¿Qué son las políticas de contraseñas débiles y cómo deben aplicarse para proteger la seguridad de un sistema?
Es muy común en aplicaciones web y móviles que los usuarios necesiten iniciar sesión para acceder a sus funciones. Ahora bien, desde el punto de vista de la ciberseguridad, los protocolos de inicio de sesión pueden estar sujetos a vulnerabilidades.
Existen dos métodos, principalmente, para adivinar nombres de usuarios y contraseñas de manera automática. El primero de ellos se conoce como fuerza bruta, una técnica que consiste en automatizar pruebas de ensayo y error hasta encontrar las credenciales correctas de un usuario. El segundo es una variación, conocida como ataque de diccionario, que consiste en probar los términos más comunes para contraseñas y nombres de usuarios, hasta encontrar valores correctos.
Ahora bien, existen métodos para evitar por completo este tipo de ciberataques. Uno de ellos es contar con políticas de contraseñas débiles estrictas y, de este modo, proteger las cuentas de los usuarios y la información de la aplicación web. En este post, te explicaremos en qué consisten estas políticas y por qué es tan importante aplicarlas.
Políticas de contraseñas débiles
En resumidas cuentas, una contraseña débil es extremadamente fácil de encontrar por medio de un ataque de diccionario o fuerza bruta. Sin embargo, una contraseña lo suficientemente robusta es totalmente imposible de crackear por medio de estos ataques. Entonces, para entender en qué consisten las políticas de contraseñas débiles, veremos cuál es la diferencia entre una contraseña fácil y una con un buen nivel de robustez.
Contraseñas débiles
Las contraseñas cortas y predecibles, como «12345», «hola», «qwerty», «asdfghj» o «NewYork», entre otras, son demasiado fáciles de encontrar por medio de un ataque de diccionario o fuerza bruta. De hecho, este tipo de contraseñas son 100% imposibles de proteger ante un ataque, incluso si se implementan los algoritmos y métodos más seguros para almacenarlas.
Por este motivo, es importante que las aplicaciones cuenten con políticas de contraseñas débiles estrictas, que prohíban la selección de este tipo de valores como credenciales privados de inicio de sesión.
Contraseñas robustas
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaLas contraseñas robustas son, en cambio, totalmente imposibles de adivinar mediante un ataque de fuerza bruta o diccionario. Para contar con una contraseña fuerte, es necesario que esta cumpla con dos características: que sea larga y aleatoria. Si una contraseña se genera de este modo, se necesitarían millones de años para ejecutar un ataque de fuerza bruta exitoso y también millones de ordenadores para lograrlo. En conclusión, una contraseña con estas dos características es 100% segura ante los dos ciberataques más usados para adivinarlas.
Almacenamiento de contraseñas
Ya hemos visto en qué se basan las políticas de contraseñas débiles. No obstante, una vez contamos con una contraseña lo suficientemente fuerte, será difícil de memorizar y almacenar, pues no es una buena idea guardar tus contraseñas en un documento o por escrito en alguna parte.
Las contraseñas fuertes se deben almacenar de forma segura para que un atacante no pueda adquirirla fácilmente. Entonces, lo que más se recomienda es utilizar un gestor de contraseñas, lo que conlleva tanto pros como contras para el usuario. Aun así, es el método más seguro para generar y administrar credenciales secretas.
Salting
Del lado de los desarrolladores, hay políticas de contraseñas débiles que pueden ayudar a proteger credenciales con dificultades intermedias. El salting es una técnica criptográfica que se utiliza para fortalecer contraseñas de nivel intermedio (que son las que más escogen los usuarios). Consiste en combinar las contraseñas con cadenas de datos aleatorios antes de almacenarlas en forma de funciones hash. De esta forma, si un atacante consigue la base de datos con los hash, no podrá descifrarlos con ataques de tablas arcoíris.
El salting no sirve para proteger contraseñas demasiado fáciles ni le brinda una mayor seguridad a las contraseñas robustas. Por eso, además es necesario agregar políticas de contraseñas débiles que le exijan a los usuarios escoger sus credenciales con un cierto nivel de dificultad.
Ya hemos visto qué son y por qué existen las políticas de contraseñas débiles. Si quieres aprender más sobre criptografía, hacking web y seguridad informática, te interesa echarle un vistazo al Ciberseguridad Full Stack Bootcamp, la formación intensiva con la que podrás convertirte en un experto en solo 7 meses. ¡No sigas esperando y pide información!
