Es recomendable utilizar contraseñas largas y complejas porque aumentan significativamente la seguridad de tus cuentas y datos personales frente a los ataques de los ciberdelincuentes. Aquí hay algunas razones clave y qué métodos utilizan.

Ataque on-line de la contraseña: ataque de fuerza bruta y con diccionario de claves

Es un método dónde el atacante utiliza un programa informático todas las combinaciones posibles y las palabras presentes en dicho diccionario.

Dificultad para adivinar:

Contraseñas largas y complejas hacen que sea más difícil para los atacantes adivinarlas mediante métodos como fuerza bruta (probar todas las combinaciones posibles) o ataques de diccionario (usar palabras comunes de base de datos de diccionarios con las contraseñas más utilizadas). Cuantas más combinaciones posibles haya, más tiempo les llevará a los atacantes encontrar la contraseña correcta.

Mayor entropía:

La entropía es una medida de la cantidad de aleatoriedad en una contraseña. Cuanto más larga y compleja sea una contraseña, mayor será su entropía, lo que la hace más resistente a los ataques de fuerza bruta y a las técnicas de adivinanza.

Protección contra ataques de diccionario:

Las contraseñas complejas suelen incluir combinaciones de letras mayúsculas y minúsculas, números y caracteres especiales, lo que las hace menos susceptibles a ataques de diccionario, donde un atacante intenta utilizar palabras comunes o combinaciones predecibles.

En los últimos tiempos, los ataques on-line de las contraseñas son menos efectivos gracias a tácticas y métodos que utilizan las aplicaciones y sitios web en caso de introducir varias contraseñas erróneas a la hora intentar logarse.

Ataque off-line de la contraseña:

Puede que un sitio web dónde estés registrado se vea comprometido y se filtren sus datos, entre ellos su contraseña. Esa contraseña en la base de datos es almacenada de forma encriptada (hash), es complejo que se descifre el hash (hashcat) ya que este en teoría es irreversible, pero no es imposible.

Debes saber que el éxito de Hashcat depende en gran medida de la complejidad de la contraseña que se intenta descifrar

Descifrar contraseñas usando Tablas Rainbow:

En el caso de que se produzca una violación de datos y las contraseñas almacenadas se vean comprometidas, las contraseñas complejas dificultan la tarea de los atacantes al hacer que sea más difícil descifrarlas.

En la siguiente captura se puede apreciar una tabla RainBow

• La columna Algorithm indica que nos referimos a hashes NTLM (los que usa Windows).
• bulletCharset indica los símbolos del teclado que pueden usarse en cada carácter de la contraseña. Para ascii32-95 son:!»#$%&'()*+,-./0345456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\] ^_`abcdefghijklmnopqrstuvwxyz{|}~
• bulletPlaintext Length es la longitud máxima de la contraseña, que en este caso es 8 caracteres.
• bulletEl Key Space es la cantidad de combinaciones que se pueden dar para los caracteres que forman la contraseña.
• bulletSuccess Rate es el porcentaje de éxito para obtener la contraseña a partir del hash proporcionado.
• bulletTable Size es el tamaño de la base de datos que tendrías que descargar para poder reventar los hashes desde tu equipo.

Como se puede apreciar en la tabla, cualquier contraseña de hasta 8 caracteres se puede descifrar a través de su hash. Por esta razón es muy importante utilizar contraseñas de al menos 11 caracteres.

Estas tablas Rainbow y diccinarios de contraseñas son comercializadas en la DarkWeb