Y las peores contraseñas del 2016 son…

Este mes se ha presentado un artículo, como cada año, que refleja un estudio de las peores contraseñas de 2016. Si nos atenemos a los datos, no deja de ser preocupante y hasta cierto punto incomprensible que un 17% de las contraseñas que se han filtrado en brechas de datos o estudios internos sigan siendo 123456. Pero peor aún es el hecho de que los webmasters y administradores siguen sin forzar políticas de buenas prácticas en la materia.

Algunas observaciones

Desde Keeper Security se ha analizado la friolera de 10 millones de contraseñas que han sido filtradas por culpa de fugas de información. Veamos algunas conclusiones extraídas por ellos:

• La lista de contraseñas más utilizadas ha variado sustancialmente en los últimos años. Esto significa que la educación al usuario tiene una limitada efectividad. Aunque es importante informalos y concienciarlos, una «gran minoría» nunca sentirá la necesidad de invertir esfuerzos en protegerse o proteger los activos de la empresa. Es decir, son los administradores web y de sistemas quienes deben asegurar su cumplimiento.
• 4 de cada 10 contraseñas en la lista -y 7 de ellas en el top 15- son contraseñas de 6 caracteres o incluso menos. Esto debe evitarse a toda costa porque sin importar su composición, tal longitud es fácilmente «hackeable» mediante ataques de fuerza bruta. No se deben permitir estas credenciales.
• La  presencia de contraseñas como “1q2w3e4r” y similares indica que ciertos usuarios intentan utilizar patrones impredecibles para aumentar la seguridad de las contraseñas, pero este tipo de esfuerzo es insuficiente. Los ataques basados en diccionario ahora se fijan también en variaciones secuenciales de teclas. Es decir, seguimos hablando de contraseñas que se pueden derribar en menos de 1 minuto.
• Los proveedores de email no parecen haberse tomado demasiado en serio la prevención de Spam en sus servicios. Expertos como Graham Cluley creen que la presencia de contraseñas «aparentemente» aleatorizadas como «18atcskd2w» en la lista indica que los bots utilizan estos códigos una y otra vez para dar de alta cuentas falsas en servicios de email públicos, para llevar a cabo ataques de Spam y Phishing. Los proveedores deberían bloquear este tipo de actividades y cuentas con contraseñas repetidas de este tipo.

Las peores contraseñas del 2016

Conclusiones

Podemos hartarnos de criticar la «pereza crónica» del usuario final para emplear contraseñas seguras, más que nada porque les interesa más que a nadie. Pero la realidad es que la mayor responsabilidad la tienen los proveedores de servicio y empresas, que fallan al establecer políticas de complejidad y no-repudio de contraseñas de forma alarmante.