudiéramos comprender.
