Gizmodo publicó una lista de las contraseñas más populares de 2014, tildando de “imbéciles” a quienes configuran claves y contraseñas de forma inadecuada. Irónicamente, esta empresa es propiedad de Gawker Media, un site insigne que detalló las peores prácticas de gestión de contraseñas en el 2010, cuando ciber criminales comprometieron las redes de Gawker y descifraron alrededor de 200.000 contraseñas terribles. ¿No sería interesante comparar al objeto de desprecio actual de Gizmodo con la cantidad de lectores que tenía para el año mencionado?
Curiosamente, 16 de las 25 contraseñas más populares (y ende, ineficaces) de este año fueron también citadas en la lista de Gawker Data Breach de 2010. Si nos fijamos en las 50 contraseñas comunes reveladas en el estudio, se aprecian solo cuatro nuevas contraseñas que no fueron incluídas en ambas listas. Así que si tu contraseña es “access” o “mustang” o “696969”, seguramente estás dando mejor en el clavo que la mayoría de la gente.
Poco ha cambiado del estudio @Gawker #Breach en comparación con la lista de malas #contraseñas de este año
La lista, elaborada por la empresa de seguridad SplashData, incorpora en sí credenciales con fugas de datos del año. A continuación se detalla una de estas listas juntas cada año, así como los ascensos y descensos junto con cada contraseña. He colocado un asterisco al lado las contraseñas presentadas en el top 50 de Gawker:
- 123456 (Sin cambios)*
- password (Sin cambios)*
- 12345 (Subió 17)*
- 12345678 (Bajó 1)*
- qwerty (Bajó 1)*
- 123456789 (Sin cambios)
- 1234 (Subió 9)*
- baseball (Nuevo)*
- dragon (Nuevo)*
- football (Nuevo)*
- 1234567 (Bajó 4)*
- monkey (Subió 5)*
- letmein (Subió 1)*
- abc123 (Bajó 9)*
- 111111 (Bajó 8)*
- mustang (Nuevo)
- access (Nuevo)
- shadow (Sin cambios)*
- master (Nuevo)*
- michael (Nuevo)*
- superman (Nuevo)*
- 696969 (Nuevo)
- 123123 (Bajó 12)*
- batman (Nuevo)*
- trustno1 (Bajó 1)*
Es interesante ver que el 80% de las contraseñas que figuran como “nuevas” estuvieron dentro de las 50 mejores contraseñas de Gawker hace más de cuatro años. También, que “123456789” no es nueva en la lista de SplashData, si bien no aparece en el top 50 de las más infames de Gawker.
The 25 most popular passwords of 2014 are a reminder that we're all morons: http://t.co/uIT1t3dYRG pic.twitter.com/JhDByxjWep
— Gizmodo (@Gizmodo) January 20, 2015
Para ser justos, las contraseñas de Gawker estaban encriptadas. Lo que sucede es que 188.000 de ellas fueron concebidas tan pobremente que resultó fácil descrifrarlas en sus propios hastags. Encriptar el lugar donde se almacenan las contraseñas es un requerimiento básico en términos de seguridad. Lo que aprendimos del hackeo de Gawker es que, incluso, los “supuestos” expertos en tecnología pueden llegar a ser muy malos gestores de contraseñas.
¿La moraleja? no es ni nueva ni reveladora: En líneas generales, los usuarios no solo suelen crear contraseñas inadecuadas; son también ignorantes de la seguridad digital. Esta es la razón por la cual las industrias de la tecnología y seguridad tienen que tomar estos asuntos con sus propias manos. No es viable culpar a los usuarios por la vulneración de datos de la misma forma que a quienes inspiraron a esta lista, ni a quienes maniobraron la filtración de miles de fotos privadas de celebridades.
Les puedo decir algo que ya dije en su momento: cómo crear contraseñas seguras. En realidad no es algo del otro mundo. La mayoría de las personas entiende más o menos sus beneficios así como los riegos asociados. Sin embargo, es nuestro deber recordarlo: solemos ser demasiado perezosos al momento gestionar contraseñas seguras.
Es por ello que iniciativas como “Digits” (de Twitter) y TouchID (de Apple), así como otros esquemas de dos factores y los biométricos basados en SM, son tan prometedores. Sabemos que no son perfectos, pero ofrecen la oportunidad de experimentar con nuevas formas de autenticación.