Esta es una idea que ha estado dando vueltas por mi cabeza por algún tiempo. Ahora que tengo un blog, puedo finalmente compartirla con ustedes.
Por años, administradores de sistemas y usuarios precavidos se han visto en la necesidad de crear passwords largos y complicados para evitar los ataques de adivinación de passwords. Sin embargo, esos passwords son por lo general complicados y difÃciles de memorizar.
Hay alguna manera de crear un password seguro, fácil de recordar, y que sea invulnerable a la mayorÃa de los ataques? SÃ!, gracias a algo que llamo ‘password compuesto’
Es muy simple, pero a la vez increÃblemente poderoso.
Básicamente, el password compuesto es una juxtaposición de 2 palabras simples, con sus letras alternadas. Por ejemplo, pgeartroo es un password compuesto. Puedes ver dos palabras ahi?
Las 2 palabras en el password compuesto son ‘gato’ y ‘perro’. Para generar el password, ‘gato’ es “insertado†en ‘perro’. Pero que me dicen acerca de recordar este password??
Para los no iluminados, esto luce definitivamente como un password difÃcil de memorizar generado aleatoriamente. Pero recuerden, esto no es más que la juxtaposición de dos simples palabras. Con este sencillo truco de escritura lo único que necesitarás recordar serán tus 2 palabras para poder escribir el password. Veamos lo siguiente:
(El caracter | representará el cursor parpadeante que aparece en cualquier cuadro de escritura, lo pongo aqui sólo para que la explicación sea más clara)
1. Escribe la primera palabra gato|
2. Mantén apretada la tecla de flecha izquierda para que te coloques al principio de la palabra |gato
3. Escribe la primera letra de la segunda palabra y oprime la tecla derecha una vez p|gato
4. Escribe la segunda letra de la segunda palabra y oprime la tecla derecha una vez pge|ato
5. Repite el paso 4 hasta que hayas introducido completamente la segunda palabra. pgeartroo|
Y listo! Ahora ya tienes un muy seguro password compuesto! Ahora veremos algunas de las técnicas para obtener passwords, y como el password compuesto logra evitarlas:
*Brute Force (fuerza bruta): La razón más común por la que los administradores recomiendan a los usuarios a elegir passwords extensos con letras y números, es para evitar los ataques brute force, los cuales tratan todas las combinaciones posibles de letras y números para adivinar el password. Mientras más largo sea el password, la memoria que requiere la máquina para adivinar el password aumenta de manera considerable. Claro, pgeartroo tal vez sea fácilmente adivinado por un ataque bruteforce, pero que me dicen de bguesohrgew (georgew bush)?
* Diccionario: Una variante del ataque brute force la cual consiste en tratar de adivinar el password comparando palabras de un diccionario/wordlist predefinido. Esta mejora o variante de este ataque tampoco podrá adivinar nuestro password compuesto, porque este tipo de passwords no se encuentran en los diccionarios o wordlists.
* Adivinando el password: Si alguien al azar decide probar el password pgeartroo, ese alguien deberÃa dejar el hacking e ir directo a reclamar el premio Randi 
.
Con un poco de imaginación, incluso las herramientas más avanzadas de obtención de passwords pueden ser burladas.
* Keyloggers: Algunos troyanos y keyloggers tienen la capacidad de registrar y grabar cada tecla oprimida por el usuario. Sin embargo, los keyloggers no registran los clicks del mouse. Si eres un tanto paranoico y tienes miedo de los keyloggers, simplemente reemplaza cada flecha oprimida en el teclado con un click del mouse, escribe tu primera palabra, dale click al inicio del cuadro de texto, etc. El keylogger sólo capturará las teclas que tu presiones, por lo cual registrará algo como esto: gatoperro, ni siquiera cerca a tu verdadero password! Absolutamente genial y útil para computadoras de acceso público.
* Shoulder Surfing Shoulder (algo asi como mirar por encima del hombro): Esta ‘técnica’ simplemente consiste en que el atacante se para detrás de ti, y mira las teclas que presionas en el teclado cuando escribes tu password. Sin embargo, el 99% del tiempo, el no observará las teclas de flecha que estás presionando (o los clicks del mouse). Simplemente pon una mano sobre las flechas del teclado y disimuladamente las presionas mientras escribes tu password con la otra mano.
Los passwords compuestos no son una solución mágica a todos los riesgos posibles. Ellos no te protegerán de los ataques de phising o bases de datos comprometidas. Pero sin duda son una manera fácil de generar passwords seguros y fáciles de recordar.
Actiualización desde que aparecà en Digg: Era de esperarse que con el enorme impacto que provocan los diggers, inevitalemente algunas crÃticas han surgido. Señores! pgeartroo es sólo un ejemplo! Elegà esas palabras para el password, para hacer más sencilla la demostración!
Un verdadero password deberá tener palabras más largas y caracteres especiales y serÃa algo asi como: edfiegcgt!o (digg effecto). Mejor?
ArtÃculo original de: NeoMeme
Traducido y adaptado por h3ll0! para Digitalz.org