El mejor método para crear un password


Tan sólo una cuestión de seguridad


Muchas veces dudamos ante el momento crucial del formulario de registro: el password. Las claves son un dolor de cabeza porque normalmente no nos acordamos de las complicadas y si usamos la misma para todos los sitios el día que algún garca la descubre, nos arruinan la vida digital.

Ahora bien ¿sabías que aun así podés usar la misma clave en todos los sitios e impedir que esto suceda? ¿cómo? con un algoritmo.

Así es, lo único que tenés que recordar es un algoritmo, no una clave, esto te permite usar el mismo algoritmo en todos los sitios web del mundo y que nadie pueda descubrir tu password porque una cosa es interpretar una cadena de texto, pero... ¿un algoritmo? muchísimo más difícil por cierto!

Este método me lo habían contado una vez pero no fue hasta que leí esto I use only one password for all web sites que no encontré un buen ejemplo que me lo explique en detalle, si, yo no inventé nada de esto, lo leí y aquí se los explico en nuestro idioma.

La idea es bien simple, el algoritmo elegido es totalmente caprichoso, es decisión nuestra, y en todos los casos utiliza el dominio del sitio web en cuestión para inventar el nuevo password. Es como una ecuación con sus variables, la ecuación sigue intacta, no se cambia, y rellenamos las variables con partes del dominio del sitio donde nos estamos registrando.

Hagamos el ejemplo con linksdeviernes.com que tiene 14 caracteres además del .com , partimos de una ecuación con cuatro polinomios que conforman la clave final.

Parte 1

dominio.longitud * 3 - 11 = 31

El largo del dominio en cuestión es de 14, esto nos da un número totalmente arbitrario que depende del tamaño de la url a registranos, listo, imposible de identificar, cambien el 3 por un 5, cambien el 11 por un 20, siempre dará un valor difícil de identificar para cualquier hacker.

Parte 2

dominio[3] + 2 = "m"

Contando desde cero (en los vectores siempre usamos el 0 como inicio) ¿cual es la posición 3? la k de "linKdeviernes", sumale dos letras más, k... l... m, ahí tenés tu segunda porción del password, una M

Parte 3

dominio[-5].Mayúsculas + dominio[-7] = “Ev”

Se va complicando pero es fácil, contando desde atrás la quinta letra es la "e", si la pasamos a mayúsculas una E, ahora la séptima desde atrás es la v de viernes, listo, tenemos dos letras más

Parte 4

Aquí es donde podemos ingresar caracteres no comunes, esto hace casi indestructible el password porque normalmente los algoritmos para crear un hash similar utilizan fuerza bruta y para tener mayor éxito se acostumbra usar un set de caracteres comunes, agregar un # o un % por lo general multiplica exponencialmente las variantes, como casi nadie los usa, listo, los "script kiddies" no acostumbran darle importancia. Si elegimos un par como "#=" está bien.

Ahora elegimos 5 valores al azar que sabemos que siempre vamos a recordar, este sería un password clásico, usemos Fabio para dar un ejemplo personalizado

F + (1) + a + (2) + b + (3) + i + (4) + o = ?

Y que nos queda? mezclemos todo

F31ambEvi#=o

Ahora si conocen a un hacker amigo y le preguntan cuanto tiempo estará para sacar un pass de 12 caracteres usando el set completo ASCII los quiero ver, si, como poder todo se puede hacer, pero lo bueno de esto es que ustedes sólo deben recordar, para toda la vida, un sólo algoritmo, no hay necesidad de cambiarlo, si quieren pueden hacerlo mucho más complejo, pero si se olvidan un password apenas tienen que abrir un notepad, volver a hacer las cuentas y listo, sólo conociendo el algoritmo y el dominio, tienen el password.

Y lo más importante es que no hay forma para el atacante de conocer las partes fijas de nuestro algoritmo, yo usé "Fabio" para dar el ejemplo pero pueden usar números al azar, seguiría siendo imposible.

Categoría: Informática Etiquetas:  clave hacking password segura seguridad
Otros posts que podrían llegar a gustarte...

Comentarios

  • Lo acabo de hacer, me dió..... #PeNsASteqU3loIbaApoNer no?

    jajaj Buena recomendación !

    • Responder
    • Citar
    • Comentado:
  • Todo lindo hasta que tenés que loggearte desde el celular y te falta algún caracter especial o por cosas raras de las codificaciones no te lo toma, aún habiendolo escrito bien

    • Responder
    • Citar
    • Comentado:
  • Fabio    

    Adrián Ramiro dijo:

    Todo lindo hasta que tenés que loggearte desde el celular y te falta algún caracter especial o por cosas raras de las codificaciones no te lo toma, aún habiendolo escrito bien


    comprate un celular decente :D o armá tu algoritmo sin caracteres especiales y listo! como lo armás vos podés usarlo como quieras, creá el algoritmo que mejor te siente

    • Responder
    • Citar
    • Comentado:
  • Qué opinión te merece el Motorola MB-502 Charm ? Por mucho Android 2.1 se mama en cada pelotudes! Por ej, un set de caracteres bastante acotado

    • Responder
    • Citar
    • Comentado:
  • Igual el método para crear el algoritmo es bastante bueno, y nerd

    • Responder
    • Citar
    • Comentado:
  • Anon    

    Genial para que todos implementen un metodo asi.

    Un passwd no deducible y cambiarlo periódicamente es el mejor método, porque el mayor problema no es que lo adivinen usando fuerza bruta sino que lo logueen, por mas fuerte que sea el passwd un keylogger lo revela.

    • Responder
    • Citar
    • Comentado:
  • Vivorain    

    La verdad que tengo que dar las gracias. Para alguien como yo que no sabe mucho, o mejor dicho no sabe nada, un post asi es un salvavidas en medio del mar. Siempre estoy cambiando mis claves por las moscas, pero me cuesta crear algo mega seguro. Este dato me viene genial. Voy a ponerlo en practica.

    Muy bueno en verdad! Gracias!

    • Responder
    • Citar
    • Comentado:
  • Fabio    

    Adrián Ramiro dijo:

    Qué opinión te merece el Motorola MB-502 Charm ? Por mucho Android 2.1 se mama en cada pelotudes! Por ej, un set de caracteres bastante acotado


    Acá el review del Charm http://www.tecnogeek.com/verpost.php?id_noticia=1457


    Anon dijo:
    Genial para que todos implementen un metodo asi.

    Un passwd no deducible y cambiarlo periódicamente es el mejor método, porque el mayor problema no es que lo adivinen usando fuerza bruta sino que lo logueen, por mas fuerte que sea el passwd un keylogger lo revela.


    bueno, obviamente contra eso no hay solución más que no usar windows :D


    Vivorain dijo:
    La verdad que tengo que dar las gracias. Para alguien como yo que no sabe mucho, o mejor dicho no sabe nada, un post asi es un salvavidas en medio del mar. Siempre estoy cambiando mis claves por las moscas, pero me cuesta crear algo mega seguro. Este dato me viene genial. Voy a ponerlo en practica.

    Muy bueno en verdad! Gracias!


    con cuidado, que hay que acordarse del algoritmo primero!!! :D

    • Responder
    • Citar
    • Comentado:
  • Alfredo    

    dominio + 2 = "m" ...
    Alfabeto, Alfabeto ) + 2 ]
    :D

    --el obse.

    • Responder
    • Citar
    • Comentado:
  • javo    

    que paja hacer todo ese quilombo

    • Responder
    • Citar
    • Comentado:
  • tucho    

    muy bueno, casi casi como lo explique acá: http://www.fabio.com.ar/verpost.php?id_noticia=4094 GuiñoGuiño

    • Responder
    • Citar
    • Comentado:
  • nbensa    

    apg -m 16 -t


    listo.

    • Responder
    • Citar
    • Comentado:
  • Cattel    

    javo dijo:

    que paja hacer todo ese quilombo


    Armate un excel encriptado que haga el laburo por vos. Ese excel tiene que estar en un pendrive en una caja de seguridad en una ciudad a 100 Km. de tu casa. La llave no conviene que la tengas vos sino tu suegra, pero que no sepa de qué es la llave. Sólo te la podrá entregar si le decís las respuestas a 4 preguntas secretas que solo podés contestar vos y en estado de sobriedad.
    Al excel eso sí, ponele una clave fácil porque sino no lo vas a poder abrir.

    • Responder
    • Citar
    • Comentado:
  • Ya que estamos con esto, sé que no está en castellano, pero está piola:
    https://www.grc.com/haystack.htm

    y el podcast que explica ese link: http://media.grc.com/Padded-Passwords.mp3

    Saludos,
    Rodrigo.

    • Responder
    • Citar
    • Comentado:
  • O.O . . . . esta buenisimo, pero q laburo!!!!
    como minimo, un año llevando un papelito en la billetera con el algoritmo jajajaja

    ahora, la posta, vos haces eso??

    • Responder
    • Citar
    • Comentado:
  • elYako    

    ¡Algoritmo las pelotas!, como diría Adelina.
    Mientras las pass sigan extrayéndose de la tabla ASCII, nada va a ser imposible o complicado.
    Tampoco digo que montemos un scan de retina por cada site web, pero creo que a esta altura, se podría darle una vuelta de tuerca a la cuestión y ver otro método... no sep, digo, vió.

    • Responder
    • Citar
    • Comentado:
  • N3RI    

    comparto con ustedes dos post en los que escribí sobre este tema:
    http://n3ri.com.ar/2010/03/como-crear-una-contrasena-realmente-segura/ acá hablo del método del algoritmo y la palabra-semilla y doy varios ejemplos sencillos de algoritsmos que pueden usar, y también hablo de otros métodos y trucos (como usar una frase, reemplazar letras por números, repetir, escribir al revés, y un largo etc)
    http://n3ri.com.ar/2008/12/ideas-para-contrasenas-geeks/ y acá hablo de ejemplos de contraseñas, basados en películas, series, comics, cosas de ciencia y tecnología, bien nardogeek.

    Por cierto, este método del algoritmo, si se les ocurre un buen algoritmo, es súmamente seguro, y es el que uso yo como siempre digo: "ni siquiera yo sé mis contraseñas", porque realmente no las sé, sé el algoritmo y la semilla, pero no sé (ni necesito saber) la contraseña generada.

    • Responder
    • Citar
    • Comentado:
  • N3RI    

    Fabio dijo:

    Adrián Ramiro dijo:
    Todo lindo hasta que tenés que loggearte desde el celular y te falta algún caracter especial o por cosas raras de las codificaciones no te lo toma, aún habiendolo escrito bien


    comprate un celular decente :D o armá tu algoritmo sin caracteres especiales y listo! como lo armás vos podés usarlo como quieras, creá el algoritmo que mejor te siente


    el otro problema es que hay páginas que no te aceptan caracteres especiales, sólo letras y números (cof cof taringa cof cof) y entonces tenés que tener un algoritmo con caracteres especiales (que es super seguro) y otro algoritmo casi igual sin caracteres especiales... y después no te acordás en qué página va cuál jajaja

    • Responder
    • Citar
    • Comentado:
  • N3RI    

    para los que se quejan de que es complicado, simplemente piensen algoritmos más sencillos. Siempre usando como palabra semilla, el dominio del sitio, algunos ejemplos (usando Hotmail.com):
    "un 9, un #, y las 2da, 3ra,4ta letras del dominio y una carita feliz" = 9#otm
    "usar las primeras letras de la frase: Estoy entrando a Hotmail que tiene 7 letras en su Nombre" = EeaHqt7lesN
    "usar las vocales del dominio, seguidas de mis números favoritos y un !" = oai678!
    "el dominio escrito 3 veces con un número secreto al final q depende del dominio" = HotmailHotmailHotmail5689
    "la 4ta letra del dominio, un número de 4 cifras, y puto si es .com; trola si es .com.ar y gay si es otra cosa" = m2356puto
    "si termina en vocal, caca, sino, pis + culo si empieza con vocal, teta sino + la 2da letra 3 veces" = pistetaooo

    como ven, se les pueden ocurrir miles de algoritmos sencillos de recordar, pero que el que encuentra una contraseña, no pueda entrar a los otros lugares.

    • Responder
    • Citar
    • Comentado:
  • Joaquin    

    Lo usaria ... Si tuviera algo importante ! Por ahora sigo con mis claves de mierda que hasta ahora nadie me las saco.

    La unica clave "dificil" que tengo es la de paypal y me la olvido cada 2 x 3

    • Responder
    • Citar
    • Comentado:
  • Vivorain    

    Fabio dijo:

    Vivorain dijo:
    La verdad que tengo que dar las gracias. Para alguien como yo que no sabe mucho, o mejor dicho no sabe nada, un post asi es un salvavidas en medio del mar. Siempre estoy cambiando mis claves por las moscas, pero me cuesta crear algo mega seguro. Este dato me viene genial. Voy a ponerlo en practica.

    Muy bueno en verdad! Gracias!


    con cuidado, que hay que acordarse del algoritmo primero!!! :D


    Jajajaja sisi ^^

    • Responder
    • Citar
    • Comentado:
  • Vivorain    

    N3RI dijo:

    para los que se quejan de que es complicado, simplemente piensen algoritmos más sencillos. Siempre usando como palabra semilla, el dominio del sitio, algunos ejemplos (usando Hotmail.com):
    "un 9, un #, y las 2da, 3ra,4ta letras del dominio y una carita feliz" = 9#otm
    "usar las primeras letras de la frase: Estoy entrando a Hotmail que tiene 7 letras en su Nombre" = EeaHqt7lesN
    "usar las vocales del dominio, seguidas de mis números favoritos y un !" = oai678!
    "el dominio escrito 3 veces con un número secreto al final q depende del dominio" = HotmailHotmailHotmail5689
    "la 4ta letra del dominio, un número de 4 cifras, y puto si es .com; trola si es .com.ar y gay si es otra cosa" = m2356puto
    "si termina en vocal, caca, sino, pis + culo si empieza con vocal, teta sino + la 2da letra 3 veces" = pistetaooo

    como ven, se les pueden ocurrir miles de algoritmos sencillos de recordar, pero que el que encuentra una contraseña, no pueda entrar a los otros lugares.



    Muy bueno en verdad. Puede uno crearse su propio algoritmo y usando datos que varien siempre como el dominio, termina siendo una clave dificil de robar.
    Gracias por los datos! Genial

    • Responder
    • Citar
    • Comentado:
  • yo uso: 1.....1 donde el .... es el nombre del sitio

    • Responder
    • Citar
    • Comentado:
  • Un método menos nerd y complicado:
    1-Pensa en un frase fácil de recordar: "al que madruga dios lo ayuda" (WTF)
    2- Pone solamente las iniciales: "aqmdla"
    3- Agregale dos números y un caracter especial: "aqmdla78:"
    4- Si sos mas extremista le podes agregar algo sobre cada sitio en particular, por ejemplo para Facebook: "aqmdla78:fbook"

    Saludos.

    • Responder
    • Citar
    • Comentado:
  • sechole    

    Fabio, otro metodo es de las tarjetas de coordenadas:
    http://www.passwordcard.org/
    Eso si tenes que estar con la tarjeta en la billetera todo el tiempo.

    Con respecto al tiempo que puede llevarte para reventar una password complicada.
    Existen las Rainbow Tables. que son una estructura de datos que proveen información acerca de la recuperación de contraseñas en texto plano generadas con ciertas funciones hash conocidas.
    http://project-rainbowcrack.com/
    Actualmente soportan los siguientes: LM, NTLM, MD5, SHA1, MYSQLSHA1, HALFLMCHALL, NTLMCHALL, ORACLE-SYSTEM, MD5-HALF
    Lo bueno es que vos podes generarte tus propias rainbow tables para el proposito que quieras. Eso sí, para generarlas necesitas dejar la maquina prendida varios dias dependiendo de la complejidad de la tabla.
    Si necesitas tablas precomputadas, podes bajarte de aca:
    http://www.freerainbowtables.com/

    Ni las Wifi encripatadas con WPA PSK se salvan:
    http://rainbowtables.shmoo.com/95896A255A82D1FE8B6A2BFFC098B735058B30D7.torrent
    Aca tenes una super tabla precomputada para los 1000 ESSIDs mas conocidos

    saludos

    • Responder
    • Citar
    • Comentado:
  • Son unos paranoicos! yo uso boby (el nombre de mi perro) y 123456
    todo junto boby123456
    si la quiero hacer mas copada como la de mastercard, pongo "soyunperseguido" y cambio las letras parecidas a los numeros por el numero que se le parece visualmente hablando, claro.
    "s0yunp3rs3gu1d0" si quieren al final le ponen un caracter rompe bolas como $#% y listo! pass para paranoicos al instante

    • Responder
    • Citar
    • Comentado:
  • Jauna    

    N3RI dijo:

    para los que se quejan de que es complicado, simplemente piensen algoritmos más sencillos. Siempre usando como palabra semilla, el dominio del sitio, algunos ejemplos (usando Hotmail.com):
    "un 9, un #, y las 2da, 3ra,4ta letras del dominio y una carita feliz" = 9#otm
    "usar las primeras letras de la frase: Estoy entrando a Hotmail que tiene 7 letras en su Nombre" = EeaHqt7lesN
    "usar las vocales del dominio, seguidas de mis números favoritos y un !" = oai678!
    "el dominio escrito 3 veces con un número secreto al final q depende del dominio" = HotmailHotmailHotmail5689
    "la 4ta letra del dominio, un número de 4 cifras, y puto si es .com; trola si es .com.ar y gay si es otra cosa" = m2356puto
    "si termina en vocal, caca, sino, pis + culo si empieza con vocal, teta sino + la 2da letra 3 veces" = pistetaooo

    como ven, se les pueden ocurrir miles de algoritmos sencillos de recordar, pero que el que encuentra una contraseña, no pueda entrar a los otros lugares.


    bueneeeesemo!! :D

    • Responder
    • Citar
    • Comentado:
  • Josem    

    Esto se usa desde hace un tiempo en el ambiente unix, tengo la oportunidad de dictar algo de encriptación en una materia de la Universidad, asi que lo uso en forma personal y recomiendo su uso. Un extra: hay que agregar al algoritmo algo ligado a la fecha porque hay muchos sitios (sobre todo los bancos) que piden que cambies el password periodicamente y (oh casualidad!) no podes repetir ninguno de los 12 anteriores o sea que el mes entra a jugar en algun lugar del algoritmo.

    • Responder
    • Citar
    • Comentado:
  • Seb@    

    WTF! cada vez que quiero entrar al a pagina tengo que aplicar el algoritmo??? obviamente no me las voy a acordar de memoria
    muuuy engorroso

    • Responder
    • Citar
    • Comentado:
  • RodolfoGS    

    Yo utilizo un programa para almacenar mis contraseñas, y en la mayoria de sitios en que me registro genero una contraseña random con numeros, letras, simbolos y cualquier porqueria de 25 caracteres
    De esa forma en todos los sitios tengo contraseñas diferentes que ni yo se cuales son.

    El problema. Necesito mi programa para poder loguearme, pero nunca me pasa. Siempre que me logueo en algun lado estoy en mi computadora, si uso una maquina que no es mia no me logueo en nada.

    Las contraseñas que sí conozco son muy pocas, que se que puedo llegar a necesitar como la del email. Todavia me da la cabeza para recordar tres o cuatro contraseñas :P

    • Responder
    • Citar
    • Comentado:
  • cerebrity    

    Creo que muchos no toman consciencia de la importancia de un buen password.
    Incluso no hay que confiar ni en un amigo online, jamás! No es ser perseguido... es darse cuenta que cada vez tenemos más información en la red. Lo mejor es un servicio de doble autorización como tiene gmail Guiño
    (( es configurable y gratuito ))

    • Responder
    • Citar
    • Comentado:

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https
Para evitar bots, si se tardó mucho en leer la nota seguramente no sirva y tenga que intentar dos veces

Negrita Cursiva Imagen Enlace


comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador