Les contrasenyes de menys de vuit caràcters es poden desxifrar en una hora

Les contrasenyes que tenen menys de vuit caràcters poden desxifrar-les els hackers en menys d'una hora, mentre que les que tenen dotze combinant majúscules, minúscules, números i símbols podrien trigar 3.000 anys a esbrinar-la.

Així ho adverteix, amb motiu del Dia Internacional de la Contrasenya que se celebra demà dilluns, 2 de maig, el professor d'Informàtica, Multimèdia i Telecomunicació de la Universitat Oberta de Catalunya (UOC), Jordi Serra, que aconsella utilitzar claus més complicades per a augmentar la seguretat dels accessos al banc, al correu, a l'ordinador o a les xarxes socials.

Serra esmenta un recent estudi de la companyia de seguretat cibernètica Hive Systems que afirma que les contrasenyes amb menys de dotze caràcters es poden hackejar a l'instant si només contenen números, cosa semblant al que passa en el cas que només estiguin formades per lletres minúscules .

Segons Serra, l'extensió i la combinació recomanades per estar prou protegits sense haver de comptar amb una gran memòria per recordar-la és a partir de deu caràcters.

«Si hi ha números, lletres i símbols especials com +, -, (, $, @, €... , a partir de deu caràcters ja es considera que, amb els ordinadors actuals, el temps necessari per trobar la contrasenya, si no és una paraula coneguda, n'hi ha prou per no perdre el temps intentant-ho», explica el professor.

«Si és a partir de paraules que són al diccionari, no és molt rellevant la longitud -aclareix-. Hi ha eines que proven combinacions de paraules conegudes afegint també dates. Per a la resta, el que es fa és crear combinacions de lletres i números , i anar provant. Com més lletres tingui, més combinacions possibles s'hauran de provar fins a trobar la bona».

En qualsevol cas, diu que és bona idea no utilitzar les més freqüents que, segons l'estudi anual de NordPass, a Espanya són la combinació de números 12345, seguit de 123456 i 123456789.

Aquest mateix estudi ofereix altres dades curioses sobre les contrasenyes, per exemple que a la posició 10 es troba «barcelona»; a la 12, «Espanya»; a la 16, «alejandro», i a la 18, «tequiero».

L'estudi també revela que a Espanya i als països llatinoamericans el nom de l'equip de futbol preferit tampoc no és una bona opció, ja que figura a la cinquena posició en algunes regions.

Entre les contrasenyes més utilitzades a escala mundial, a més de les combinacions numèriques que també apareixen a les primeres posicions a Espanya, la primera fila de lletres del teclat d'ordinador és la favorita: la combinació «qwerty» ocupa el quart lloc i el següent lloc de la llista ho ocupa «password».

Un futur sense contrasenyes?

Tot i que fa anys els experts en ciberseguretat van predir un futur sense contrasenyes, avui la majoria augura llarga vida per a les claus en considerar-les molt segures si se segueix la màxima de crear-la combinant símbols, números i lletres amb prou extensió.

Tot i això, Serra puntualitza que no és l'únic mètode d'identificació i que actualment n'hi ha almenys tres.

«Un d'ells és el que sabem (contrasenyes), un altre és el que som (biometria, empremta dactilar...), i el tercer, el que tenim (un dispositiu únic on enviar un codi)», detalla, el professor , que es decanta pel dispositiu únic com el més útil.

«Si podem assegurar que no se'ns dupliquen aquests dispositius, o els roben, és segur enviar un codi únic d'accés. El problema és la usabilitat, ja que cal tenir-lo a mà cada vegada que es vulgui entrar en un servei, per això que és poc usable», explica.

Pel que fa a la biometria, fins ara s'ha descrit com a única perquè no s'ha pogut demostrar que hi hagi dues persones amb la mateixa empremta dactilar, però el problema amb aquest mètode d'identificació és que s'obtinguin les dades associades a la biometria.

En aquest cas, «no podríem canviar aquesta característica del nostre dit per canviar-ne l'accés, i només tenim deu dits», diu l'expert.

Finalment, hi ha les contrasenyes, «que, si bé són les més febles, són les més versàtils i fàcils d'usar. Únicament cal utilitzar-les bé», adverteix.

La recomanació de Jordi Serra és «si volem posar-ho difícil a qui intenti hackejar els nostres accessos, el millor és activar, si es pot, el segon factor d'autenticació, és a dir, fer servir dos dels tres sistemes d'identificació. El més habitual és la contrasenya i el codi únic al mòbil alhora», però sempre que dediquem una mica de temps a crear una contrasenya «difícil» que contingui més de deu caràcters amb lletres, números i caràcters especials.