Fuerza de la contraseña

Resistencia de una contraseña a ser adivinada

Menú de opciones de la herramienta de generación de contraseñas aleatorias de KeePass . Si se habilitan más subconjuntos de caracteres, la seguridad de las contraseñas generadas aumenta ligeramente, mientras que si se aumenta su longitud, la seguridad aumenta considerablemente.

La fortaleza de una contraseña es una medida de la efectividad de una contraseña contra ataques de adivinación o de fuerza bruta . En su forma habitual, estima cuántos intentos necesitaría, en promedio, un atacante que no tiene acceso directo a la contraseña para adivinarla correctamente. La fortaleza de una contraseña es una función de la longitud, la complejidad y la imprevisibilidad. ^[1]

El uso de contraseñas seguras reduce el riesgo general de una violación de seguridad, pero no reemplazan la necesidad de otros controles de seguridad efectivos . ^[2] La efectividad de una contraseña de una fortaleza determinada está fuertemente determinada por el diseño y la implementación de los factores de autenticación (conocimiento, propiedad, inherencia). El primer factor es el foco principal de este artículo.

La velocidad con la que un atacante puede enviar contraseñas adivinadas al sistema es un factor clave para determinar la seguridad del sistema. Algunos sistemas imponen un tiempo de espera de varios segundos después de un pequeño número (por ejemplo, tres) de intentos fallidos de ingreso de contraseña. En ausencia de otras vulnerabilidades, dichos sistemas pueden protegerse eficazmente con contraseñas relativamente simples. Sin embargo, el sistema almacena información sobre las contraseñas del usuario de alguna forma y si esa información es robada, por ejemplo, al violar la seguridad del sistema, las contraseñas del usuario pueden estar en riesgo.

En 2019, el NCSC del Reino Unido analizó bases de datos públicas de cuentas vulneradas para ver qué palabras, frases y cadenas de caracteres utilizaban las personas. La contraseña más popular de la lista fue 123456, que aparece en más de 23 millones de contraseñas. La segunda cadena de caracteres más popular, 123456789, no fue mucho más difícil de descifrar, mientras que las cinco primeras incluían " qwerty ", "password" y 1111111. ^[3]

Creación de contraseña

Las contraseñas se crean de forma automática (mediante un equipo de aleatorización) o por un ser humano; este último caso es el más común. Si bien la solidez de las contraseñas elegidas aleatoriamente frente a un ataque de fuerza bruta se puede calcular con precisión, determinar la solidez de las contraseñas generadas por humanos es difícil.

Por lo general, se les pide a los humanos que elijan una contraseña, a veces guiada por sugerencias o restringida por un conjunto de reglas, al crear una nueva cuenta para un sistema informático o un sitio web de Internet. Solo es posible realizar estimaciones aproximadas de su solidez, ya que los humanos tienden a seguir patrones en tales tareas, y esos patrones generalmente pueden ayudar a un atacante. ^[4] Además, existen listas de contraseñas elegidas comúnmente que pueden ser utilizadas por programas de adivinación de contraseñas. Dichas listas incluyen los numerosos diccionarios en línea de varios idiomas humanos, bases de datos violadas de contraseñas de texto simple y hash de varias cuentas comerciales y sociales en línea, junto con otras contraseñas comunes. Todos los elementos de dichas listas se consideran débiles, al igual que las contraseñas que son simples modificaciones de ellas.

Aunque hoy en día existen programas de generación de contraseñas aleatorias que se supone que son fáciles de usar, suelen generar contraseñas aleatorias y difíciles de recordar, lo que suele provocar que la gente prefiera elegir las suyas propias. Sin embargo, esto es inherentemente inseguro porque el estilo de vida de la persona, sus preferencias de entretenimiento y otras cualidades individualistas clave suelen influir en la elección de la contraseña, mientras que la prevalencia de las redes sociales en línea ha hecho que obtener información sobre las personas sea mucho más fácil.

Validación de contraseñas

Los sistemas que utilizan contraseñas para la autenticación deben tener alguna forma de comprobar cualquier contraseña introducida para obtener acceso. Si las contraseñas válidas se almacenan simplemente en un archivo o base de datos del sistema, un atacante que obtenga suficiente acceso al sistema obtendrá todas las contraseñas de los usuarios, lo que le dará acceso a todas las cuentas del sistema atacado y posiblemente a otros sistemas donde los usuarios utilicen las mismas contraseñas o contraseñas similares. Una forma de reducir este riesgo es almacenar solo un hash criptográfico de cada contraseña en lugar de la contraseña en sí. Los hashes criptográficos estándar, como la serie Secure Hash Algorithm (SHA), son muy difíciles de revertir, por lo que un atacante que obtenga el valor del hash no puede recuperar directamente la contraseña. Sin embargo, el conocimiento del valor del hash le permite al atacante probar rápidamente las suposiciones fuera de línea. Hay programas de descifrado de contraseñas ampliamente disponibles que probarán una gran cantidad de contraseñas de prueba contra un hash criptográfico robado.

Las mejoras en la tecnología informática aumentan constantemente la velocidad a la que se pueden probar las contraseñas adivinadas. Por ejemplo, en 2010, el Instituto de Investigación de Georgia Tech desarrolló un método para usar GPGPU para descifrar contraseñas mucho más rápido. ^[5] Elcomsoft inventó el uso de tarjetas gráficas comunes para una recuperación más rápida de contraseñas en agosto de 2007 y pronto presentó una patente correspondiente en los EE. UU. ^[6] Para 2011, ya estaban disponibles productos comerciales que afirmaban tener la capacidad de probar hasta 112.000 contraseñas por segundo en una computadora de escritorio estándar, utilizando un procesador gráfico de alta gama para ese momento. ^[7] Un dispositivo de este tipo descifraría una contraseña de seis letras con una sola mayúscula en un día. El trabajo se puede distribuir entre muchas computadoras para una aceleración adicional proporcional al número de computadoras disponibles con GPU comparables. Hay disponibles hashes especiales de estiramiento de clave que tardan un tiempo relativamente largo en calcularse, lo que reduce la velocidad a la que se pueden adivinar. Aunque se considera una buena práctica utilizar el estiramiento de clave, muchos sistemas comunes no lo hacen.

Otra situación en la que es posible adivinar rápidamente es cuando la contraseña se utiliza para formar una clave criptográfica . En tales casos, un atacante puede comprobar rápidamente si una contraseña adivinada decodifica correctamente los datos cifrados. Por ejemplo, un producto comercial afirma probar 103.000 contraseñas WPA PSK por segundo. ^[8]

Si un sistema de contraseñas solo almacena el hash de la contraseña, un atacante puede calcular previamente los valores hash para las variantes de contraseñas más comunes y para todas las contraseñas más cortas que una longitud determinada, lo que permite una recuperación muy rápida de la contraseña una vez que se obtiene su hash. Se pueden almacenar de manera eficiente listas muy largas de hashes de contraseñas calculados previamente utilizando tablas arco iris . Este método de ataque se puede frustrar almacenando un valor aleatorio, llamado sal criptográfica , junto con el hash. La sal se combina con la contraseña al calcular el hash, por lo que un atacante que calcule previamente una tabla arco iris tendría que almacenar para cada contraseña su hash con cada valor de sal posible. Esto se vuelve inviable si la sal tiene un rango lo suficientemente grande, digamos un número de 32 bits. Muchos sistemas de autenticación de uso común no emplean sales y hay tablas arco iris disponibles en Internet para varios de esos sistemas.

La entropía como medida de la fortaleza de la contraseña

La fortaleza de una contraseña se especifica por la cantidad de entropía de información , que se mide en Shannon (Sh) y es un concepto de la teoría de la información . Puede considerarse como el número mínimo de bits necesarios para almacenar la información en una contraseña de un tipo determinado. Una medida relacionada es el logaritmo en base 2 del número de intentos necesarios para encontrar la contraseña con certeza, que comúnmente se conoce como "bits de entropía". ^[9] Una contraseña con 42 bits de entropía sería tan fuerte como una cadena de 42 bits elegida al azar, por ejemplo, mediante un lanzamiento de moneda justo . Dicho de otra manera, una contraseña con 42 bits de entropía requeriría 2 ⁴² (4.398.046.511.104) intentos para agotar todas las posibilidades durante una búsqueda de fuerza bruta . Por lo tanto, aumentar la entropía de la contraseña en un bit duplica el número de intentos necesarios, lo que hace que la tarea de un atacante sea el doble de difícil. En promedio, un atacante tendrá que probar la mitad del número posible de contraseñas antes de encontrar la correcta. ^[4]

Contraseñas aleatorias

Las contraseñas aleatorias consisten en una cadena de símbolos de longitud específica extraídos de un conjunto de símbolos mediante un proceso de selección aleatoria en el que cada símbolo tiene la misma probabilidad de ser seleccionado. Los símbolos pueden ser caracteres individuales de un conjunto de caracteres (por ejemplo, el conjunto de caracteres ASCII ), sílabas diseñadas para formar contraseñas pronunciables o incluso palabras de una lista de palabras (formando así una frase de contraseña ).

La fuerza de las contraseñas aleatorias depende de la entropía real del generador de números subyacente; sin embargo, a menudo no son verdaderamente aleatorias, sino pseudoaleatorias. Muchos generadores de contraseñas disponibles públicamente utilizan generadores de números aleatorios que se encuentran en bibliotecas de programación que ofrecen una entropía limitada. Sin embargo, la mayoría de los sistemas operativos modernos ofrecen generadores de números aleatorios criptográficamente fuertes que son adecuados para la generación de contraseñas. También es posible utilizar dados comunes para generar contraseñas aleatorias (consulte Generador de contraseñas aleatorias § Métodos más fuertes ) . Los programas de contraseñas aleatorias a menudo pueden garantizar que la contraseña resultante cumpla con una política de contraseñas local ; por ejemplo, al producir siempre una combinación de letras, números y caracteres especiales.

En el caso de las contraseñas generadas por un proceso que selecciona aleatoriamente una cadena de símbolos de longitud L de un conjunto de N símbolos posibles, la cantidad de contraseñas posibles se puede encontrar elevando la cantidad de símbolos a la potencia L , es decir, N ^L. Aumentar L o N fortalecerá la contraseña generada. La fortaleza de una contraseña aleatoria medida por la entropía de información es simplemente el logaritmo en base 2 o log ₂ de la cantidad de contraseñas posibles, suponiendo que cada símbolo en la contraseña se produce de forma independiente. Por lo tanto, la entropía de información de una contraseña aleatoria, H , viene dada por la fórmula:

${\displaystyle H=\log _{2}N^{L}=L\log _{2}N=L{\log N \over \log 2}}$

donde N es el número de símbolos posibles y L es el número de símbolos en la contraseña. H se mide en bits . ^{[4] [10]} En la última expresión, log puede ser en cualquier base .

Un byte binario generalmente se expresa utilizando dos caracteres hexadecimales.

Para encontrar la longitud, L, necesaria para lograr una fuerza deseada H, con una contraseña extraída aleatoriamente de un conjunto de N símbolos, se calcula:

${\displaystyle L={\left\lceil {\frac {H}{\log _{2}N}}\right\rceil }}$

donde denota la función de techo matemática , es decir, el redondeo al siguiente número entero más grande . ${\displaystyle \left\lceil \ \right\rceil }$

La siguiente tabla utiliza esta fórmula para mostrar las longitudes necesarias de contraseñas generadas de forma verdaderamente aleatoria para lograr las entropías de contraseña deseadas para conjuntos de símbolos comunes:

Contraseñas generadas por humanos

Las personas son notoriamente deficientes a la hora de lograr la entropía suficiente para producir contraseñas satisfactorias. Según un estudio en el que participaron medio millón de usuarios, la entropía media de una contraseña se estimó en 40,54 bits. ^[11]

Así, en un análisis de más de 3 millones de contraseñas de ocho caracteres, la letra "e" se utilizó más de 1,5 millones de veces, mientras que la letra "f" se utilizó sólo 250.000 veces. Una distribución uniforme habría supuesto que cada carácter se hubiera utilizado unas 900.000 veces. El número más común es el "1", mientras que las letras más comunes son la a, la e, la o y la r. ^[12]

Los usuarios rara vez hacen un uso completo de conjuntos de caracteres más grandes para crear contraseñas. Por ejemplo, los resultados de un ataque de phishing en MySpace en 2006 revelaron 34.000 contraseñas, de las cuales sólo el 8,3% utilizaba una combinación de mayúsculas y minúsculas, números y símbolos. ^[13]

La máxima seguridad asociada con el uso de todo el conjunto de caracteres ASCII (números, letras mayúsculas y minúsculas y caracteres especiales) sólo se consigue si cada contraseña posible es igualmente probable. Esto parece sugerir que todas las contraseñas deben contener caracteres de cada una de varias clases de caracteres, tal vez letras mayúsculas y minúsculas, números y caracteres no alfanuméricos. Este requisito es un patrón en la elección de contraseñas y se puede esperar que reduzca el "factor de trabajo" de un atacante (en términos de Claude Shannon). Esto es una reducción de la "seguridad" de las contraseñas. Un mejor requisito sería exigir que una contraseña no contenga ninguna palabra de un diccionario en línea, o una lista de nombres, o cualquier patrón de matrícula de cualquier estado (en los EE.UU.) o país (como en la UE). Si se requieren elecciones con patrones, es probable que los humanos las utilicen de formas predecibles, como poner en mayúscula una letra, añadir uno o dos números y un carácter especial. Esta previsibilidad significa que el aumento de la seguridad de la contraseña es menor en comparación con las contraseñas aleatorias.

Proyectos de concientización sobre la seguridad de las contraseñas

Google desarrolló Interland para enseñar a los niños a usar Internet de forma segura. En el capítulo llamado La Torre del Tesoro se recomienda utilizar nombres inusuales junto con caracteres como (₺&@#%) en un juego. ^[14]

Publicación especial del NIST 800-63-2

La publicación especial 800-63 del NIST de junio de 2004 (segunda revisión) sugirió un esquema para aproximar la entropía de las contraseñas generadas por humanos: ^[4]

Con este esquema, se estima que una contraseña de ocho caracteres seleccionada por humanos sin mayúsculas ni caracteres no alfabéticos O con cualquiera de los dos conjuntos de caracteres tiene dieciocho bits de entropía. La publicación del NIST admite que en el momento del desarrollo, había poca información disponible sobre la selección de contraseñas en el mundo real. Investigaciones posteriores sobre la entropía de contraseñas seleccionadas por humanos utilizando datos del mundo real recientemente disponibles han demostrado que el esquema del NIST no proporciona una métrica válida para la estimación de la entropía de contraseñas seleccionadas por humanos. ^[15] La revisión de junio de 2017 de SP 800-63 (Revisión tres) abandona este enfoque. ^[16]

Consideraciones de usabilidad e implementación

Debido a que las implementaciones de teclado nacionales varían, no todos los 94 caracteres ASCII imprimibles se pueden usar en todas partes. Esto puede presentar un problema para un viajero internacional que desee iniciar sesión en un sistema remoto utilizando un teclado en una computadora local (consulte el artículo sobre diseños de teclado ) . Muchos dispositivos portátiles, como tabletas y teléfonos inteligentes , requieren secuencias de cambio complejas o intercambio de aplicaciones de teclado para ingresar caracteres especiales.

Los programas de autenticación pueden variar en cuanto a la lista de caracteres permitidos en las contraseñas. Algunos no reconocen las diferencias entre mayúsculas y minúsculas (por ejemplo, la "E" mayúscula se considera equivalente a la "e" minúscula) y otros prohíben algunos de los otros símbolos. En las últimas décadas, los sistemas han permitido más caracteres en las contraseñas, pero aún existen limitaciones. Los sistemas también varían en cuanto a la longitud máxima de las contraseñas permitidas.

En la práctica, las contraseñas deben ser razonables y funcionales para el usuario final, así como lo suficientemente fuertes para el propósito previsto. Las contraseñas que son demasiado difíciles de recordar pueden olvidarse y, por lo tanto, es más probable que se escriban en papel, lo que algunos consideran un riesgo de seguridad. ^[17] En contraste, otros argumentan que obligar a los usuarios a recordar contraseñas sin ayuda solo puede dar cabida a contraseñas débiles y, por lo tanto, plantea un mayor riesgo de seguridad. Según Bruce Schneier , la mayoría de las personas son buenas para proteger sus billeteras o monederos, que es un "gran lugar" para guardar una contraseña escrita. ^[18]

Bits de entropía necesarios

El número mínimo de bits de entropía necesarios para una contraseña depende del modelo de amenaza para la aplicación dada. Si no se utiliza el estiramiento de clave , se necesitan contraseñas con más entropía. RFC 4086, "Requisitos de aleatoriedad para seguridad", publicado en junio de 2005, presenta algunos modelos de amenaza de ejemplo y cómo calcular la entropía deseada para cada uno. ^[19] Sus respuestas varían entre 29 bits de entropía necesarios si solo se esperan ataques en línea, y hasta 96 bits de entropía necesarios para claves criptográficas importantes utilizadas en aplicaciones como el cifrado donde la contraseña o clave debe ser segura durante un largo período y el estiramiento no es aplicable. Un estudio del Instituto de Investigación de Georgia Tech de 2010 basado en claves no estiradas recomendó una contraseña aleatoria de 12 caracteres, pero como requisito de longitud mínima. ^{[5] [20]} Vale la pena tener en cuenta que, dado que la potencia de procesamiento aumenta continuamente, para prevenir ataques fuera de línea, la cantidad requerida de bits de entropía también debería aumentar con el tiempo.

El extremo superior está relacionado con los estrictos requisitos de elección de las claves utilizadas en el cifrado. En 1999, un proyecto de la Electronic Frontier Foundation rompió el cifrado DES de 56 bits en menos de un día utilizando un hardware especialmente diseñado. ^[21] En 2002, distributed.net descifró una clave de 64 bits en 4 años, 9 meses y 23 días. ^[22] Al 12 de octubre de 2011, distributed.net estima que descifrar una clave de 72 bits utilizando el hardware actual llevará unos 45.579 días o 124,8 años. ^[23] Debido a las limitaciones actualmente entendidas de la física fundamental, no hay expectativas de que ninguna computadora digital (o combinación) sea capaz de romper el cifrado de 256 bits mediante un ataque de fuerza bruta. ^[24] Aún se desconoce si las computadoras cuánticas podrán hacerlo en la práctica, aunque el análisis teórico sugiere tales posibilidades. ^[25]

Pautas para contraseñas seguras

Directrices comunes

Las pautas para elegir buenas contraseñas suelen estar diseñadas para que sea más difícil descubrirlas mediante una adivinación inteligente. Las pautas comunes defendidas por los defensores de la seguridad de los sistemas de software incluyen: ^{[26] [27] [28] [29] [30]}

• Como guía general, se debe considerar una longitud mínima de contraseña de 8 ^{[31] caracteres. Tanto los departamentos de seguridad cibernética de los EE. UU. como del Reino Unido recomiendan contraseñas largas y fáciles de recordar en lugar de contraseñas cortas y complejas. [32] [33]}
• Genere contraseñas aleatoriamente cuando sea posible.
• Evite utilizar la misma contraseña dos veces (por ejemplo, en múltiples cuentas de usuario y/o sistemas de software).
• Evite la repetición de caracteres, patrones de teclado, palabras de diccionario y letras o números secuenciales.
• Evite utilizar información que esté o pueda llegar a estar asociada públicamente con el usuario o la cuenta, como el nombre de usuario, los nombres de los antepasados ​​o las fechas.
• Evite utilizar información que los colegas y/o conocidos del usuario puedan saber que está asociada con el usuario, como parientes o nombres de mascotas, vínculos románticos (actuales o pasados) e información biográfica (por ejemplo, números de identificación, nombres de antepasados ​​o fechas).
• No utilice contraseñas que consistan enteramente en una combinación simple de los componentes débiles mencionados anteriormente.

Forzar la inclusión de letras minúsculas, mayúsculas, números y símbolos en las contraseñas era una política común, pero se ha descubierto que reduce la seguridad, al hacer que sea más fácil de descifrar. La investigación ha demostrado lo predecible que es el uso común de dichos símbolos, y los departamentos de seguridad cibernética del gobierno de EE. UU. ^[34] y el Reino Unido ^[35] desaconsejan forzar su inclusión en la política de contraseñas. Los símbolos complejos también dificultan mucho recordar las contraseñas, lo que aumenta la escritura, el restablecimiento de contraseñas y la reutilización de contraseñas, todo lo cual reduce la seguridad de las contraseñas en lugar de mejorarla. El autor original de las reglas de complejidad de contraseñas, Bill Burr, se ha disculpado y admite que reducen la seguridad, como ha descubierto la investigación; esto fue ampliamente informado en los medios en 2017. ^[36] Los investigadores de seguridad en línea ^[37] y los consultores también apoyan el cambio ^[38] en los consejos de mejores prácticas sobre contraseñas.

Algunas directrices desaconsejan escribir las contraseñas, mientras que otras, teniendo en cuenta la gran cantidad de sistemas protegidos con contraseña a los que los usuarios deben acceder, fomentan el uso de las contraseñas siempre que las listas de contraseñas escritas se guarden en un lugar seguro, no pegadas a un monitor o en un cajón de escritorio sin llave. ^[39] El NCSC recomienda el uso de un administrador de contraseñas . ^[40]

El conjunto de caracteres posible para una contraseña puede verse limitado por los diferentes sitios web o por la variedad de teclados en los que se debe ingresar la contraseña. ^[41]

Ejemplos de contraseñas débiles

Como ocurre con cualquier medida de seguridad, las contraseñas varían en cuanto a su solidez; algunas son más débiles que otras. Por ejemplo, la diferencia de solidez entre una palabra de diccionario y una palabra con ofuscación (por ejemplo, las letras de la contraseña se sustituyen por números, por ejemplo, un método habitual) puede costarle a un dispositivo de descifrado de contraseñas unos segundos más; esto añade poca solidez. Los ejemplos siguientes ilustran diversas formas en las que se pueden construir contraseñas débiles, todas ellas basadas en patrones simples que dan como resultado una entropía extremadamente baja, lo que permite probarlas automáticamente a altas velocidades: ^[12]

• Contraseñas predeterminadas (provistas por el proveedor del sistema y que deben cambiarse en el momento de la instalación): password , default , admin , guest , etc. Hay listas de contraseñas predeterminadas ampliamente disponibles en Internet.
• Contraseñas reutilizadas: las contraseñas deben ser exclusivas de una cuenta en particular. Modificar las contraseñas reutilizadas, como cambiar algunas letras o números, no proporciona suficiente seguridad.
• Palabras del diccionario: chameleon , RedSox , sandbags , bunnyhop!, IntenseCrabtree , etc., incluidas palabras en diccionarios que no son en inglés.
• Las palabras con números añadidos: password1 , deer2000 , john1234 , etc., se pueden probar fácilmente de forma automática con poca pérdida de tiempo.
• Las contraseñas modificadas (palabras con ofuscación simple): p@ssw0rd , l33th4x0r , g0ldf1sh , etc., se pueden probar automáticamente con poco esfuerzo adicional. Por ejemplo, una contraseña de administrador de dominio comprometida en el ataque a DigiNotar fue supuestamente Pr0d@dm1n. ^[42]
• Palabras duplicadas: cangrejocangrejo , pararparar , árbolárbol , pasarpasar , etc.
• Secuencias comunes de una fila del teclado: qwerty , 123456 , asdfgh , etc., incluidas secuencias diagonales o hacia atrás (qazplm, ytrewq, etc.).
• Secuencias numéricas basadas en números conocidos como 911 ^{( 9-1-1 , 9/11 )} , 314159... ^{( pi )} , 27182... ^{( e )} , 112 ^{( 1-1-2 )} , etc.
• Identificadores: jsmith123 , 1/1/1970 , 555–1234 , nombre de usuario, etc.
• Contraseñas débiles en idiomas distintos del inglés, como contraseña (español) y ji32k7au4a83 (codificación de teclado bopomofo del chino) ^[43]
• Cualquier cosa relacionada personalmente con un individuo: número de matrícula, número de Seguro Social, números de teléfono actuales o anteriores, identificación de estudiante, dirección actual, direcciones anteriores, cumpleaños, equipo deportivo, nombres/apodos/cumpleaños/iniciales de parientes o mascotas, etc., se puede probar fácilmente de forma automática después de una simple investigación de los datos de una persona.
• Fechas: las fechas siguen un patrón y hacen que tu contraseña sea débil.
• Nombres de lugares conocidos: Nueva York, Texas, China, Londres, etc.
• Nombres de marcas, celebridades, equipos deportivos, grupos musicales, programas de televisión, películas, etc.
• Contraseñas cortas: incluso si una contraseña no tiene ninguna de las debilidades mencionadas anteriormente, si es demasiado corta, puede descifrarse fácilmente.

Existen muchas otras formas en las que una contraseña puede ser débil, ^[44] que corresponden a la fortaleza de varios esquemas de ataque; el principio básico es que una contraseña debe tener una entropía alta (que generalmente se considera equivalente a la aleatoriedad) y no debe ser fácilmente derivable por ningún patrón "inteligente", ni las contraseñas deben estar mezcladas con información que identifique al usuario. Los servicios en línea a menudo proporcionan una función de restauración de contraseña que un hacker puede descubrir y, al hacerlo, eludir una contraseña.

Repensando las pautas para el cambio de contraseñas

En el panorama de 2012, tal como lo describió William Cheswick en un artículo para la revista ACM, la seguridad de las contraseñas enfatizaba predominantemente una contraseña alfanumérica de ocho caracteres o más. Se dedujo que una contraseña de ese tipo podría resistir diez millones de intentos por segundo durante un período de 252 días. Sin embargo, con la ayuda de las GPU contemporáneas de la época, este período se redujo a solo unas 9 horas, dada una tasa de descifrado de 7 mil millones de intentos por segundo. Se estimó que una contraseña de 13 caracteres resistiría los intentos calculados por GPU durante más de 900.000 años. ^{[45] [46]}

En el contexto de la tecnología de hardware de 2023, el estándar de 2012 de una contraseña alfanumérica de ocho caracteres se ha vuelto vulnerable, sucumbiendo en unas pocas horas. El tiempo necesario para descifrar una contraseña de 13 caracteres se ha reducido a unos pocos años. El énfasis actual, por lo tanto, ha cambiado. La fortaleza de las contraseñas ahora se mide no solo por su complejidad sino por su longitud, y las recomendaciones se inclinan por contraseñas que contengan al menos 13-16 caracteres. Esta era también ha visto el surgimiento de la autenticación multifactor (MFA) como una medida de fortificación crucial. La aparición y adopción generalizada de administradores de contraseñas ha ayudado aún más a los usuarios a cultivar y mantener una variedad de contraseñas fuertes y únicas. ^[47]

Política de contraseñas

Una política de contraseñas es una guía para elegir contraseñas satisfactorias. Su objetivo es:

• Ayudar a los usuarios a elegir contraseñas seguras
• Asegúrese de que las contraseñas sean adecuadas para la población objetivo.
• Proporcionar recomendaciones a los usuarios sobre el manejo de sus contraseñas
• Imponer una recomendación para cambiar cualquier contraseña que se haya perdido o se sospeche que está comprometida
• Utilice una lista negra de contraseñas para bloquear el uso de contraseñas débiles o fáciles de adivinar.

Las políticas de contraseñas anteriores solían prescribir los caracteres que debían contener las contraseñas, como números, símbolos o mayúsculas y minúsculas. Si bien esto todavía se usa, ha sido desacreditado como menos seguro por la investigación universitaria ^[48] , por el instigador original ^[49] de esta política y por los departamentos de seguridad cibernética (y otros organismos de seguridad gubernamentales relacionados ^[50] ) de EE. UU. ^[51] y el Reino Unido. ^[52] Las reglas de complejidad de contraseñas de símbolos forzados fueron utilizadas anteriormente por las principales plataformas como Google ^[53] y Facebook, ^[54] pero estas han eliminado el requisito después de descubrir que en realidad reducían la seguridad. Esto se debe a que el elemento humano es un riesgo mucho mayor que el descifrado, y la complejidad forzada lleva a la mayoría de los usuarios a patrones altamente predecibles (número al final, cambiar 3 por E, etc.) que ayuda a descifrar contraseñas. Por lo tanto, la simplicidad y la longitud de las contraseñas (frases de contraseña) son la nueva mejor práctica y se desalienta la complejidad. Las reglas de complejidad forzada también aumentan los costos de soporte y la fricción del usuario y desalientan los registros de usuarios.

La caducidad de contraseñas ya existía en algunas políticas de contraseñas antiguas, pero se ha desacreditado ^[36] como una práctica recomendada y no cuenta con el respaldo de los gobiernos de EE. UU. o el Reino Unido, ni de Microsoft, que eliminó ^[55] la función de caducidad de contraseñas. Anteriormente, la caducidad de contraseñas intentaba cumplir dos propósitos: ^[56]

• Si se estima que el tiempo para descifrar una contraseña es de 100 días, los tiempos de expiración de contraseña menores a 100 días pueden ayudar a garantizar que no haya tiempo suficiente para un atacante.
• Si se ha comprometido una contraseña, exigir que se cambie periódicamente puede limitar el tiempo de acceso del atacante.

Sin embargo, la expiración de la contraseña tiene sus desventajas: ^{[57] [58]}

• Pedir a los usuarios que cambien sus contraseñas con frecuencia fomenta el uso de contraseñas simples y débiles.
• Si uno tiene una contraseña realmente segura, no tiene mucho sentido cambiarla. Cambiar contraseñas que ya son seguras implica el riesgo de que la nueva contraseña sea menos segura.
• Es probable que un atacante utilice inmediatamente una contraseña comprometida para instalar una puerta trasera , a menudo mediante una escalada de privilegios . Una vez que esto se logra, los cambios de contraseña no impedirán que futuros atacantes accedan a ellas.
• Pasar de no cambiar nunca la contraseña a cambiarla en cada intento de autenticación (tanto si se aprueba como si no) solo duplica la cantidad de intentos que el atacante debe hacer en promedio antes de adivinar la contraseña en un ataque de fuerza bruta. Se obtiene mucha más seguridad simplemente aumentando la longitud de la contraseña en un carácter que cambiándola cada vez que se usa. ^{[ cita requerida ]}

Creación y manejo de contraseñas

Las contraseñas más difíciles de descifrar, para una longitud y un conjunto de caracteres determinados, son cadenas de caracteres aleatorios; si son lo suficientemente largas, resisten ataques de fuerza bruta (porque tienen muchos caracteres) y ataques de adivinación (debido a la alta entropía). Sin embargo, este tipo de contraseñas suelen ser las más difíciles de recordar. La imposición de un requisito para este tipo de contraseñas en una política de contraseñas puede alentar a los usuarios a escribirlas, almacenarlas en dispositivos móviles o compartirlas con otros como medida de protección contra fallos de memoria. Si bien algunas personas consideran que cada uno de estos recursos de los usuarios aumenta los riesgos de seguridad, otros sugieren lo absurdo de esperar que los usuarios recuerden contraseñas complejas distintas para cada una de las docenas de cuentas a las que acceden. Por ejemplo, en 2005, el experto en seguridad Bruce Schneier recomendó escribir la contraseña:

En pocas palabras, la gente ya no puede recordar contraseñas lo suficientemente bien como para defenderse de ataques de diccionario y está mucho más segura si elige una contraseña demasiado complicada de recordar y luego la escribe. Todos somos buenos en asegurar pequeños trozos de papel. Recomiendo que la gente escriba sus contraseñas en un pequeño trozo de papel y lo guarde con sus otros pequeños trozos de papel valiosos: en su billetera. ^[39]

Las siguientes medidas pueden aumentar la aceptación de requisitos de contraseñas seguras si se utilizan con cuidado:

• un programa de formación. Además, formación actualizada para quienes no respeten la política de contraseñas (contraseñas perdidas, contraseñas inadecuadas, etc.).
• Recompensar a los usuarios que utilizan contraseñas seguras reduciendo la frecuencia o eliminando la necesidad de cambiarlas (vencimiento de la contraseña). La seguridad de las contraseñas elegidas por el usuario se puede calcular mediante programas automáticos que inspeccionan y evalúan las contraseñas propuestas al configurar o cambiar una contraseña.
• mostrar a cada usuario la fecha y hora del último inicio de sesión con la esperanza de que el usuario pueda detectar un acceso no autorizado, sugiriendo una contraseña comprometida.
• Permite a los usuarios restablecer sus contraseñas a través de un sistema automático, lo que reduce el volumen de llamadas al servicio de asistencia. Sin embargo, algunos sistemas son inseguros; por ejemplo, las respuestas a preguntas de restablecimiento de contraseñas que se pueden adivinar o investigar fácilmente pasan por alto las ventajas de un sistema de contraseñas seguro.
• utilizando contraseñas generadas aleatoriamente que no permiten a los usuarios elegir sus contraseñas, o al menos ofrecer contraseñas generadas aleatoriamente como una opción.

Técnicas de memoria

Las políticas de contraseñas a veces sugieren técnicas de memoria para ayudar a recordar las contraseñas:

• Contraseñas mnemotécnicas: algunos usuarios desarrollan frases mnemotécnicas y las utilizan para generar contraseñas más o menos aleatorias que, sin embargo, son relativamente fáciles de recordar para el usuario. Por ejemplo, la primera letra de cada palabra en una frase memorable. Las investigaciones estiman que la fortaleza de las contraseñas de este tipo es de aproximadamente 3,7 bits por carácter, en comparación con los 6,6 bits de las contraseñas aleatorias de caracteres ASCII imprimibles. ^[59] Las contraseñas tontas son posiblemente más memorables. ^[60] Otra forma de hacer que las contraseñas que parecen aleatorias sean más memorables es usar palabras aleatorias (ver diceware ) o sílabas en lugar de letras elegidas al azar.
• Mnemotecnia a posteriori: después de que se haya establecido la contraseña, invente una mnemotecnia que se ajuste. ^[61] No tiene que ser razonable ni sensata, solo memorable. Esto permite que las contraseñas sean aleatorias.
• Representaciones visuales de contraseñas: una contraseña se memoriza en base a una secuencia de teclas presionadas, no a los valores de las teclas mismas, por ejemplo, una secuencia !qAsdE#2 representa un romboide en un teclado estadounidense. El método para producir dichas contraseñas se llama PsychoPass. ^[62] Las contraseñas producidas por este método son mucho más débiles de lo que sugiere su longitud, ya que las teclas sucesivas no son independientes y las secuencias de teclado comunes se incluyen en los diccionarios de contraseñas. Pero se pueden realizar algunas mejoras. ^{[63] [64]}
• Patrones de contraseña: Cualquier patrón en una contraseña facilita su adivinación (automatizada o no) y reduce el factor de trabajo de un atacante.
  • Por ejemplo, las contraseñas que tienen la siguiente forma que no distingue entre mayúsculas y minúsculas: consonante, vocal, consonante, consonante, vocal, consonante, número, número (por ejemplo, pinray45 ) se denominan contraseñas de Environ. El patrón de alternancia de caracteres vocálicos y consonánticos tenía como objetivo hacer que las contraseñas tuvieran más probabilidades de ser pronunciables y, por lo tanto, más memorables. Estos patrones reducen drásticamente la entropía de información de la contraseña , lo que hace que los ataques de fuerza bruta a las contraseñas sean considerablemente más eficientes. En el Reino Unido, en octubre de 2005, se recomendó a los empleados del gobierno británico que utilizaran contraseñas con este formato. ^{[ cita requerida ]}

Gestores de contraseñas

Un compromiso razonable para usar un gran número de contraseñas es registrarlas en un programa de administración de contraseñas, que incluye aplicaciones independientes, extensiones de navegador web o un administrador integrado en el sistema operativo. Un administrador de contraseñas permite al usuario usar cientos de contraseñas diferentes y solo tiene que recordar una única contraseña, la que abre la base de datos de contraseñas cifradas. ^[65] No hace falta decir que esta única contraseña debe ser fuerte y estar bien protegida (no registrada en ningún lugar). La mayoría de los administradores de contraseñas pueden crear automáticamente contraseñas seguras utilizando un generador de contraseñas aleatorias criptográficamente seguro , así como calcular la entropía de la contraseña generada. Un buen administrador de contraseñas proporcionará resistencia contra ataques como el registro de teclas , el registro del portapapeles y varias otras técnicas de espionaje de memoria.

Véase también

• Registro de pulsaciones de teclas
• Frase de contraseña
• Suplantación de identidad (phishing)
• Vulnerabilidad (informática)

Referencias

1. "Consejo de seguridad cibernética ST04-002". Elección y protección de contraseñas . US CERT. 21 de mayo de 2009. Archivado desde el original el 7 de julio de 2009. Consultado el 20 de junio de 2009 .
2. "Por qué los nombres de usuario y las contraseñas no son suficientes | SecurityWeek.Com". www.securityweek.com . 31 de enero de 2019 . Consultado el 31 de octubre de 2020 .
3. "Un estudio de seguridad revela que millones de personas utilizan 123456 como contraseña". BBC News . 21 de abril de 2019 . Consultado el 24 de abril de 2019 .
4. «SP 800-63 – Electronic Authentication Guideline» (PDF) . NIST. Archivado desde el original (PDF) el 12 de julio de 2004. Consultado el 20 de abril de 2014 .
5. "Problemas de teraflop: la potencia de las unidades de procesamiento gráfico puede amenazar el sistema de seguridad de contraseñas del mundo". Instituto de Investigación Tecnológica de Georgia . Archivado desde el original el 2010-12-30 . Consultado el 2010-11-07 .
6. Patente estadounidense 7929707, Andrey V. Belenko, "Uso de procesadores gráficos como coprocesadores matemáticos paralelos para recuperación de contraseñas", expedida el 19 de abril de 2011, asignada a Elcomsoft Co. Ltd. 
7. Elcomsoft.com Archivado el 17 de octubre de 2006 en Wayback Machine , tabla de velocidad de recuperación de contraseñas de ElcomSoft , contraseñas NTLM , GPU Nvidia Tesla S1070, consultado el 1 de febrero de 2011
8. Elcomsoft Wireless Security Auditor, GPU HD5970 Archivado el 19 de febrero de 2011 en Wayback Machine. Consultado el 11 de febrero de 2011.
9. James Massey (1994). "Adivinación y entropía" (PDF) . Actas del Simposio Internacional IEEE de 1994 sobre Teoría de la Información . IEEE. pág. 204.
10. Schneier, B: Criptografía aplicada , 2.ª edición, página 233 y siguientes. John Wiley and Sons.
11. Florencio, Dinei; Herley, Cormac (8 de mayo de 2007). "Un estudio a gran escala de los hábitos de contraseñas en la Web" (PDF) . Actas de la 16.ª conferencia internacional sobre la World Wide Web . pág. 657. doi :10.1145/1242572.1242661. ISBN . 9781595936547. S2CID  10648989. Archivado (PDF) del original el 27 de marzo de 2015.
12. Burnett, Mark (2006). Kleiman, Dave (ed.). Contraseñas perfectas . Rockland, Massachusetts: Syngress Publishing. pág. 181. ISBN 978-1-59749-041-2.
13. Bruce Schneier (14 de diciembre de 2006). "Las contraseñas de MySpace no son tan tontas". Revista Wired. Archivado desde el original el 21 de mayo de 2014. Consultado el 11 de abril de 2008 .
14. "Juega a Interland: sé genial en Internet". Juega a Interland: sé genial en Internet . Consultado el 10 de septiembre de 2024 .
15. Matt Weir; Susdhir Aggarwal; Michael Collins; Henry Stern (7 de octubre de 2010). "Prueba de métricas para políticas de creación de contraseñas mediante ataques a grandes conjuntos de contraseñas reveladas" (PDF) . Archivado desde el original el 6 de julio de 2012. Consultado el 21 de marzo de 2012 .
16. "SP 800-63-3 – Directrices de identidad digital" (PDF) . NIST. Junio ​​de 2017. Archivado desde el original el 6 de agosto de 2017. Consultado el 6 de agosto de 2017 .
17. A. Allan. "Las contraseñas están cerca de su punto de quiebre" (PDF) . Gartner. Archivado desde el original (PDF) el 27 de abril de 2006. Consultado el 10 de abril de 2008 .
18. Bruce Schneier. "Schneier on Security". Anote su contraseña . Archivado desde el original el 13 de abril de 2008. Consultado el 10 de abril de 2008 .
19. Requisitos de aleatoriedad para la seguridad. doi : 10.17487/RFC4086 . RFC 4086.
20. "¿Quieres disuadir a los piratas informáticos? Haz que tu contraseña sea más larga". NBC News . 19 de agosto de 2010. Archivado desde el original el 11 de julio de 2013. Consultado el 7 de noviembre de 2010 .
21. "La máquina EFF DES Cracker aporta honestidad al debate sobre criptomonedas". EFF. Archivado desde el original el 1 de enero de 2010. Consultado el 27 de marzo de 2008 .
22. "Estado del proyecto de clave de 64 bits". Distributed.net. Archivado desde el original el 10 de septiembre de 2013. Consultado el 27 de marzo de 2008 .
23. "Estado del proyecto de clave de 72 bits". Distributed.net . Consultado el 12 de octubre de 2011 .
24. Bruce Schneier. «Snakeoil: Warning Sign #5: Ridiculous key lengths» (Snakeoil: Señal de advertencia nº 5: longitudes de clave ridículas). Archivado desde el original el 18 de abril de 2008. Consultado el 27 de marzo de 2008 .
25. "Computación cuántica y descifrado de códigos". Stack Overflow. 2011-05-27. Archivado desde el original el 2013-05-21 . Consultado el 2013-03-17 .
26. Microsoft Corporation, Contraseñas seguras: cómo crearlas y usarlas Archivado el 1 de enero de 2008 en Wayback Machine
27. Bruce Schneier, Cómo elegir contraseñas seguras Archivado el 23 de febrero de 2008 en Wayback Machine
28. Google, Inc., ¿Qué tan segura es su contraseña? Archivado el 22 de febrero de 2008 en Wayback Machine
29. Universidad de Maryland, Cómo elegir una buena contraseña Archivado el 14 de junio de 2014 en Wayback Machine
30. Bidwell, Teri (2002). Cómo proteger su identidad de los ataques informáticos en la era de la información . Syngress Publishing. ISBN 978-1-931836-51-7.
31. "PAUTAS DE CONTRASEÑAS DEL NIST EN 2020". Stealthbits. 18 de agosto de 2020. Consultado el 17 de mayo de 2021 .
32. "Política de contraseñas: actualización de su enfoque". Centro Nacional de Seguridad Cibernética del Reino Unido . Consultado el 17 de mayo de 2021 .
33. "Elección y protección de contraseñas". Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). 2019-11-18 . Consultado el 2023-10-10 .
34. "Directrices de identidad digital". Instituto Nacional de Estándares y Tecnología de EE. UU. . Consultado el 17 de mayo de 2021 .
35. "Administración de contraseñas para propietarios de sistemas". Centro Nacional de Seguridad Cibernética del Reino Unido . Consultado el 17 de mayo de 2021 .
36. "Reglas de contraseñas: el fundador de Password Complexity dice ¡LO SIENTO!" . Consultado el 17 de mayo de 2021 .
37. "Laboratorio de privacidad y seguridad utilizable CyLab (CUPS)". Universidad Carnegie Mellon (Estados Unidos) . Consultado el 17 de mayo de 2021 .
38. Bruce, Schneier. "Cambios en las mejores prácticas de contraseñas". Schneier on Security . Consultado el 17 de mayo de 2021 .
39. "Anote su contraseña - Schneier sobre seguridad". www.schneier.com . Archivado desde el original el 13 de abril de 2008.
40. "¿Qué piensa el NCSC sobre los administradores de contraseñas?". www.ncsc.gov.uk . Archivado desde el original el 5 de marzo de 2019.
41. p. ej., para un teclado con solo 17 caracteres no alfanuméricos, consulte uno para un teléfono BlackBerry en una imagen ampliada Archivado el 6 de abril de 2011 en Wayback Machine en apoyo de Sandy Berger, BlackBerry Tour 9630 (Verizon) Cell Phone Review, en Hardware Secrets (31 de agosto de 2009) Archivado el 6 de abril de 2011 en Wayback Machine , ambos consultados el 19 de enero de 2010. Que algunos sitios web no permiten caracteres no alfanuméricos lo indica Kanhef, Idiots, For Different Reasons (30 de junio de 2009) (publicación de tema) Archivado el 6 de abril de 2011 en Wayback Machine , consultado el 20 de enero de 2010.
42. "ComodoHacker responsable del ataque a DigiNotar – Hacking News". Thehackernews.com. 2011-09-06. Archivado desde el original el 2013-05-17 . Consultado el 2013-03-17 .
43. Dave Basner (8 de marzo de 2019). "Aquí se explica por qué 'ji32k7au4a83' es una contraseña sorprendentemente común" . Consultado el 25 de marzo de 2019 .
44. Bidwell, pág. 87
45. William, Cheswick (31 de diciembre de 2012). «Versión HTML: replanteamiento de las contraseñas». Association for Computing Machinery (ACM) . Archivado desde el original el 3 de noviembre de 2019. Consultado el 3 de noviembre de 2019 .
46. William, Cheswick (31 de diciembre de 2012). "Biblioteca digital ACM: replanteamiento de las contraseñas". Queue . 10 (12): 50–56. doi : 10.1145/2405116.2422416 .
47. "Informe sobre el estado de la seguridad de las contraseñas en 2023 | Recursos de Bitwarden". Bitwarden . Consultado el 24 de septiembre de 2023 .
48. "Recomendaciones prácticas para contraseñas más seguras y fáciles de usar que combinen requisitos de seguridad mínima, longitud mínima y lista de bloqueo" (PDF) . Universidad Carnegie Mellon . Consultado el 17 de mayo de 2021 .
49. "Bill Burr, fundador de las reglas de complejidad de contraseñas, dice ¡LO SIENTO!" . Consultado el 17 de mayo de 2021 .
50. "Contraseñas en servicios en línea". Oficina del Comisionado de Información del Reino Unido (ICO) . Consultado el 17 de mayo de 2021 .
51. "Directrices de identidad digital". Instituto Nacional de Normas y Tecnología de EE. UU . . Consultado el 17 de mayo de 2021 .
52. "Guía de contraseñas" (PDF) . Seguridad cibernética, Sede de comunicaciones del gobierno del Reino Unido . Consultado el 17 de mayo de 2021 .
53. "Crear una contraseña segura". Google Inc. Consultado el 17 de mayo de 2021 .
54. "Ayuda para iniciar sesión y contraseña". FaceBook Inc. Consultado el 17 de mayo de 2021 .
55. "Base de seguridad (FINAL) para Windows 10 v1903 y Windows Server v1903". Microsoft. 23 de mayo de 2019. Consultado el 17 de mayo de 2021 .
56. "En defensa de la caducidad de contraseñas". Liga de Administradores de Sistemas Profesionales. Archivado desde el original el 12 de octubre de 2008. Consultado el 14 de abril de 2008 .
57. "Los problemas de forzar la expiración regular de contraseñas". IA Matters . CESG: el brazo de seguridad de la información de GCHQ. 15 de abril de 2016. Archivado desde el original el 17 de agosto de 2016 . Consultado el 5 de agosto de 2016 .
58. Eugene Spafford. "Mitos de seguridad y contraseñas". Centro de Educación e Investigación en Seguridad y Garantía de la Información. Archivado desde el original el 11 de abril de 2008. Consultado el 14 de abril de 2008 .
59. Johannes Kiesel; Benno Stein; Stefan Lucks (2017). "Un análisis a gran escala del consejo mnemónico sobre contraseñas" (PDF) . Actas del 24.º Simposio anual sobre seguridad de redes y sistemas distribuidos (NDSS 17) . Internet Society. Archivado desde el original (PDF) el 2017-03-30 . Consultado el 2017-03-30 .
60. Mnemonic Devices (Indianápolis, Indiana: Bepko Learning Ctr., University College), consultado el 19 de enero de 2010 Archivado el 10 de junio de 2010 en Wayback Machine
61. Recordando contraseñas (ChangingMinds.org) Archivado el 21 de enero de 2010 en Wikiwix, consultado el 19 de enero de 2010
62. Cipresso, P; Gaggioli, A; Serino, S; Cipresso, S; Riva, G (2012). "Cómo crear contraseñas seguras y fáciles de memorizar". J Med Internet Res . 14 (1): e10. doi : 10.2196/jmir.1906 . PMC 3846346 . PMID  22233980. 
63. Brumen, B; Heričko, M; Rozman, I; Hölbl, M (2013). "Análisis de seguridad y mejoras del método PsychoPass". J Med Internet Res . 15 (8): e161. doi : 10.2196/jmir.2366 . PMC 3742392 . PMID  23942458. 
64. "zxcvbn: estimación realista de la solidez de las contraseñas". Blog tecnológico de Dropbox . Archivado desde el original el 5 de abril de 2015.
65. "El nuevo administrador de contraseñas del emperador: análisis de seguridad de los administradores de contraseñas basados ​​en la Web | EECS en UC Berkeley". www2.eecs.berkeley.edu . Consultado el 1 de octubre de 2023 .

6 tipos de ataques a contraseñas y cómo detenerlos | OneLogin. (sin fecha). Consultado el 24 de abril de 2024 en https://www.google.com/

Franchi, E., Poggi, A. y Tomaiuolo, M. (2015). Ataques de información y contraseñas en redes sociales: un argumento a favor de la criptografía. Journal of Information Technology Research, 8(1), 25–42. https://doi.org/10.4018/JITR.2015010103

Enlaces externos

• RFC 4086: Requisitos de aleatoriedad para la seguridad
• Patrones de contraseñas: los ataques de diccionario de próxima generación