Volví del colegio con ganas de escuchar música. No se rían pero tenía ganas de escuchar a Alejandro Lerner. Entonces, con música de fondo voy a escribir el post de hoy que, como los últimos, seguirá tratando el tema de los passwords seguros.
El problema de encontrar un password seguro y que sea facil de recordar es todo un "problemón". A manera de "historia" voy a explicar distintos "tipos" de contraseñas tal cual evolucionaron en mi mente, y como llegué a construir PWs de 12, 15, 18 digitos (todos múltiplos de tres) sin problemas.
Por instinto nunca utilicé contraseñas como las que engrosan las estadísticas de los posts anteriores; elegí al comienzo, contraseñas donde alguna letra era cambiada por algún número que en aspecto se le parecía, por ejemplo:
- la "g" es parecida al "9";
- la "b" al "6";
- la "l (ele)" al "1 (uno)";
- la "A" al "4";
- la "z" al "3";
- el "3" también puede ser visto como una "E" al revés; etc.
De esta forma palabras como "SEGURIDAD" quedan "SE6UR1D4D". Así que, podríamos definir este método como "Metodo UNO" - (por sustitución) cambiar algunas letras por un número que, en la escritura, se le parece.
Luego, aprovechando mi habilidad para escribir y leer al revés, comencé a usar contraseñas que eran ilegibles pero que leídas al revés formaban alguna palabra, para mí familiar. Por ejemplo:
- "odlavso" es "osvaldo";
- "ocionarap" es "paranoico";
- "WPimseetsE" que es "Este es mi PW" (sin los espacios); y así.
Este sería el "Metodo DOS" - (por inversión) palabras o frases al revés.
Al "Metodo TRES"- (por unión) lo saqué de las contraseñas que mandaba Yahoo! cuando uno solicitaba una contraseña nueva por extravío u olvido de la anterior. Consiste en unir dos palabras conocidas (de diccionario) con un número de dos o tres digitos al medio. Por ejemplo:
- "yawn751lemon" que es "yawn", "751" y "lemon";
- "army236rich" que es... ya saben.
El "Metodo CUATRO" lo pensé en alemán. Para ello busqué palabras de 9 a 12 caracteres, y en ellas reemplacé algunas letras por sus mayúsculas o por algún número como en el método uno, a otras las di vuelta para complicar más las cosas. Por ejemplo:
- "ErfordErlicH";
- "gEfu9i9KEit", por favor no pregunten qué quieren decir porque no tengo ni idea.
Mi "Metodo CINCO" es el que yo llamo "Metodo del Caballo" porque en mi teclado, partiendo de una letra cualquiera y moviendo como el caballo en el ajedréz (más o menos), fui generando la combinación de letras. Un ejemplo (partiendo de la zeta): "zFykP8Td".
Ninguno de estos métodos llegó a convencerme del todo. El primero es muy bobo y, es facil para cualquiera encontrar la similitud de las letras y los números a simple vista. El segundo es más bobo aún y lo creo muy debil ante un ataque de diccionario. El tercero es también debil ante un ataque de diccionario, y el hecho de que las palabras unidas estén en castellano o inglés no nos garantiza nada. El cuarto comienza a ser interesante pero chocamos con el problema de que, en general, no sabemos alemán para recordar las palabras, y también sería vulnerable a un ataque de diccionario (en alemán). El quinto, pero no el último, es el más interesante hasta ahora, ya que la lógica que guarda es "impredecible", no obstante es imposible memorizar facilmente un PW así.
Un buen día me desperte con una idea en la cabeza. Soy conciente que:
- puedo memorizar números de dos y tres digitos sin ningún problema, todos podemos hacerlo;
- también hay números que me gustan más que otros;
- hay combinaciones de números (números de 3 digitos) que me gustan más que otras;
- hay letras que me gustan como se ven en mayúscula más que en minúscula; y que
- existen letras que memorizo más facil que otras.
De todo eso saqué las fuerzas para hacer el "Metodo SEIS", interesante número teniendo en cuenta que quiere decir la imperfeción, lo que me deja pensar que el "Metodo SIETE" (no inventado aún) será simplemente perfecto (un chiste).
En el próximo post el "Metodo SEIS".
Jajaja... buenisimo.
ResponderBorrarLo único que puedo agregar es que te falto el "método primero" que usas la primera vez que entras en internet (allá por los anos 90...) que consiste en usar tu dni que en ese tiempo era re dificil de aprender... y despues te avivaste que todo el mundo lo sabía. Ahh, esos eran timepos... no había hackers de que preocuparse.
Anyway, esperamo el siguiente :p
Muy copado tu post.
ResponderBorrarEl tema de las contraseñas yo lo veo desde 2 lados complementarios: La parte cliente, que se encarga de inventar contraseñas eficientes; y la parte servidor, que es la que agrega metodos para que los dictionary attacks (o algun otro método de hackeo de contraseñas) sean inefectivos.
En el lado del cliente, yo tengo 1 sola contraseña para todo, es un chorizo largo, pero como es 1 sola me la acuerdo facilmente :D
En el lado del servidor, te cuento que el hash MD5 (aunque muchos empiezan a utilizar SHA1, debido a que usa mas bits para hacer su resumen, en concreto, 160bits si no me equivoco) junto con la tecnica de paso del testigo es lo mas eficiente hasta el momento.
Rodrigo
http://www.16-bits.com.ar