¿Recuerdas el hackeo de contraseñas de Gawker Media en 2010?

Comparando las peores contraseñas de 2014 con el listado de Gawker Media de las infames 50 contraseñas más hackeadas en 2010.

Gizmodo ha publicado una lista de las contraseñas más populares de 2014, ridiculizando a los ‘tontos’ que prácticamente regalan sus credenciales. Irónicamente, hay que recordar que Gizmodo es propiedad de Gawker Media, que se convirtió en el prototipo de la administración de contraseñas malas en 2010 cuando los atacantes pusieron en peligro las redes de Gawker y descifraron casi 200,000 contraseñas terribles. ¿No sería un ejercicio interesante comparar el objeto de desprecio actual de Gizmodo con su cantidad de lectores en 2010?

password

Curiosamente, 16 de las 25 contraseñas dentro del listado anual de las contraseñas más populares (e ineficaces) también estaban en la lista de las contraseñas más hackeadas de la filtración de lista de Gawker en 2010. Si cogemos las top 50 contraseñas más hackeadas de esta lista, solo hay 4 contraseñas nuevas que no están incluidas ninguna de las dos listas. Por lo tanto, si tu contraseña es “access” o “mustang”, o la típica infantil de “696969”, entonces lo estás haciendo mejor que la mayoría de la gente.

Esta lista en sí es un conjunto de credenciales que contiene las fugas de datos del año pasado, recopilado por la firma de seguridad SplashData. Como se puede ver a continuación, SplashData publica un listado anual y añade una anotación al lado de cada contraseña entre paréntesis indicando la evolución respecto al año anterior. He puesto un asterisco al lado de aquellas contraseñas que también figuraban en el top 50 de la lsita de Gawker.

  1. 123456 (Sin cambios)*
  2. password (Sin cambios)*
  3. 12345 (17 más)*
  4. 12345678 (1 menos)*
  5. qwerty (1 menos)*
  6. 123456789 (Sin cambios)
  7. 1234 (9 más)*
  8. baseball (nueva)*
  9. dragon (nueva)*
  10. football (nueva)*
  11. 1234567 (4 menos)*
  12. monkey (5 más)*
  13. letmein (1 más)*
  14. abc123 (9 menos)*
  15. 111111 (8 menos)*
  16. mustang (nueva)
  17. access (nueva)
  18. shadow (sin cambios)*
  19. master (nueva)*
  20. michael (nueva)*
  21. superman (nueva)*
  22. 696969 (nueva)
  23. 123123 (12 menos)*
  24. batman (nueva)*
  25. trustno1 (1 menos)*

Es interesante que un 80% de las contraseñas que figuran como “nuevas” estuvieran también en el top 50 de la lista de Gawker de hace más de cuatro años. También es interesante que la contraseña “123456789” no es nueva en la lista de SplashData, pero no aparece en el infame top 50 de la lista de Gawker.

Siendo justos, las contraseñas que se filtraron de Gawker estaban codificadas. Lo que pasa es que 188.000 de ellas estaban tan mal concebidas como para ser fácilmente decodificadas  en base a sus propios hashes. La codificación de contraseñas es un requerimiento mínimo de seguridad. Lo que aprendimos de Gawker es que hasta los expertos en tecnología son malos a la hora de gestionar sus contraseñas.

La moraleja de esta historia no revela nada nuevo en particular: la gente es muy mala a la hora de crear contraseñas.

La moraleja de esta historia no revela nada nuevo en particular: la gente es muy mala a la hora de crear contraseñas. Peor aún, la gente es bastante mala en cuanto a la seguridad en general. Esa es la razón por la que las industrias de alta tecnología y seguridad necesitan tomar cartas en el asunto. No se puede culpar a los usuarios por el hackeo de datos como los que inspiraron este listado o como los que llevaron a la filtración de fotos de miles de celebridades.

De hecho puedo decir y, de hecho, ya lo he contado antes cómo crear una contraseña fuerte y fácil de recordar. Tampoco tiene ningún misterio. Todo el mundo sabe más o menos qué hace que una contraseña sea una buena. La realidad es que conocemos los riesgos que se asocian con las contraseñas débiles y nos mofamos de ellas; sabemos cómo crear buenas contraseñas, pero nos da pereza administrar varias contraseñas únicas para cada inicio de sesión.

Es por esto que los esfuerzos como el de “Digits” de Twitter y el TouchID de Apple así como otros sistemas biométricos basados en mensajería o de 2 pasos, son tan prometedores. Sabemos que no son perfectos, pero nos ofrecen la oportunidad de experimentar con nuevas formas de autenticación que podrían guiarnos fuera de las peores formas de autenticación: las contraseñas.

Recuerda que puedes descargarte de forma gratuita nuestro gestor de contraseñas.

Consejos