Un ataque que pueden hacer ciberdelincuentes se llama "ataque de diccionario".

Este tipo de ataques utilizan BBDD filtradas de contraseñas de anteriores brechas de seguridad para tratar de obtener acceso en servicios y aplicaciones donde la gente haya usado las mismas contraseñas.

Una contraseña fuerte, que además sea única (no la uses para otros servicios) es estadísticamente menos probable que genere problemas si eventualmente se filtra.

Adicionalmente, una contraseña fuerte te dará un nivel de entropía alto. Estos significa que será larga, tendrá símbolos, números y mayúsculas y minúsculas, lo cual la hace también más resistentes a los ataques de fuerza bruta.

Como consejo, cuanto más larga mejor.

La contraseña "EldomingoMegustaComerColinesConTomate" es mucho más fuerte, y fácil de recordar que "P4ssW0rd", que de hecho está en la mayoría de diccionarios de fuerza bruta.

Una contraseña fuerte suele ser una contraseña difícil de intuir, recuperar o atacarla por fuerza bruta hasta que se consiga saberlo. La valoración de que sea fuerte o débil depende de cada página o sistema de control y lo que en una puede ser fuerte, en otra puede ser débil, pero vamos al grano.

Si tú tienes un coche con un mando a distancia para abrirlo, como es lo habitual y luego dentro del coche tienes otro mando para poner la radio, ¿cuál de los dos mandos te gustaría que estuviera protegido contra intrusiones o copias?

Tampoco es que sea necesario poner una contraseña fuerte en una página de una inmobiliaria, por ejemplo.

Por eso pondremos contraseñas fuertes o más bien difíciles de averiguar en sitios donde nos preocupe que alguien pudiera entrar en nuestro nombre, bancos, páginas de compras, información personal, medicina, etc.

Y por último está que si tantas contraseñas tenemos entre fuertes y débiles, como acordarnos de ellas, para eso están los llaveros o los Passwords o los gestores de contraseñas que deben estar protegidos siempre por una contraseña fuerte, muy fuerte, para que se pueda evitar que alguien entre y conozca las débiles y las fuertes.

 

Con la potencia de cálculo que tenemos hoy en día es sencillo sacar claves por fuerza bruta.

Imaginemos que ciframos con contraseña un archivo .zip para enviarlo a un contacto. Si usamos una fecha de nacimiento, 8 dígitos numéricos, como contraseña, tenemos 100 millones de posibles combinaciones. Cualquier PC moderno es capaz de sacar la clave en un segundo o menos. Una clave de 8 caracteres con mayúsculas, minúsculas, números y caracteres especiales llevaría a ese mismo ordenador hasta 2,5 años romper la clave.

Si esa clave compleja de 8 caracteres pasase a tener 9 caracteres, el tiempo subiría hasta los 240 años.

Con 12 caracteres la cosa subiría hasta los 220.000.000 años. Si se trata de un servicio online es más lento y puede haber medidas para evitar que un mismo usuario haga demasiados intentos fallidos, pero no debemos confiar en eso. Además, existen listados de las claves más usadas y tablas Rainbow con claves pre computadas que aceleran algunos de estos procesos.

También es muy importante tener claves diferentes en cada servicio que utilicemos, y siempre que sea posible usar un segundo factor de autentificación, Passkeys, llaves hardware como las Yubikey, etc.