Articulo de referencia

Contraseña

Un campo de contraseña en un formulario de inicio de sesión Una contraseña , a veces llamada código de acceso , es un dato secreto, generalmente una cadena de caracteres, que se...

Un campo de contraseña en un formulario de inicio de sesión

Una contraseña , a veces llamada código de acceso , es un dato secreto, generalmente una cadena de caracteres, que se usa normalmente para confirmar la identidad de un usuario . [ 1 ] Tradicionalmente, se esperaba que las contraseñas se memorizaran , [ 2 ] pero la gran cantidad de servicios protegidos con contraseña a los que accede una persona típica puede hacer que memorizar contraseñas únicas para cada servicio sea poco práctico. [ 3 ] Usando la terminología de las Directrices de Identidad Digital del NIST , [ 4 ] el secreto lo posee una parte llamada reclamante , mientras que la parte que verifica la identidad del reclamante se llama verificador . Cuando el reclamante demuestra con éxito que conoce la contraseña al verificador a través de un protocolo de autenticación establecido, [ 5 ] el verificador puede inferir la identidad del reclamante.

En general, una contraseña es una secuencia de caracteres que incluye letras, dígitos u otros símbolos. Si los caracteres permitidos se limitan a números, la contraseña se denomina a veces número de identificación personal (PIN).

A pesar de su nombre, una contraseña no tiene por qué ser una palabra real; de hecho, una palabra que no sea una palabra (en el sentido del diccionario) puede ser más difícil de adivinar, lo cual es una propiedad deseable en las contraseñas. Un secreto memorizado que consiste en una secuencia de palabras u otro texto separado por espacios se denomina a veces frase de contraseña . Una frase de contraseña es similar a una contraseña en su uso, pero la primera suele ser más larga para mayor seguridad. [ 6 ]

Historia

Las contraseñas se han utilizado desde la antigüedad. Los centinelas exigían a quienes deseaban entrar en una zona que proporcionaran una contraseña o palabra clave , y solo permitían el paso a una persona o grupo que conociera dicha contraseña. Polibio describe el sistema de distribución de palabras clave en el ejército romano de la siguiente manera:

El método para asegurar la transmisión de la palabra clave durante la noche es el siguiente: del décimo manípulo de cada clase de infantería y caballería, el manípulo acampado en el extremo inferior de la calle, se elige a un hombre que queda relevado de su guardia. Este hombre acude cada día al atardecer a la tienda del tribuno , recibe de él la palabra clave (una tablilla de madera con la palabra inscrita), se despide y, al regresar a sus aposentos, entrega la palabra clave y la tablilla, en presencia de testigos, al comandante del siguiente manípulo, quien a su vez la entrega al siguiente. Todos repiten el procedimiento hasta que llega a los primeros manípulos, los acampados cerca de las tiendas de los tribunos. Estos últimos están obligados a entregar la tablilla a los tribunos antes del anochecer. De este modo, si se devuelven todas las tablillas entregadas, el tribuno sabe que la palabra clave ha sido entregada a todos los manípulos y que ha pasado por todos ellos en su camino de regreso a él. Si falta alguno de ellos, investiga de inmediato, ya que sabe por las marcas de qué lado no ha regresado la tablilla, y quien sea responsable de la interrupción recibe el castigo que merece. [ 7 ]

Las contraseñas en el ámbito militar evolucionaron para incluir no solo una contraseña, sino una contraseña y una contracontraseña; por ejemplo, en los primeros días de la Batalla de Normandía , los paracaidistas de la 101.ª División Aerotransportada de EE. UU. usaban una contraseña —flash— que se presentaba como un desafío y se respondía con la respuesta correcta —trueno— . El desafío y la respuesta se cambiaban cada tres días. Los paracaidistas estadounidenses también utilizaron un dispositivo conocido como «grillo» el Día D en lugar de un sistema de contraseñas como método de identificación temporalmente único; un clic metálico emitido por el dispositivo, en lugar de una contraseña, debía ser respondido con dos clics. [ 8 ]

Las contraseñas se han utilizado con las computadoras desde los inicios de la informática. El Sistema de Tiempo Compartido Compatible (CTSS), un sistema operativo presentado en el MIT en 1961, fue el primer sistema informático en implementar el inicio de sesión con contraseña. [ 9 ] [ 10 ] CTSS tenía un comando LOGIN que solicitaba la contraseña del usuario. "Después de escribir PASSWORD, el sistema desactiva el mecanismo de impresión, si es posible, para que el usuario pueda escribir su contraseña con privacidad." [ 11 ] A principios de la década de 1970, Robert Morris desarrolló un sistema para almacenar contraseñas de inicio de sesión en forma hash como parte del sistema operativo Unix . El sistema se basaba en una máquina criptográfica de rotor Hagelin simulada y apareció por primera vez en la 6.ª edición de Unix en 1974. Una versión posterior de su algoritmo, conocida como crypt(3) , utilizaba un salt de 12 bits e invocaba una forma modificada del algoritmo DES 25 veces para reducir el riesgo de ataques de diccionario precalculados . [ 12 ]

En la actualidad, los nombres de usuario y las contraseñas son de uso común durante el proceso de inicio de sesión para controlar el acceso a sistemas operativos protegidos , teléfonos móviles , decodificadores de televisión por cable , cajeros automáticos (ATM), etc. Un usuario típico de computadora tiene contraseñas para múltiples propósitos: iniciar sesión en cuentas, recuperar correos electrónicos , acceder a aplicaciones, bases de datos, redes, sitios web e incluso leer el periódico matutino en línea. [ 13 ]

Elegir una contraseña segura y fácil de recordar

En general, cuanto más fácil sea para el propietario recordar una contraseña, más fácil será para un atacante adivinarla. [ 14 ] Sin embargo, las contraseñas difíciles de recordar también pueden reducir la seguridad de un sistema porque (a) los usuarios podrían necesitar anotarla o almacenarla electrónicamente, (b) los usuarios necesitarán restablecerla con frecuencia y (c) es más probable que los usuarios reutilicen la misma contraseña en diferentes cuentas. Del mismo modo, cuanto más estrictos sean los requisitos de la contraseña, como "tener una combinación de letras mayúsculas y minúsculas y dígitos" o "cambiarla mensualmente", mayor será el grado en que los usuarios vulnerarán el sistema. [ 15 ] Otros argumentan que las contraseñas más largas proporcionan más seguridad (por ejemplo, entropía ) que las contraseñas más cortas con una amplia variedad de caracteres. [ 16 ]

En *La memorizabilidad y seguridad de las contraseñas* , Jeff Yan y otros examinan el efecto de los consejos que se dan a los usuarios sobre cómo elegir una buena contraseña. Descubrieron que las contraseñas basadas en pensar en una frase y tomar la primera letra de cada palabra son igual de fáciles de recordar que las contraseñas elegidas ingenuamente, e igual de difíciles de descifrar que las contraseñas generadas aleatoriamente. [ 17 ]

Combinar dos o más palabras no relacionadas y alterar algunas de las letras por caracteres especiales o números es otro buen método, [ 18 ] pero una sola palabra del diccionario no lo es. Tener un algoritmo diseñado personalmente para generar contraseñas oscuras es otro buen método. [ 19 ]

Sin embargo, pedir a los usuarios que recuerden una contraseña compuesta por una combinación de mayúsculas y minúsculas es similar a pedirles que recuerden una secuencia de bits: difícil de recordar y solo un poco más difícil de descifrar (por ejemplo, solo 128 veces más difícil de descifrar para contraseñas de 7 letras, menos si el usuario simplemente pone en mayúscula una de las letras). Pedir a los usuarios que utilicen letras y dígitos a menudo conduce a sustituciones fáciles de adivinar, como 'E' → '3' e 'I' → '1', sustituciones bien conocidas por los atacantes. Del mismo modo, escribir la contraseña una fila más arriba en el teclado es un truco común conocido por los atacantes. [ 20 ]

En 2013, Google publicó una lista de los tipos de contraseñas más comunes, todas las cuales se consideran inseguras porque son demasiado fáciles de adivinar (especialmente después de investigar a una persona en las redes sociales), que incluye: [ 21 ]

  • El nombre de una mascota, un niño, un miembro de la familia o una persona importante.
  • Fechas de aniversario y cumpleaños
  • Lugar de nacimiento
  • Nombre de una festividad favorita
  • Algo relacionado con un equipo deportivo favorito
  • La palabra "contraseña"

Alternativas a la memorización

El consejo tradicional de memorizar las contraseñas y nunca anotarlas se ha convertido en un desafío debido a la enorme cantidad de contraseñas que se espera que los usuarios de computadoras e internet mantengan. Una encuesta concluyó que el usuario promedio tiene alrededor de 100 contraseñas. [ 3 ] Para gestionar la proliferación de contraseñas, algunos usuarios emplean la misma contraseña para varias cuentas, una práctica peligrosa ya que una filtración de datos en una cuenta podría comprometer el resto. Las alternativas menos riesgosas incluyen el uso de gestores de contraseñas , sistemas de inicio de sesión único y simplemente mantener listas en papel de las contraseñas menos críticas. [ 22 ] Estas prácticas pueden reducir la cantidad de contraseñas que se deben memorizar, como la contraseña maestra del gestor de contraseñas, a una cantidad más manejable.

Factores que influyen en la seguridad de un sistema de contraseñas.

La seguridad de un sistema protegido por contraseña depende de varios factores. El sistema en su conjunto debe diseñarse para ofrecer una seguridad sólida, con protección contra virus informáticos , ataques de intermediario y similares. La seguridad física también es una preocupación, desde disuadir el espionaje visual hasta amenazas físicas más sofisticadas como cámaras de vídeo y analizadores de teclado. Las contraseñas deben elegirse de forma que resulten difíciles de adivinar y de descubrir para un atacante mediante cualquiera de los métodos de ataque automático disponibles. [ 23 ]

Actualmente, es común que los sistemas informáticos oculten las contraseñas mientras se escriben. El objetivo de esta medida es evitar que terceros las lean; sin embargo, algunos argumentan que esta práctica puede provocar errores y estrés, lo que lleva a los usuarios a elegir contraseñas débiles. Como alternativa, los usuarios deberían tener la opción de mostrar u ocultar las contraseñas mientras las escriben. [ 23 ]

Las disposiciones de control de acceso efectivas pueden obligar a los delincuentes a tomar medidas extremas para obtener una contraseña o un token biométrico. [ 24 ] Las medidas menos extremas incluyen la extorsión , el criptoanálisis de manguera de goma y el ataque de canal lateral .

A continuación se presentan algunos aspectos específicos de la gestión de contraseñas que deben tenerse en cuenta al pensar, elegir y manejar una contraseña.

Tasa a la que un atacante puede intentar adivinar contraseñas

La frecuencia con la que un atacante puede introducir contraseñas adivinadas en el sistema es un factor clave para determinar la seguridad del mismo. Algunos sistemas imponen un tiempo de espera de varios segundos tras un número reducido (por ejemplo, tres) de intentos fallidos de introducción de contraseña, también conocido como limitación de acceso. [ 25 ] En ausencia de otras vulnerabilidades, estos sistemas pueden ser eficaces con contraseñas relativamente sencillas si se han elegido correctamente y no son fáciles de adivinar. [ 26 ]

Muchos sistemas almacenan un hash criptográfico de la contraseña. Si un atacante accede al archivo de contraseñas cifradas, puede intentar adivinarlas sin conexión, probando rápidamente las contraseñas candidatas con el valor hash de la contraseña real. En el ejemplo de un servidor web , un atacante en línea solo puede adivinar a la velocidad de respuesta del servidor, mientras que un atacante sin conexión (que accede al archivo) puede adivinar a una velocidad limitada únicamente por el hardware en el que se ejecuta el ataque y la robustez del algoritmo utilizado para generar el hash.

Las contraseñas que se utilizan para generar claves criptográficas (por ejemplo, para el cifrado de discos o la seguridad Wi-Fi ) también pueden ser objeto de ataques de adivinación de alta frecuencia, conocidos como descifrado de contraseñas . Existen listas de contraseñas comunes ampliamente disponibles, lo que facilita los ataques de contraseñas. La seguridad en estas situaciones depende del uso de contraseñas o frases de contraseña con la complejidad adecuada, lo que hace que dicho ataque sea computacionalmente inviable para el atacante. Algunos sistemas, como PGP y Wi-Fi WPA , aplican una función hash computacionalmente intensiva a la contraseña para ralentizar estos ataques, mediante una técnica conocida como extensión de clave .

Límites en el número de intentos de adivinar la contraseña

Una alternativa a limitar la tasa en la que un atacante puede adivinar una contraseña es limitar el número total de intentos que se pueden realizar. La contraseña puede deshabilitarse, requiriendo un restablecimiento, después de un pequeño número de intentos fallidos consecutivos (por ejemplo, 5); y se puede exigir al usuario que cambie la contraseña después de un número acumulado mayor de intentos fallidos (por ejemplo, 30), para evitar que un atacante realice un número arbitrariamente grande de intentos fallidos intercalándolos entre los intentos correctos realizados por el propietario legítimo de la contraseña. [ 27 ] Los atacantes pueden, por el contrario, utilizar el conocimiento de esta mitigación para implementar un ataque de denegación de servicio contra el usuario bloqueando intencionalmente al usuario de su propio dispositivo; esta denegación de servicio puede abrir otras vías para que el atacante manipule la situación en su beneficio a través de la ingeniería social .

Formato de contraseñas almacenadas

Las contraseñas introducidas en ciertos sistemas informáticos se guardan en texto plano, lo que significa que no están cifradas ni protegidas de ninguna manera. El sistema simplemente compara la contraseña introducida por el usuario con esta lista desprotegida al iniciar sesión. Este método es extremadamente peligroso, ya que cualquiera que logre acceder al almacenamiento de contraseñas puede ver inmediatamente las contraseñas de todos los usuarios. Esto pone en riesgo todas las cuentas del sistema. Además, las cuentas de los usuarios que hayan reutilizado sus contraseñas en otros sitios web o servicios también podrían verse comprometidas, lo que podría resultar en una brecha de seguridad mucho mayor.

Los sistemas más seguros almacenan cada contraseña en una forma protegida criptográficamente, por lo que el acceso a la contraseña real seguirá siendo difícil para un fisgón que obtenga acceso interno al sistema, mientras que la validación de los intentos de acceso del usuario sigue siendo posible. Los más seguros no almacenan contraseñas en absoluto, sino que utilizan una derivación unidireccional, como un polinomio , un módulo o una función hash avanzada . [ 16 ] Roger Needham inventó el enfoque ahora común de almacenar solo una forma "hasheada" de la contraseña en texto plano. [ 28 ] [ 29 ] Cuando un usuario escribe una contraseña en un sistema de este tipo, el software de gestión de contraseñas ejecuta un algoritmo hash criptográfico, y si el valor hash generado a partir de la entrada del usuario coincide con el hash almacenado en la base de datos de contraseñas, se permite el acceso al usuario. El valor hash se crea aplicando una función hash criptográfica a una cadena que consta de la contraseña enviada y, en varias implementaciones, otro valor conocido como sal . Una sal impide que los atacantes construyan fácilmente una lista de valores hash para contraseñas comunes y evita que los esfuerzos de descifrado de contraseñas se extiendan a todos los usuarios. [ 30 ] MD5 y SHA1 son funciones hash criptográficas de uso frecuente, pero no se recomiendan para el hash de contraseñas a menos que se utilicen como parte de una construcción más grande, como en PBKDF2 . [ 31 ]

Los datos almacenados —a veces llamados "verificador de contraseña" o "hash de contraseña"— suelen almacenarse en formato criptográfico modular o en formato hash RFC 2307, a veces en el archivo /etc/passwd o en el archivo /etc/shadow . [ 32 ]

Los principales métodos de almacenamiento de contraseñas son texto plano, hash, hash y sal, y cifrado reversible. [ 33 ] Si un atacante obtiene acceso al archivo de contraseñas, si está almacenado como texto plano, no es necesario descifrarlo. Si está hasheado pero no tiene sal, es vulnerable a ataques de tabla arcoíris (que son más eficientes que el descifrado). Si está cifrado reversiblemente, si el atacante obtiene la clave de descifrado junto con el archivo, no es necesario descifrarlo; si no la obtiene, el descifrado no es posible. Por lo tanto, de los formatos de almacenamiento comunes para contraseñas, solo cuando las contraseñas tienen sal y hash es necesario y posible descifrarlas. [ 33 ]

Si una función hash criptográfica está bien diseñada, es computacionalmente inviable revertirla para recuperar una contraseña en texto plano . Sin embargo, un atacante puede usar herramientas ampliamente disponibles para intentar adivinar las contraseñas. Estas herramientas funcionan aplicando un hash a posibles contraseñas y comparando el resultado de cada intento con los hashes de las contraseñas reales. Si el atacante encuentra una coincidencia, sabe que su intento es la contraseña real del usuario asociado. Las herramientas de descifrado de contraseñas pueden operar por fuerza bruta (es decir, probando todas las combinaciones posibles de caracteres) o aplicando un hash a cada palabra de una lista; grandes listas de posibles contraseñas en varios idiomas están ampliamente disponibles en Internet. [ 16 ] La existencia de herramientas de descifrado de contraseñas permite a los atacantes recuperar fácilmente contraseñas mal elegidas. En particular, los atacantes pueden recuperar rápidamente contraseñas que son cortas, palabras del diccionario, variaciones simples de palabras del diccionario o que usan patrones fáciles de adivinar. [ 34 ] Una versión modificada del algoritmo DES se usó como base para el algoritmo de hash de contraseñas en los primeros sistemas Unix . [ 12 ] El algoritmo crypt utilizaba un valor de sal de 12 bits para que el hash de cada usuario fuera único e iteraba el algoritmo DES 25 veces para ralentizar la función hash, ambas medidas destinadas a frustrar los ataques de adivinación automatizados. [ 12 ] La contraseña del usuario se utilizaba como clave para cifrar un valor fijo. Los sistemas Unix o similares a Unix más recientes (por ejemplo, Linux o los diversos sistemas BSD ) utilizan algoritmos de hash de contraseñas más seguros como PBKDF2 , bcrypt y scrypt , que tienen grandes valores de sal y un coste o número de iteraciones ajustable. [ 35 ] Una función hash mal diseñada puede hacer que los ataques sean factibles incluso si se elige una contraseña fuerte. El hash LM es un ejemplo ampliamente implementado e inseguro. [ 36 ]

Métodos para verificar una contraseña a través de una red.

Transmisión sencilla de la contraseña

Las contraseñas son vulnerables a la interceptación (es decir, al espionaje) durante su transmisión al dispositivo o persona que las autentica. Si la contraseña se transmite mediante señales eléctricas a través de un cableado físico no seguro entre el punto de acceso del usuario y el sistema central que controla la base de datos de contraseñas, puede ser interceptada mediante métodos de escucha . Si se transmite como datos en paquetes a través de Internet, cualquier persona capaz de interceptar los paquetes que contienen la información de inicio de sesión puede realizar el espionaje con una baja probabilidad de detección.

En ocasiones, se utiliza el correo electrónico para distribuir contraseñas, pero este método suele ser inseguro. Dado que la mayoría de los correos se envían en texto plano , cualquier intruso puede leer fácilmente un mensaje que contenga una contraseña durante su transmisión. Además, el mensaje se almacenará en texto plano en al menos dos ordenadores: el del remitente y el del destinatario. Si pasa por sistemas intermedios durante su transmisión, probablemente también se almacenará en ellos, al menos durante un tiempo, y podría copiarse a archivos de copia de seguridad , caché o historial en cualquiera de estos sistemas.

El cifrado del lado del cliente solo protege la transmisión desde el servidor del sistema de gestión de correo hasta el equipo del cliente. Los envíos anteriores o posteriores del correo electrónico no estarán protegidos y, probablemente, el correo se almacenará en varios ordenadores, sin duda en el de origen y en el de destino, generalmente en texto plano.

Transmisión a través de canales cifrados

El riesgo de interceptación de contraseñas enviadas por Internet se puede reducir, entre otras cosas, mediante el uso de protección criptográfica . La más utilizada es la función Transport Layer Security (TLS, antes llamada SSL ) integrada en la mayoría de los navegadores de Internet actuales . La mayoría de los navegadores alertan al usuario de un intercambio protegido por TLS/SSL con un servidor mostrando un icono de candado cerrado u otro indicador cuando se utiliza TLS. Existen otras técnicas en uso.

Métodos de desafío-respuesta basados ​​en hash

Existe un conflicto entre las contraseñas hash almacenadas y la autenticación de desafío-respuesta basada en hash . Esta última requiere que un cliente demuestre a un servidor que conoce la clave secreta compartida (es decir, la contraseña), y para ello, el servidor debe poder obtenerla a partir de su forma almacenada. En varios sistemas (incluidos los de tipo Unix ) que realizan autenticación remota, la clave secreta compartida suele convertirse en una clave hash, lo que presenta la grave limitación de exponer las contraseñas a ataques de adivinación sin conexión. Además, cuando se utiliza el hash como clave secreta compartida, un atacante no necesita la contraseña original para autenticarse remotamente; solo necesita el hash.

Pruebas de contraseñas de conocimiento cero

En lugar de transmitir una contraseña o el hash de la misma, los sistemas de acuerdo de claves autenticados por contraseña pueden realizar una prueba de contraseña de conocimiento cero , que demuestra el conocimiento de la contraseña sin exponerla.

Dando un paso más allá, los sistemas aumentados para el intercambio de claves autenticado por contraseña (por ejemplo, AMP , B-SPEKE , PAK-Z , SRP-6 ) evitan tanto el conflicto como la limitación de los métodos basados ​​en hash. Un sistema aumentado permite que un cliente demuestre a un servidor que conoce la contraseña, cuando el servidor solo conoce una contraseña cifrada (no exactamente) y se requiere la contraseña sin cifrar para obtener acceso.

Procedimientos para cambiar contraseñas

Por lo general, un sistema debe ofrecer la opción de cambiar la contraseña, ya sea porque el usuario sospecha que la contraseña actual se ha visto comprometida (o podría verse comprometida) o como medida de precaución. Si se introduce una nueva contraseña sin cifrar, la seguridad puede verse comprometida (por ejemplo, mediante la interceptación de comunicaciones ) incluso antes de que se registre en la base de datos de contraseñas. Además, si la nueva contraseña se comparte con un empleado cuya seguridad se ha visto comprometida, las ventajas son mínimas. Algunos sitios web incluyen la contraseña elegida por el usuario en un correo electrónico de confirmación sin cifrar , lo que aumenta considerablemente la vulnerabilidad.

Los sistemas de gestión de identidades se utilizan cada vez más para automatizar la emisión de contraseñas de reemplazo en caso de pérdida, una función denominada restablecimiento de contraseña de autoservicio . La identidad del usuario se verifica mediante preguntas y comparando las respuestas con las almacenadas previamente (es decir, cuando se abrió la cuenta).

Algunas preguntas de restablecimiento de contraseña solicitan información personal que podría encontrarse en redes sociales, como el apellido de soltera de la madre. Por ello, algunos expertos en seguridad recomiendan inventar las preguntas o dar respuestas falsas. [ 37 ]

longevidad de la contraseña

El "envejecimiento de contraseñas" es una función de algunos sistemas operativos que obliga a los usuarios a cambiar sus contraseñas con frecuencia (por ejemplo, trimestral, mensual o incluso más a menudo). Estas políticas suelen provocar protestas y dilación por parte de los usuarios, en el mejor de los casos, y hostilidad, en el peor. [ 38 ] A menudo se observa un aumento en el número de personas que anotan la contraseña y la dejan en un lugar donde pueda encontrarla fácilmente, así como llamadas al servicio de asistencia técnica para restablecer una contraseña olvidada. Los usuarios pueden usar contraseñas más simples o desarrollar patrones de variación sobre un tema consistente para que sus contraseñas sean fáciles de recordar. [ 39 ] Debido a estos problemas, existe cierto debate sobre si el envejecimiento de contraseñas es efectivo. [ 40 ] Cambiar una contraseña no evitará el abuso en la mayoría de los casos, ya que el abuso a menudo sería inmediatamente perceptible. Sin embargo, si alguien pudo haber tenido acceso a la contraseña por algún medio, como compartir una computadora o vulnerar otro sitio, cambiar la contraseña limita el tiempo para el abuso. [ 41 ]

Número de usuarios por contraseña

Desde el punto de vista de la seguridad, asignar contraseñas individuales a cada usuario de un sistema es preferible a compartir una sola contraseña entre todos los usuarios legítimos. Esto se debe, en parte, a que los usuarios están más dispuestos a compartir una contraseña con otra persona (que podría no estar autorizada) que una contraseña de uso exclusivo. Además, cambiar una sola contraseña resulta mucho más complicado, ya que hay que avisar a varias personas a la vez, y dificulta la eliminación del acceso de un usuario concreto, por ejemplo, al graduarse o renunciar. Los inicios de sesión individuales también se utilizan a menudo para garantizar la responsabilidad, por ejemplo, para saber quién modificó un dato.

Arquitectura de seguridad de contraseñas

Entre las técnicas comunes utilizadas para mejorar la seguridad de los sistemas informáticos protegidos por contraseña se incluyen:

  • No mostrar la contraseña en la pantalla mientras se introduce o ocultarla mientras se escribe mediante el uso de asteriscos (*) o viñetas (•).
  • Permitir contraseñas de longitud adecuada. (Algunos sistemas operativos antiguos , incluidas las primeras versiones de Unix y Windows, limitaban las contraseñas a un máximo de 8 caracteres, [ 42 ] [ 43 ] [ 44 ] reduciendo la seguridad).
  • Exigir a los usuarios que vuelvan a introducir su contraseña tras un período de inactividad (una política de cierre de sesión parcial).
  • Implementar una política de contraseñas para aumentar la fortaleza y la seguridad de las mismas.
    • Asignación de contraseñas elegidas al azar.
    • Requerir longitudes mínimas de contraseña . [ 31 ]
    • Algunos sistemas requieren que una contraseña contenga caracteres de diversas clases; por ejemplo, "debe contener al menos una letra mayúscula y al menos una minúscula". Sin embargo, las contraseñas compuestas únicamente por minúsculas son más seguras por pulsación de tecla que las contraseñas con mayúsculas y minúsculas mixtas. [ 45 ]
    • Utilice una lista negra de contraseñas para bloquear el uso de contraseñas débiles y fáciles de adivinar.
    • Ofrecer una alternativa a la introducción de datos mediante teclado (por ejemplo, contraseñas habladas o identificadores biométricos ).
    • Requerir más de un sistema de autenticación, como la autenticación de dos factores (algo que el usuario posee y algo que el usuario sabe).
  • Utilizar túneles cifrados o acuerdos de clave autenticados mediante contraseña para evitar el acceso a las contraseñas transmitidas a través de ataques a la red.
  • Limitar el número de intentos fallidos permitidos dentro de un período de tiempo determinado (para evitar intentos repetidos de adivinar la contraseña). Una vez alcanzado el límite, los intentos posteriores fallarán (incluidos los intentos de contraseña correcta) hasta el comienzo del siguiente período de tiempo. Sin embargo, esto es vulnerable a un ataque de denegación de servicio .
  • Introducir un retardo entre los intentos de envío de contraseñas para ralentizar los programas automatizados de adivinación de contraseñas.

Algunas de las medidas más estrictas para la aplicación de las políticas pueden suponer un riesgo de alienar a los usuarios, lo que podría disminuir la seguridad.

Reutilización de contraseñas

Es común que los usuarios de computadoras reutilicen la misma contraseña en varios sitios web. Esto representa un riesgo de seguridad considerable, ya que un atacante solo necesita comprometer un único sitio para acceder a otros sitios que la víctima utiliza. Este problema se agrava al reutilizar también nombres de usuario y en sitios web que requieren inicio de sesión por correo electrónico, ya que facilita que un atacante rastree a un mismo usuario en múltiples sitios. La reutilización de contraseñas se puede evitar o minimizar mediante técnicas mnemotécnicas , anotándolas en papel o utilizando un gestor de contraseñas . [ 46 ]

Los investigadores de Redmond, Dinei Florencio y Cormac Herley, junto con Paul C. van Oorschot de la Universidad de Carleton, Canadá, argumentaron que la reutilización de contraseñas es inevitable y que los usuarios deberían reutilizarlas para sitios web de baja seguridad (que contienen pocos datos personales y ninguna información financiera, por ejemplo) y, en cambio, centrar sus esfuerzos en recordar contraseñas largas y complejas para unas pocas cuentas importantes, como las bancarias. [ 47 ] Forbes presentó argumentos similares , recomendando no cambiar las contraseñas con tanta frecuencia como aconsejan algunos "expertos", debido a las mismas limitaciones de la memoria humana. [ 39 ]

Un estudio realizado por Ofcom y publicado el 2 de abril de 2026 reveló que el 26% de los adultos que usan internet reutilizan contraseñas y que el 13% de esos adultos habían sufrido un ataque informático en sus cuentas de redes sociales o correo electrónico. [ 48 ]

Anotar las contraseñas en papel

Históricamente, varios expertos en seguridad aconsejaban memorizar las contraseñas: «Nunca escribas una contraseña». Más recientemente, expertos como Bruce Schneier recomiendan usar contraseñas demasiado complejas para memorizar, anotarlas en un papel y guardarlas en la cartera. [ 49 ] [ 50 ] [ 51 ] [ 52 ] [ 53 ] [ 54 ] [ 55 ]

El software de gestión de contraseñas también puede almacenar contraseñas de forma relativamente segura, en un archivo cifrado sellado con una única contraseña maestra. [ 56 ]

Después de la muerte

Para facilitar la administración de la herencia, es útil que las personas establezcan un mecanismo para que sus contraseñas se comuniquen a quienes administrarán sus asuntos en caso de fallecimiento. Si se prepara un registro de cuentas y contraseñas, se debe tener cuidado de garantizar la seguridad de dichos registros para prevenir robos o fraudes. [ 57 ]

autenticación multifactor

Los esquemas de autenticación multifactor combinan contraseñas (como "factores de conocimiento") con uno o más métodos de autenticación para hacerla más segura y menos vulnerable a contraseñas comprometidas. Por ejemplo, un inicio de sesión simple de dos factores podría enviar un mensaje de texto, correo electrónico, llamada telefónica automatizada o una alerta similar cada vez que se intente iniciar sesión, posiblemente proporcionando un código que debe ingresarse además de la contraseña. [ 58 ] Entre los factores más sofisticados se incluyen elementos como tokens de hardware y seguridad biométrica.

Rotación de contraseñas

La rotación de contraseñas es una política que se implementa comúnmente con el objetivo de mejorar la seguridad informática . En 2019, Microsoft afirmó que esta práctica es "antigua y obsoleta". [ 59 ] [ 60 ]

Reglas de contraseña

La mayoría de las organizaciones especifican una política de contraseñas que establece requisitos para su composición y uso, indicando normalmente la longitud mínima, las categorías obligatorias (por ejemplo, mayúsculas y minúsculas, números y caracteres especiales) y los elementos prohibidos (por ejemplo, el uso del nombre, la fecha de nacimiento, la dirección o el número de teléfono). Algunos gobiernos cuentan con marcos de autenticación nacionales [ 61 ] que definen los requisitos para la autenticación de usuarios en los servicios gubernamentales, incluidos los requisitos para las contraseñas.

Muchos sitios web imponen reglas estándar, como la longitud mínima y máxima, pero también suelen incluir reglas de composición, como la presencia de al menos una letra mayúscula y al menos un número o símbolo. Estas últimas reglas, más específicas, se basaron en gran medida en un informe de 2003 del Instituto Nacional de Estándares y Tecnología (NIST), cuyo autor fue Bill Burr. [ 62 ] Originalmente, proponía la práctica de usar números, caracteres poco comunes y letras mayúsculas, y actualizar el contenido periódicamente. En un artículo de 2017 publicado en The Wall Street Journal , Burr declaró que lamentaba estas propuestas y que había cometido un error al recomendarlas. [ 63 ]

Según una revisión de 2017 de este informe del NIST, varios sitios web tienen reglas que, de hecho, tienen el efecto contrario en la seguridad de sus usuarios. Esto incluye reglas de composición complejas, así como cambios de contraseña obligatorios después de ciertos períodos de tiempo. Si bien estas reglas han estado muy extendidas durante mucho tiempo, también han sido consideradas molestas e ineficaces tanto por los usuarios como por los expertos en ciberseguridad. [ 64 ] El NIST recomienda que las personas usen frases más largas como contraseñas (y aconseja a los sitios web que aumenten la longitud máxima de la contraseña) en lugar de contraseñas difíciles de recordar con "complejidad ilusoria" como "pA55w+rd". [ 65 ] Un usuario al que se le impide usar la contraseña "password" puede, si se le exige incluir un número y una letra mayúscula, simplemente elegir "Password1". Combinado con los cambios periódicos de contraseña obligatorios, esto puede dar lugar a contraseñas difíciles de recordar pero fáciles de descifrar. [ 62 ]

Paul Grassi, uno de los autores del informe del NIST de 2017, explicó con más detalle: «Todo el mundo sabe que un signo de exclamación es un 1, una I o el último carácter de una contraseña. El símbolo $ es una S o un 5. Si usamos estos trucos tan conocidos, no engañamos a ningún adversario. Simplemente engañamos a la base de datos que almacena las contraseñas, haciéndole creer que el usuario hizo algo bueno». [ 64 ]

Pieris Tsokkis y Eliana Stavrou lograron identificar algunas estrategias de creación de contraseñas deficientes mediante su investigación y el desarrollo de una herramienta generadora de contraseñas. Propusieron ocho categorías de estrategias de creación de contraseñas basadas en listas de contraseñas expuestas, herramientas de descifrado de contraseñas e informes en línea que citaban las contraseñas más utilizadas. Estas categorías incluyen información relacionada con el usuario, combinaciones y patrones de teclado, estrategia de ubicación, procesamiento de texto, sustitución, mayúsculas, adición de fechas y una combinación de las categorías anteriores. [ 66 ]

descifrado de contraseñas

Intentar descifrar contraseñas probando tantas posibilidades como el tiempo y el dinero permitan se denomina ataque de fuerza bruta . Un método similar, mucho más eficiente en la mayoría de los casos, es el ataque de diccionario . En este tipo de ataque, se prueban todas las palabras de uno o más diccionarios. También se suelen probar listas de contraseñas comunes.

La seguridad de una contraseña es la probabilidad de que no pueda ser adivinada o descubierta, y varía según el algoritmo de ataque utilizado. Los criptólogos e informáticos suelen referirse a la seguridad o «dificultad» en términos de entropía . [ 16 ]

Las contraseñas fáciles de descubrir se denominan débiles o vulnerables ; las contraseñas difíciles o imposibles de descubrir se consideran fuertes . Existen varios programas disponibles para el ataque de contraseñas (o incluso para la auditoría y recuperación por parte del personal de sistemas), como L0phtCrack , John the Ripper y Cain ; algunos de ellos aprovechan las vulnerabilidades de diseño de contraseñas (como las que se encuentran en el sistema Microsoft LANManager) para aumentar su eficiencia. Estos programas a veces son utilizados por los administradores de sistemas para detectar contraseñas débiles propuestas por los usuarios.

Estudios de sistemas informáticos de producción han demostrado sistemáticamente que una gran fracción de todas las contraseñas elegidas por los usuarios se adivinan fácilmente de forma automática. [ 12 ] Por ejemplo, la Universidad de Columbia descubrió que el 22 % de las contraseñas de los usuarios podían recuperarse con poco esfuerzo. [ 67 ] Según Bruce Schneier , al examinar datos de un ataque de phishing de 2006 , el 55 % de las contraseñas de MySpace se podrían descifrar en 8 horas utilizando un kit de herramientas de recuperación de contraseñas disponible comercialmente, capaz de probar 200 000 contraseñas por segundo en 2006. [ 68 ] También informó que la contraseña más común era password1 , lo que confirmaba una vez más la falta general de cuidado al elegir contraseñas entre los usuarios. (Sin embargo, sostuvo, basándose en estos datos, que la calidad general de las contraseñas ha mejorado con los años; por ejemplo, la longitud promedio aumentó a ocho caracteres, frente a menos de siete en encuestas anteriores, y menos del 4 % eran palabras del diccionario. [ 69 ] )

Incidentes

  • El 16 de julio de 1998, CERT informó de un incidente en el que un atacante había encontrado 186.126 contraseñas cifradas. En el momento en que se descubrió al atacante, ya se habían descifrado 47.642 contraseñas. [ 70 ]
  • En septiembre de 2001, tras la muerte de 658 de sus 960 empleados en Nueva York en los atentados del 11 de septiembre , la firma de servicios financieros Cantor Fitzgerald, a través de Microsoft, descifró las contraseñas de los empleados fallecidos para acceder a los archivos necesarios para gestionar las cuentas de los clientes. [ 71 ] Los técnicos utilizaron ataques de fuerza bruta y los entrevistadores contactaron con las familias para recopilar información personalizada que pudiera reducir el tiempo de búsqueda de contraseñas más débiles. [ 71 ]
  • En diciembre de 2009, se produjo una importante filtración de contraseñas en el sitio web Rockyou.com que resultó en la divulgación de 32 millones de contraseñas. El hacker filtró la lista completa de las 32 millones de contraseñas (sin ninguna otra información que permitiera identificarlas) a Internet. Las contraseñas estaban almacenadas en texto plano en la base de datos y se extrajeron mediante una vulnerabilidad de inyección SQL . El Centro de Defensa de Aplicaciones (ADC) de Imperva realizó un análisis sobre la seguridad de las contraseñas. [ 72 ]
  • En junio de 2011, la OTAN (Organización del Tratado del Atlántico Norte) sufrió una brecha de seguridad que provocó la publicación de nombres y apellidos, nombres de usuario y contraseñas de más de 11 000 usuarios registrados de su librería electrónica. Los datos se filtraron como parte de la Operación AntiSec , un movimiento que incluye a Anonymous , LulzSec , así como a otros grupos e individuos de hackers. AntiSec tiene como objetivo exponer información personal, sensible y restringida al mundo, utilizando cualquier medio necesario. [ 73 ]
  • El 11 de julio de 2011, Booz Allen Hamilton , una consultora que trabaja para el Pentágono , sufrió un ataque informático a sus servidores por parte de Anonymous , cuyas credenciales se filtraron ese mismo día. «La filtración, denominada "Military Meltdown Monday", incluye 90.000 credenciales de inicio de sesión de personal militar, entre ellas personal del USCENTCOM , SOCOM , el Cuerpo de Marines , diversas instalaciones de la Fuerza Aérea , Seguridad Nacional , personal del Departamento de Estado y, al parecer, contratistas del sector privado». [ 74 ] Estas contraseñas filtradas fueron sometidas a un proceso de hash SHA1 y posteriormente descifradas y analizadas por el equipo ADC de Imperva , lo que reveló que incluso el personal militar busca atajos y maneras de eludir los requisitos de seguridad de las contraseñas. [ 75 ]
  • El 5 de junio de 2012, una brecha de seguridad en LinkedIn resultó en el robo de 117 millones de contraseñas y correos electrónicos. Millones de contraseñas fueron publicadas posteriormente en un foro ruso. Un hacker llamado "Peace" ofreció más tarde contraseñas adicionales a la venta. LinkedIn llevó a cabo un restablecimiento obligatorio de todas las cuentas comprometidas. [ 76 ]

Alternativas a las contraseñas para la autenticación

Las múltiples formas en que las contraseñas permanentes o semipermanentes pueden verse comprometidas han impulsado el desarrollo de otras técnicas. Algunas son inadecuadas en la práctica y, en cualquier caso, pocas se han vuelto universalmente accesibles para los usuarios que buscan una alternativa más segura. [ 77 ] Un artículo de 2012 [ 78 ] [ 79 ] examina por qué las contraseñas han resultado tan difíciles de reemplazar (a pesar de las múltiples predicciones de que pronto serían cosa del pasado [ 80 ] ); al examinar treinta reemplazos propuestos representativos con respecto a la seguridad, la usabilidad y la capacidad de implementación, concluyen que "ninguno conserva siquiera el conjunto completo de beneficios que ya proporcionan las contraseñas tradicionales".

  • Contraseñas de un solo uso . El uso de contraseñas que solo son válidas una vez hace que muchos ataques potenciales sean ineficaces. La mayoría de los usuarios consideran que las contraseñas de un solo uso son extremadamente inconvenientes. Sin embargo, se han implementado ampliamente en la banca en línea personal , donde se conocen como Números de Autenticación de Transacción (TAN). Dado que la mayoría de los usuarios domésticos solo realizan un pequeño número de transacciones por semana, el problema de las contraseñas de un solo uso no ha generado una insatisfacción intolerable por parte de los clientes en este caso.
  • Las contraseñas de un solo uso sincronizadas con el tiempo son similares en algunos aspectos a las contraseñas de un solo uso, pero el valor que se debe introducir se muestra en un pequeño dispositivo (generalmente de bolsillo) y cambia cada minuto aproximadamente.
  • Autenticación sin contraseña, en la que un usuario puede iniciar sesión en un sistema informático sin introducir (ni tener que recordar) una contraseña ni ningún otro secreto basado en el conocimiento . En la mayoría de las implementaciones comunes, se solicita a los usuarios que introduzcan su identificador público (nombre de usuario, número de teléfono, dirección de correo electrónico , etc.) y, a continuación, completen el proceso de autenticación proporcionando una prueba de identidad segura mediante un dispositivo o token registrado. La mayoría de las implementaciones se basan en una infraestructura de criptografía de clave pública , donde la clave pública se proporciona durante el registro en el servicio de autenticación (servidor remoto, aplicación o sitio web), mientras que la clave privada se guarda en el dispositivo del usuario (PC, teléfono inteligente o un token de seguridad externo ) y solo se puede acceder a ella proporcionando una firma biométrica u otro factor de autenticación que no se base en el conocimiento. [ 81 ]
  • Las contraseñas de un solo uso de PassWindow se utilizan como contraseñas de un solo uso, pero los caracteres dinámicos que se deben introducir solo son visibles cuando un usuario superpone una clave visual impresa única sobre una imagen de desafío generada por el servidor que se muestra en la pantalla del usuario.
  • Controles de acceso basados ​​en criptografía de clave pública, por ejemplo, SSH . Las claves necesarias suelen ser demasiado largas para memorizarlas (pero véase la propuesta Passmaze) [ 82 ] y deben almacenarse en un ordenador local, un token de seguridad o un dispositivo de memoria portátil, como una unidad flash USB o incluso un disquete . La clave privada puede almacenarse en un proveedor de servicios en la nube y activarse mediante una contraseña o autenticación de dos factores.
  • Los métodos biométricos prometen una autenticación basada en características personales inalterables, pero a partir de 2008tienen altas tasas de error y requieren hardware adicional para escanear,por ejemplo, huellas dactilares , iris , etc. Han demostrado ser fáciles de falsificar en algunos incidentes famosos que pusieron a prueba sistemas disponibles comercialmente, por ejemplo, la demostración de falsificación de huellas dactilares con gomitas, [ 83 ] y, debido a que estas características son inalterables, no se pueden cambiar si se ven comprometidas; esta es una consideración muy importante en el control de acceso, ya que un token de acceso comprometido es necesariamente inseguro.
  • Se afirma que la tecnología de inicio de sesión único elimina la necesidad de tener múltiples contraseñas. Sin embargo, estos sistemas no eximen a los usuarios y administradores de elegir contraseñas únicas razonables, ni a los diseñadores o administradores de sistemas de garantizar que la información privada de control de acceso que se transmite entre los sistemas que permiten el inicio de sesión único esté protegida contra ataques. Hasta el momento, no se ha desarrollado ningún estándar satisfactorio.
  • La tecnología de envaulting es una forma de proteger los datos en dispositivos de almacenamiento extraíbles, como las unidades flash USB, sin necesidad de contraseñas. En lugar de contraseñas de usuario, el control de acceso se basa en el acceso del usuario a un recurso de red.
  • Contraseñas no basadas en texto, como contraseñas gráficas o contraseñas basadas en el movimiento del ratón. [ 84 ] Las contraseñas gráficas son un medio alternativo de autenticación para el inicio de sesión, diseñado para usarse en lugar de la contraseña convencional; utilizan imágenes , gráficos o colores en lugar de letras , dígitos o caracteres especiales . Un sistema requiere que los usuarios seleccionen una serie de rostros como contraseña, aprovechando la capacidad del cerebro humano para recordar rostros fácilmente. [ 85 ] En algunas implementaciones, se requiere que el usuario elija de una serie de imágenes en la secuencia correcta para obtener acceso. [ 86 ] Otra solución de contraseña gráfica crea una contraseña de un solo uso utilizando una cuadrícula de imágenes generada aleatoriamente. Cada vez que se requiere que el usuario se autentique, busca las imágenes que se ajustan a sus categorías preseleccionadas e ingresa el carácter alfanumérico generado aleatoriamente que aparece en la imagen para formar la contraseña de un solo uso. [ 87 ] [ 88 ] Hasta ahora, las contraseñas gráficas son prometedoras, pero no se utilizan ampliamente. Se han realizado estudios sobre este tema para determinar su usabilidad en el mundo real. Si bien algunos creen que las contraseñas gráficas serían más difíciles de descifrar , otros sugieren que la gente tendrá la misma probabilidad de elegir imágenes o secuencias comunes que de elegir contraseñas comunes.
  • La clave 2D (clave bidimensional) [ 89 ] es un método de entrada de clave tipo matriz 2D que tiene estilos de clave de frase de contraseña multilínea, crucigrama, arte ASCII/Unicode, con ruidos semánticos textuales opcionales, para crear contraseñas/claves grandes de más de 128 bits para realizar la MePKC (criptografía de clave pública memorizable) [ 90 ] utilizando una clave privada totalmente memorizable sobre las tecnologías actuales de gestión de claves privadas como clave privada cifrada, clave privada dividida y clave privada itinerante.
  • Las contraseñas cognitivas utilizan pares de preguntas y respuestas para verificar la identidad.

Obsolescencia

Una contraseña para una red wifi en una cafetería en 2022

La idea de que "la contraseña ha muerto" es recurrente en la seguridad informática . Las razones que se suelen esgrimir incluyen referencias a la usabilidad y a los problemas de seguridad de las contraseñas. A menudo, acompaña a los argumentos de que la sustitución de las contraseñas por un método de autenticación más seguro es necesaria e inminente. Esta afirmación la han planteado varias personas al menos desde 2004. [ 91 ] [ 92 ] [ 93 ] [ 94 ] [ 95 ] Entre las alternativas a las contraseñas se incluyen la biometría , la autenticación de dos factores o el inicio de sesión único , Cardspace de Microsoft , el proyecto Higgins , Liberty Alliance , NSTIC , FIDO Alliance y diversas propuestas de Identity 2.0. [ 96 ] [ 97 ]

Bonneau et al. compararon sistemáticamente las contraseñas web con otras soluciones técnicas alternativas. Las analizaron en cuanto a usabilidad, facilidad de implementación y seguridad. Su análisis demostró que la mayoría de las alternativas superan a las contraseñas en seguridad, algunas superan y otras empeoran en usabilidad, mientras que todas las alternativas superan a las contraseñas en facilidad de implementación. [ 98 ]

Esto podría explicar por qué, más de 20 años después de que surgiera esta idea recurrente, las contraseñas siguen utilizándose, a pesar de los intentos de las empresas tecnológicas por cambiar esta situación. Algunos que destacan este hecho sugieren que el problema no reside en el sistema de uso de contraseñas en sí, sino en cómo las personas las utilizan y gestionan, y que «en la era de la dispersión de las plantillas, las redes WiFi domésticas y los múltiples dispositivos, el uso de contraseñas ha seguido aumentando». [ 99 ]

Véase también

Referencias

  1. "contraseña" . Centro de recursos de seguridad informática: glosario . Instituto Nacional de Estándares y Tecnología . Consultado el 13 de julio de 2026 .
  2. Ranjan, Pratik; Om, Hari (6 de mayo de 2016). "Un esquema eficiente de autenticación de contraseña de usuario remoto basado en el criptosistema de Rabin" . Wireless Personal Communications . 90 (1): 217– 244. doi : 10.1007/s11277-016-3342-5 . ISSN 0929-6212 . S2CID 21912076 .  
  3. 1 2 Williams, Shannon (21 de octubre de 2020). "La persona promedio tiene 100 contraseñas - estudio" . SecurityBrief New Zealand . TechDay . Recuperado el 28 de abril de 2021 .
  4. Temoshok, David; Proud-Madruga, Diana; Choong, Yee-Yin; Galluzzo, Ryan; Gupta, Sarbari; LaSalle, Connie; Lefkovitz, Naomi; Regenscheid, Andrew (1 de agosto de 2025). NIST SP 800-63-4:: Directrices de identidad digital (PDF) (Informe). Gaithersburg, MD: Instituto Nacional de Estándares y Tecnología . doi : 10.6028/NIST.SP.800-63-4 . Recuperado el 27 de mayo de 2026 .
  5. "protocolo de autenticación" . Centro de recursos de seguridad informática: glosario . Instituto Nacional de Estándares y Tecnología . Consultado el 13 de julio de 2026 .
  6. "Contraseña" . Centro de recursos de seguridad informática: glosario . Instituto Nacional de Estándares y Tecnología . Consultado el 17 de mayo de 2019 .
  7. "El sistema militar romano" . About.com . Archivado del original el 4 de marzo de 2016. Consultado el 27 de mayo de 2026 .
  8. Mark Bando (2007). 101.ª División Aerotransportada: Los Águilas Gritonas en la Segunda Guerra Mundial . Mbi Publishing Company. ISBN 978-0-7603-2984-9Archivado del original el 2 de junio de 2013. Consultado el 20 de mayo de 2012 .
  9. McMillan, Robert (27 de enero de 2012). "¿La primera contraseña de computadora del mundo? También era inútil" . Revista Wired . Consultado el 22 de marzo de 2019 .
  10. Hunt, Troy (26 de julio de 2017). "Las contraseñas evolucionaron: guía de autenticación para la era moderna" . Recuperado el 22 de marzo de 2019 .
  11. Instituto Tecnológico de Massachusetts (1965). El sistema de tiempo compartido compatible (PDF) (2.ª ed.). pág. 282.  
  12. 1 2 3 4 Morris, Robert y Thompson, Ken (1979). " Seguridad de contraseñas: un estudio de caso" . Communications of the ACM . 22 (11): 594– 597. CiteSeerX 10.1.1.135.2097 . doi : 10.1145/359168.359172 . S2CID 207656012. Archivado del original el 22 de marzo de 2003.  
  13. Tariq, Muneeb (26 de marzo de 2025). "10 usos de las contraseñas" . Educate Computer . Recuperado el 13 de noviembre de 2025 .
  14. Vance, Ashlee (10 de enero de 2010). "Si tu contraseña es 123456, simplemente cámbiala por HackMe" . The New York Times . Archivado del original el 11 de febrero de 2017.
  15. "Gestión de la seguridad de la red" . Archivado del original el 2 de marzo de 2008. Consultado el 31 de marzo de 2009 .{{cite web}}: CS1 maint: bot: estado de la URL original desconocido ( enlace ) . Fred Cohen and Associates. All.net. Consultado el 20 de mayo de 2012.
  16. 1 2 3 4 Lundin, Leigh (11 de agosto de 2013). "PINs y contraseñas, parte 2" . Contraseñas . Orlando: SleuthSayers.
  17. "Facilidad para recordar contraseñas y seguridad: resultados empíricos" (PDF) . Facultad de Informática de la Universidad de Newcastle . Archivado del original (PDF) el 14 de abril de 2012. Consultado el 27 de mayo de 2026 .
  18. Michael E. Whitman; Herbert J. Mattord (2014). Principios de seguridad de la información . Cengage Learning. pág. 162. ISBN  978-1-305-17673-7.
  19. Rubenking, Neil J. (17 de abril de 2026). "Dejé de usar generadores de contraseñas y creé uno mejor en Excel. Aquí te explico cómo" . PCMag . Consultado el 28 de mayo de 2026 .
  20. Lewis, Dave (2011). Ctrl-Alt-Delete . Lulu.com (publicado el 25 de enero de 2017). pág. 17. ISBN  978-1471019111.
  21. Techlicious / Fox Van Allen @techlicious (8 de agosto de 2013). "Google revela las 10 peores ideas de contraseñas" . Time . Archivado del original el 22 de octubre de 2013. Consultado el 16 de octubre de 2013 .
  22. Fleishman, Glenn (24 de noviembre de 2015). "Anota tus contraseñas para mejorar la seguridad: una idea contraintuitiva que te hace menos vulnerable a los ataques remotos, no más" . MacWorld . Consultado el 28 de abril de 2021 .
  23. 1 2 Blog de Lyquix: ¿Necesitamos ocultar las contraseñas? Archivado el 25 de abril de 2012 en Wayback Machine . Lyquix.com. Consultado el 20 de mayo de 2012.
  24. Kent, Jonathan (31 de marzo de 2005). "Ladrones de coches en Malasia roban un dedo" . BBC News . Consultado el 28 de mayo de 2026 .
  25. Temoshok, David; Fenton, James L; Choong, Yee-Yin; Lefkovitz, Naomi; Regenscheid, Andrew; Galluzzo, Ryan; Richer, Justin P (1 de agosto de 2025). NIST SP 800-63B-4:: Directrices de identidad digital: autenticación y gestión de autenticadores (PDF) (Informe). Gaithersburg, MD: Instituto Nacional de Estándares y Tecnología . pág. 30. doi : 10.6028/NIST.SP.800-63B-4 . Recuperado el 27 de mayo de 2026 . 
  26. Stuart Brown "Las diez contraseñas más usadas en el Reino Unido" . Archivado del original el 8 de noviembre de 2006. Consultado el 14 de agosto de 2007 .Modernlifeisrubbish.co.uk (26 de mayo de 2006). Consultado el 20 de mayo de 2012.
  27. ↑ Patente estadounidense 8046827 , Corella, Francisco, "Control de acceso al contexto de interacción de la aplicación", publicada el 18 de diciembre de 2008. 
  28. Wilkes, Maurice V. (1972). Sistemas informáticos de tiempo compartido . Monografías informáticas; [5]. Nueva York: Macdonald [ua] ISBN 978-0-356-03985-5.
  29. Schofield, Jack (10 de marzo de 2003). "Roger Needham" . The Guardian .
  30. El encantador de insectos: Las contraseñas importan. Archivado el 2 de noviembre de 2013 en Wayback Machine . Bugcharmer.blogspot.com (20 de junio de 2012). Consultado el 30 de julio de 2013.
  31. 1 2 Alexander, Steven. (20 de junio de 2012) El Encantador de Errores: ¿Qué tan largas deben ser las contraseñas? Archivado el 20 de septiembre de 2012 en Wayback Machine . Bugcharmer.blogspot.com. Recuperado el 30 de julio de 2013.
  32. "passlib.hash - Esquemas de hash de contraseñas" Archivado el 21 de julio de 2013 en Wayback Machine .
  33. 1 2 Florencio, Dinei; Herley, Cormac; van Oorschot, Paul C. "Guía del administrador para la investigación de contraseñas de Internet" (PDF) . Microsoft Research . Archivado del original (PDF) el 14 de febrero de 2015. Recuperado el 27 de mayo de 2026 .
  34. Historia de descifrado: cómo descifré más de 122 millones de contraseñas con hash SHA1 y MD5 «  Blog de Thireus Archivado el 30 de agosto de 2012 en Wayback Machine . Blog.thireus.com (29 de agosto de 2012). Consultado el 30 de julio de 2013.
  35. Protección con contraseña para sistemas operativos modernos. Archivado el 11 de marzo de 2016 en Wayback Machine (pdf). Usenix.org. Consultado el 20 de mayo de 2012.
  36. Cómo evitar que Windows almacene un hash de LAN Manager de su contraseña en Active Directory y bases de datos SAM locales . Archivado el 9 de mayo de 2006 en Wayback Machine . support.microsoft.com (3 de diciembre de 2007). Consultado el 20 de mayo de 2012.
  37. "Por qué deberías mentir al configurar preguntas de seguridad de contraseñas" . Techlicious. 8 de marzo de 2013. Archivado del original el 23 de octubre de 2013. Consultado el 16 de octubre de 2013 .
  38. Shay, R.; Komanduri, S.; Kelley, PG; Leon, PG; Mazurek, ML; Bauer, L.; Cranor, LF (2010). "Encuentro con requisitos de contraseña más estrictos: actitudes y comportamientos de los usuarios" . Actas del Sexto Simposio sobre Privacidad y Seguridad Usables . págs. 1–20 . doi : 10.1145/1837110.1837113 . Recuperado el 30 de abril de 2025 . 
  39. 1 2 Joseph Steinberg (12 de noviembre de 2014). "Forbes: Por qué deberías ignorar todo lo que te han dicho sobre cómo elegir contraseñas" . Forbes . Archivado del original el 12 de noviembre de 2014. Recuperado el 12 de noviembre de 2014 .
  40. "Los problemas de forzar la caducidad periódica de las contraseñas" . IA Matters . CESG: el brazo de seguridad de la información del GCHQ. 15 de abril de 2016. Archivado del original el 17 de agosto de 2016. Consultado el 5 de agosto de 2016 .
  41. Discusión de Schneier sobre seguridad y cambio de contraseñas. Archivado el 30 de diciembre de 2010 en Wayback Machine . Schneier.com. Consultado el 20 de mayo de 2012.
  42. Seltzer, Larry. (9 de febrero de 2010) "American Express: Crédito sólido, contraseñas débiles". Archivado el 12 de julio de 2017 en Wayback Machine . Pcmag.com. Consultado el 20 de mayo de 2012.
  43. "Diez mitos sobre las contraseñas de Windows" : "Los cuadros de diálogo de NT... limitaban las contraseñas a un máximo de 14 caracteres".  
  44. "Debes proporcionar una contraseña de entre 1 y 8 caracteres" . Jira.codehaus.org. Consultado el 20 de mayo de 2012. Archivado el 21 de mayo de 2015 en Wayback Machine.
  45. "¿Con mayúscula o sin mayúscula?" Archivado el 17 de febrero de 2009 en Wayback Machine . World.std.com. Consultado el 20 de mayo de 2012.
  46. Thomas, Keir (10 de febrero de 2011). "La reutilización de contraseñas es demasiado común, según una investigación" . PC World . Archivado del original el 12 de agosto de 2014. Consultado el 10 de agosto de 2014 .
  47. Pauli, Darren (16 de julio de 2014). "Microsoft: NECESITAS contraseñas malas y deberías reutilizarlas mucho" . The Register . Archivado del original el 12 de agosto de 2014. Recuperado el 10 de agosto de 2014 .
  48. "Informe sobre el uso de los medios y las actitudes de los adultos 2026" (PDF) . Ofcom . 2 de abril de 2026. págs. 21–22 . Consultado el 26 de mayo de 2026. Más de una cuarta parte (26%) [de los adultos en línea] reutilizan contraseñas en diferentes cuentas... El 13% de los adultos en línea que reutilizan contraseñas... dijeron que sus cuentas de correo electrónico o redes sociales habían sido pirateadas. 
  49. Bruce Schneier : Boletín informativo Crypto-Gram Archivado el 15 de noviembre de 2011 en Wayback Machine 15 de mayo de 2001  
  50. "Diez mitos sobre las contraseñas de Windows" : Mito n.° 7. Nunca debes anotar tu contraseña.  
  51. Kotadia, Munir (23 de mayo de 2005) El gurú de la seguridad de Microsoft: Anota tus contraseñas . News.cnet.com. Consultado el 20 de mayo de 2012.
  52. "El dilema de la contraseña segura" Archivado el 18 de julio de 2010 en Wayback Machine por Richard E. Smith: "podemos resumir las reglas clásicas de selección de contraseñas de la siguiente manera: La contraseña debe ser imposible de recordar y nunca debe escribirse."
  53. Bob Jenkins (11 de enero de 2013). "Cómo elegir contraseñas aleatorias" . Archivado del original el 18 de septiembre de 2010.
  54. "La memorizabilidad y la seguridad de las contraseñas: algunos resultados empíricos" Archivado el 19 de febrero de 2011 en Wayback Machine (pdf)
    "Tu contraseña... en un lugar seguro, como la parte trasera de tu cartera o monedero."
  55. "¿Debo anotar mi contraseña?" Archivado el 17 de febrero de 2009 en Wayback Machine . World.std.com. Consultado el 20 de mayo de 2012.
  56. "Los mejores gestores de contraseñas gratuitos de 2025: proteja sus credenciales" . TechRadar . 27 de julio de 2022. Consultado el 13 de noviembre de 2025 .
  57. Redding, David E.; Artículos, AEP publicados en (19 de abril de 2019). "Su patrimonio podría tener un grave problema de contraseñas" . Kiplinger.com . Consultado el 17 de agosto de 2024 .
  58. Howley, Dan (17 de junio de 2016). "Hay una forma rápida y sencilla de estar más seguro en línea" . Yahoo Tech . Archivado del original el 17 de octubre de 2025. Recuperado el 28 de mayo de 2026 .
  59. Goodin, Dan (3 de junio de 2019). "Microsoft dice que el cambio obligatorio de contraseñas es "antiguo y obsoleto"" . Ars Technica . Consultado el 1 de noviembre de 2022 .
  60. Kristen Ranta-Haikal Wilson (9 de marzo de 2020). "El debate en torno a las políticas de rotación de contraseñas" . Instituto SANS . Archivado del original el 17 de octubre de 2025. Recuperado el 31 de octubre de 2022 .
  61. AlFayyadh, Bander; Thorsheim, Per; Jøsang, Audun; Klevjer, Henning. "Mejora de la usabilidad de la gestión de contraseñas con políticas de contraseñas estandarizadas" (PDF) . Archivado (PDF) del original el 20 de junio de 2013. Recuperado el 12 de octubre de 2012 .
  62. 1 2 Tung, Liam (9 de agosto de 2017). "¿Odias las reglas absurdas de contraseñas? El que las creó también" . ZDNet . Archivado del original el 29 de marzo de 2018.
  63. McMillan, Robert (7 de agosto de 2017). "El hombre que escribió esas reglas de contraseñas tiene un nuevo consejo: ¡N3v$r M1^d!" . The Wall Street Journal . Archivado del original el 9 de agosto de 2017.
  64. 1 2 Roberts, Jeff John (11 de mayo de 2017). "Los expertos dicen que por fin podemos deshacernos de esas estúpidas reglas de contraseñas" . Fortune . Archivado del original el 28 de junio de 2018.
  65. Wisniewski, Chester (18 de agosto de 2016). "Las nuevas reglas de contraseñas del NIST: lo que necesitas saber" . Naked Security . Archivado del original el 28 de junio de 2018.
  66. Tsokkis, Pieris; Stavrou, Eliana (junio de 2018). «Una herramienta generadora de contraseñas para aumentar la concienciación de los usuarios sobre las malas estrategias de creación de contraseñas». Simposio Internacional de Redes, Ordenadores y Comunicaciones (ISNCC) de 2018. IEEE. págs. 1-5 . Bibcode : 2018isnc.conf...35T . doi : 10.1109/ISNCC.2018.8531061 . ISBN  978-1-5386-3779-1.
  67. "Contraseña" . Departamento de Informática de la Universidad de Columbia . Archivado del original el 23 de abril de 2007. Consultado el 30 de mayo de 2026 .
  68. "Contraseñas del mundo real" . Schneier sobre seguridad . 14 de diciembre de 2006. Consultado el 30 de mayo de 2026 .
  69. Schneier, Bruce (14 de diciembre de 2006). "Las contraseñas de MySpace no son tan tontas" . Wired . Archivado del original el 20 de agosto de 2019. Consultado el 30 de mayo de 2026 .
  70. "CERT IN-98.03" . 16 de julio de 1998. Archivado del original el 16 de octubre de 2009. Consultado el 9 de septiembre de 2009 .
  71. 1 2 Urbina, Ian; Davis, Leslye (23 de noviembre de 2014). "La vida secreta de las contraseñas" . The New York Times . Archivado del original el 28 de noviembre de 2014.
  72. "Peores prácticas de contraseñas para consumidores (pdf)" (PDF) . Archivado (PDF) del original el 28 de julio de 2011.
  73. "Sitio web de la OTAN pirateado" . The Register . 24 de junio de 2011. Archivado del original el 29 de junio de 2011. Consultado el 24 de julio de 2011 .
  74. Biddle, Sam (11 de julio de 2011). "Anonymous filtra 90.000 cuentas de correo electrónico militares en su último ataque antiseguridad" . Gizmodo . Archivado del original el 14 de julio de 2017.
  75. "Análisis de contraseñas militares" . 12 de julio de 2011. Archivado del original el 15 de julio de 2011.
  76. "En la filtración de datos de LinkedIn de 2012 se robaron 117 millones de correos electrónicos y contraseñas, no 6,5 millones - Noticias de seguridad" . Trend Micro . 18 de mayo de 2016. Consultado el 11 de octubre de 2023 .
  77. Walker, Dale (14 de octubre de 2019). "¿Cómo obtienen los hackers tus contraseñas?" . IT Pro . Consultado el 27 de mayo de 2026 .
  78. "La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de esquemas de autenticación web" (PDF) . IEEE. 15 de mayo de 2012. Archivado del original (PDF) el 19 de marzo de 2015. Consultado el 11 de marzo de 2015 .
  79. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de esquemas de autenticación web (Informe). Universidad de Cambridge, Laboratorio de Computación. doi : 10.48456/tr-817 .
  80. "Gates predice la muerte de la contraseña" . CNET . 25 de febrero de 2004. Archivado del original el 2 de abril de 2015. Consultado el 14 de marzo de 2015 .
  81. Singal, Nidhi (17 de septiembre de 2021). "Sin contraseña para la cuenta de Microsoft: ¿Qué significa la autenticación sin contraseña?" . Business Today . Consultado el 12 de abril de 2022 .
  82. Brown, Daniel RL (2005), Recuperación de entropía secreta por parte del usuario: El protocolo Passmaze , 2005/434 , consultado el 27 de mayo de 2026
  83. T Matsumoto. H Matsumotot; K Yamada y S Hoshino (2002). Van Renesse, Rudolf L. (ed.). "Impacto de los dedos artificiales 'gomosos' en los sistemas de huellas dactilares". Proc SPIE . Técnicas de seguridad óptica y disuasión de falsificaciones IV. 4677 : 275. Bibcode : 2002SPIE.4677..275M . doi : 10.1117/12.462719 . S2CID 16897825 . 
  84. Wael (18 de septiembre de 2005). "Uso de AJAX para contraseñas de imágenes - Seguridad AJAX Parte 1 de 3" . Wael Chatila . Archivado del original el 16 de junio de 2006. Recuperado el 27 de mayo de 2026 .
  85. Butler, Rick A. (1 de septiembre de 2004). "Un rostro entre la multitud" . Revista Microsoft Certified Professional en línea . Archivado del original el 27 de junio de 2006. Recuperado el 27 de mayo de 2026 .
  86. "¿Qué es una contraseña gráfica? - Definición de Whatis.com - ver también: GUA, autenticación gráfica de usuario" . searchsecurity.techtarget.com . 4 de junio de 2007. Archivado del original el 19 de febrero de 2011. Consultado el 27 de mayo de 2026 .
  87. Ericka Chickowski (3 de noviembre de 2010). "Las imágenes podrían cambiar el panorama de la autenticación" . Dark Reading. Archivado del original el 10 de noviembre de 2010.
  88. "Confident Technologies ofrece autenticación multifactor basada en imágenes para reforzar las contraseñas en sitios web públicos" . marketwire . 28 de octubre de 2010. Archivado del original el 7 de noviembre de 2010.
  89. "Manual de usuario para el método y sistema de entrada de teclas bidimensionales (teclas 2D)" (PDF) . xpreeli.com . 8 de septiembre de 2008. Archivado del original (PDF) el 18 de julio de 2011. Consultado el 27 de mayo de 2026 .
  90. US20110055585A1 , Lee, Kok-Wah, "Métodos y sistemas para crear grandes secretos memorables y sus aplicaciones en ingeniería de la información", publicado el 3 de marzo de 2011 
  91. Kotadia, Munir (25 de febrero de 2004). "Gates predice la muerte de la contraseña" . ZDNet . Consultado el 8 de mayo de 2019 .
  92. "IBM revela cinco innovaciones que cambiarán nuestras vidas en cinco años" . IBM. 19 de diciembre de 2011. Archivado del original el 17 de marzo de 2015. Consultado el 14 de marzo de 2015 .
  93. "Ejecutivo de seguridad de Google: 'Las contraseñas han muerto'"" . CNET . 25 de febrero de 2004. Archivado del original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
  94. "Autenticación a escala" . IEEE. 25 de enero de 2013. Archivado del original el 2 de abril de 2015. Consultado el 12 de marzo de 2015 .
  95. Mims, Christopher (14 de julio de 2014). "La contraseña finalmente está muriendo. Aquí está la mía" . The Wall Street Journal . Archivado del original el 13 de marzo de 2015. Recuperado el 14 de marzo de 2015 .
  96. "Jeremy Grant, director de NSTIC, quiere acabar con las contraseñas" . FedScoop . 14 de septiembre de 2014. Archivado del original el 18 de marzo de 2015. Consultado el 14 de marzo de 2015 .
  97. "Descripción general de las especificaciones" . Alianza FIDO. 25 de febrero de 2014. Archivado del original el 15 de marzo de 2015. Consultado el 15 de marzo de 2015 .
  98. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (mayo de 2012). «La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de esquemas de autenticación web». Simposio IEEE de 2012 sobre seguridad y privacidad . págs. 553–567 . doi : 10.1109/SP.2012.44 . ISBN  978-1-4673-1244-8.
  99. Lurey, Craig (9 de junio de 2022). "Por qué la contraseña no ha muerto" . Infosecurity Magazine . Recuperado el 13 de noviembre de 2025 .
  • Contraseñas gráficas: una encuesta
  • Lista extensa de contraseñas de uso común.
  • Amplia colección de estadísticas sobre contraseñas
  • Artículos de investigación sobre criptografía basada en contraseñas
  • La conferencia internacional sobre contraseñas
  • Recomendaciones de procedimiento para organizaciones y administradores (PDF)
  • Centro de Investigación en Seguridad, Comunicaciones y Redes , Universidad de Plymouth (PDF)
  • Borrador de actualización de 2017 de los estándares de contraseñas del NIST para el gobierno federal de EE. UU.