Las típicas recomendaciones para una contraseña segura son:
- que sea larga: al menos 16 caracteres,
- que tenga números,
- que tenga mayúsculas y minúsculas,
- que tenga caracteres especiales (¿?!#&…),
- que no tenga palabras del diccionario,
- que no tenga fechas destacadas,
- que no tenga información personal,
- que no tenga información del servicio para el que estas creando la contraseña.
Fuente: https://en.wikipedia.org/wiki/Password_policy
Entonces llega el momento de hacerse una cuenta y está bastante difícil ponerse creativa con todas estas limitaciones, incluso para las personas que estamos concienciadas con la importancia de una buena contraseña.
Si se trata de contraseñas que no tienes que recordar, pues lo mejor es usar un gestor de contraseñas como keepassxc que te las puede generar y almacenar, pero ¿qué pasa cuando es una contraseña que si tienes que recordar? Como la del correo, la de cifrado del disco de la computadora o la del propio gestor de contraseñas.
En Security in a box se recomienda usar “frases de contraseña”, es decir, usar una frase en vez de una palabra para una contraseña. Nos muestran esta reveladora tabla:
| Ejemplo de contraseña | Número de combinaciones | Tiempo para descifrar |
|---|---|---|
| Morada | 9,000 | Inmediato |
| AlfombraMorada | 79 millones | Menos de un día |
| AlfombraMoradaSalto | 699 mil millones | Menos de un día |
| AlfombraMoradaSaltoGaraje | 6,000 trillones | Cuatro días |
| AlfombraMoradaSaltoGarajeTinte | 55 millones de trillones | Casi un siglo |
| AlfombraMoradaSaltoGarajeTinteR4ro | 488 billones de trillones | 7,695 siglos |
Estas tablas se basaron en cálculos de http://www.passfault.com/. Fuente https://securityinabox.org/es/guide/passwords/.
Como se puede ver, contraseñas con 5 palabras del diccionario pueden ser muy fuertes. Parece que hay una corriente que propone usar este tipo de contraseñas en vez de contraseñas con números, caracteres especiales y otras cosas difíciles de recordar pero cortas.
Se propone usar un “diceware” para elegir palabras aleatorias, que consiste en usar 5 dados para escoger palabras de una lista. Aquí explican un ejemplo de como hacerlo https://www.eff.org/dice.
Me pregunto si no se podría usar un libro abriendo páginas al azar u otro tipo de documentos con texto.
Como conclusión, parece que usar frases como contraseñas que contengan mas de 5 palabras aleatorias (siendo las palabras de mas de 4 caracteres) es seguro.
Comprobé la contraseña “AlfombraMoradaSaltoGarajeTinte” en http://www.passfault.com/ y en keepassxc, que tiene un calculador de entropía, y parece que es ¡excelente!