Las contraseñas consideradas más débiles son las más comunes, ya que en un ataque de fuerza bruta siempre serán las primeras que se probarán. Revisando un poco esta lista de 500 contraseñas más comunes, podríamos agruparlas en los siguientes grupos:
-
Las contraseñas numéricas, como ‘123456’.
-
Palabras malsonantes, como ‘fuck’ o ‘pussy’.
-
Nombres propios de personas, coches, equipos de fútbol, etc.
-
Otras palabras que tienen relación con los ordenadores o la identificación, como ‘password’, ‘qwerty’ o ‘letmein’.
-
Palabras comunes como ‘freedom’ (libertad) o ‘yellow’ (amarillo).
En resumen, parece bastante lógico elegir contraseñas que no tengan ningún significado aparente, pero que al mismo tiempo nosotros seamos capaces de recordar.
En Diciembre de 2009, 32 millones de cuentas de usuario de un servicio RockYou.com fueron filtradas por una grave vulnerabilidad. Un análisis de las contraseñas de este servicio reveló que la mayoría de usuarios emplean contraseñas únicamente en minúsculas o únicamente en mayúsculas, lo cual las hace más vulnerables.
El mismo documento también recoge algunas recomendaciones realizadas por la NASA para la elección de contraseñas:
-
Que al menos tenga 8 caracteres.
-
Mezclar mayúsculas, minúsculas, números y caracteres especiales.
-
Que no sea un nombre, una palabra malsonante o cualquier palabra de un diccionario.
-
No debe incluir parte de tu nombre o dirección de correo.
Yo además haría dos recomendaciones más:
-
Cambiarla cada poco tiempo, sobre todo sin las hemos introducido en ordenadores ajenos
-
No utilizar siempre la misma para todos los servicios. Al introducir nuestra contraseña en un sitio web, estamos confiándosela a los administradores de dicho sitio, que pueden ser atacantes o pueden estar almacenándola en texto plano.
El listado de las 500 contraseñas más comunes está sacado del libro ‘Perfect passwords: selection, protection, authentication’. Voy a echarle una ojeada porque parece bastante interesante.