Estamos acostumbrados a que cada servicio en Internet tenga una contraseña. Las hay para entrar a nuestro servidor de correo, hotmail, yahoo, gmail e incluso, desde luego, al que usamos con frecuencia que puede ser bajo un dominio particular. Estamos tan hartos de que en cada sitio que me registro me pidan que al darme de alta dé una contraseña, responda a una pregunta secreta, etcétera, que lo que empezamos a hacer es usar siempre la misma contraseña y el mismo nombre de usuario. El problema es que en algunos sitios nos obligan a poner números y letras, caracteres especiales, etcétera. El peor de los ejemplos, un sitio de la UNAM que permite a académicos y estudiantes poder hacerse del software de Microsoft legalmente y que para ello insisten en que tengas una cuenta con una contraseña infame, imposible de recordar. Vamos, así de segura es.
Por ello, la gente se harta de tanta contraseña y comienza a usar algunas que son triviales, 123abc, «notedigo» e incluso «password» como contraseña. (la supuesta gracia de la contraseña «notedigo» es que si alguien te pregunta tu contraseña, se la puedes decir y ya estará en el receptor si entendió el truco o se enojó porque no se la quieres decir). No falta quien a través de ingeniería social intenta descubrir las contraseñas de los usuarios, por ejemplo, la novia o novio, la cuenta del marido, etcétera. A todos nos gusta finalmente fisgonear en los datos de otros, y quien me diga que no sabe que miente.
¿Cuáles serán las contraseñas más usadas? La empresa Imperva realizó un estudio en donde Amichai Shulman y sus asociados examinaron una lista de 32 millones de contraseñas que un hacker anónimo sustrajo del sitio RockYou, una compañía dedicada a elaborar programas para usuarios en redes sociales como Facebook o Twitter. El análisis reveló que cerca del 1% de los 32 millones de usuarios tenían estas contraseñas: «123456», «123456789», «12345», «1234567», «password», «iloveyou», «princess», «rockyou» y «abc123».
Esto significa que un pirata muy limitado podría tener acceso a una nueva cuenta cada segundo o a 1000 cuentas cada 17 minutos, según indican los responsables del estudio. Cabe señalar que muchas contraseñas no pueden probarse continuamente, porque hay sitios que no permiten esta actividad si uno se equivoca tres o cuatro veces al introducir la contraseña. Otros sitios -si uno introduce una contraseña equivocada- no permiten intentarlo nuevamente sino hasta después de una cantidad de segundos, que se va incrementando si el usuario vuelve a poner una contraseña equivocada. Y qué decir del iPad o los dispositivos de Apple, que cuando uno se equivoca el número de veces que los de la manzana decidieron como máximo, le bloquean el aparato en cuestión. Así pues, aunque la cuenta que uno use sea relativamente común, el potencial hacker tendría que darle a la primera o segunda oportunidad. Digamos que hay todo tipo de enfoques para intentar resolver el problema de hackeo de claves.
Hay que aclarar que es una mala idea que un sitio tenga en un archivo las contraseñas sin encriptar. Por ejemplo, Unix encripta las contraseñas y eso es lo que está guardado. Cuando alguien alimenta una contraseña para entrar al sistema, éste la encripta y la compara con la que tiene en su archivo para ver si da la autorización para entrar o no. No existe -de hecho- manera fácil de decodificar una contraseña en Unix y tan es así que el archivo de passwords es público.
Básicamente el asunto de las contraseñas debería contemplarse con seriedad en lo que se refiere a sitios como de banca en línea, en donde podría estar en riesgo -digamos- nuestro dinero si alguien entra a nuestra cuenta sin la autorización correspondiente, pero digamos que para la cuenta de correo personal, tampoco parece muy grave el no tenr una contraseña a prueba del más poderoso hacker en el planeta. Yo al menos no lo veo tan grave. Pero, usted, lector/lectora de unocero, ¿qué piensa?