Todos sabemos que al elegir una contraseña para un servicio de Internet hay algunos consejos básicos que seguir: que no sea demasiado fácil de adivinar, que no sea la misma que en otros sitios, que no sea una palabra de diccionario y que a ser posible combine algunas letras, números y símbolos.
Troy Hunt se preguntaba además por cuál sería la longitud mínima obligatoria en los principales sitios de Internet, de modo que hizo una prueba yendo a registrarse a ver cuál era el mínimo requerido, que obviamente suele restar lejos de lo que sería recomendable. Se puede ver su análisis en How Long is Long Enough? Sabemos que la gente para estas cosas, así que pocos se alejan de ese mínimo para buscar una mejor seguridad; si ese mínimo no es muy exigente la seguridad será menor.
La respuesta es que lo normal es que sólo pidan 6 caracteres, aunque los más importantes piden 8 caracteres. Por suerte sabemos por otros estudios que El 80% de las contraseñas tienen entre 8 y 12 caracteres.
Pero sorprendentemente casi ninguno (excepto Apple e eBay) obliga a que la contraseña combine letras y números, o letras en mayúsculas y minúsculas o al menos algún símbolo especial (* / - ! $, etcétera) que suele ayudar a mejorar la seguridad – si no contra ataques por diccionario sí al menos de cara a los vecinos cotillas y los ataques de primero de parvulario hacker. En Wikipedia hasta se puede crear una contraseña de una sola letra (!)
Y –como ha observado Hunt– casi siempre que hay una longitud mínima es una longitud mínima par: 8, 6, 4… Algo que sin duda pueden aprovechar hackers y crackers para adivinarlas con mayor facilidad. (De hecho la gente usa como promedio más de 5 que de 6 y casi tantas de 10 como de 9).
Aunque existen mejores métodos –que hoy en día todos los servicios importantes incorporan– como la autenticación de dos factores, no todo el mundo los activa y utiliza porque son más complicados o incómodos (por ejemplo, requieren tener el móvil a mano). Así que las viejas contraseñas siguen siendo el principal método de acceso. Y también suele ser tan «populares» y fáciles de adivinar como 12345678, password y qwerty.
Relacionado:
- Las nuevas recomendaciones para crear contraseñas más seguras
- Los PIN de seguridad más corrientes y menos predecibles
- Las 10 contraseñas de iPhone más populares
- Las 25 contraseñas más populares en los Estados Unidos
- La psicología de la elección de contraseñas
- Los patrones para proteger móviles son muy predecibles
- Cómo adivinar el PIN de un teléfono móvil por fuerza bruta
- Siete consejos de sentido común relacionados con las contraseñas
- Las ondas cerebrales sirven como contraseña (mientras no estés borracho)
- La contraseña compuesta de emojis
- Cómo actualizar tus contraseñas en diversos servicios de Internet