¿Cuanto se tarda en romper una clave?
La cuestión no tiene una respuesta sencilla, ya que el tiempo exacto depende de muchos factores. Pero si el recurso protegido por clave no tiene un n´umero máximo de reintentos, y se encuentra conectado a Internet: sin duda su seguridad puede estar comprometida.
La gente de Activania se ha tomado la molestia de elaborar una tabla, que reproduciré aquí
| Longitud | Todos los caracteres | Sólo minúsculas |
|---|---|---|
| 3 caracteres | 0.86 segundos | 0.02 segundos |
| 4 caracteres | 1.36 minutos | 0.046 segundos |
| 5 caracteres | 2.15 horas | 11.9 segundos |
| 6 caracteres | 8.51 días | 5.15 minutos |
| 7 caracteres | 2.21 años | 2.23 horas |
| 8 caracteres | 2.10 centurias | 2.42 días |
| 9 caracteres | 20 milenios | 2.07 meses |
| 10 caracteres | 1,899 milenios | 4.48 años |
| 11 caracteres | 180,365 milenios | 1.16 centurias |
| 12 caracteres | 17,184,705 milenios | 3.03 milenios |
| 13 caracteres | 1,627,797,068 milenios | 78.7 milenios |
| 14 caracteres | 154,640,721,434 milenios | 2,046 milenios |
Como vemos, se necesitan al menos siete (7) caracteres para estar seguros si la contraseña contiene caracteres especiales o bien entre nueve (9) y diez (10) si sólo consiste en letras minúsculas.
Sin duda una buena clave será aquella que podamos recordar fácilmente sin necesidad de anotarla, pero a la vez no sea deducible a partir de datos demográficos asociados a nosotros, como nombres, fechas, teléfonos o direcciones.
La clave ideal será suficientemente larga (como vimos, con más de siete (7) caracteres, e incluirá una combinación de números y letras, mayúsculas y minúsculas.
Muy bien, tengo mi clave. ¿Cómo saber si es buena?
Existen aplicaciones en línea que permiten medir la resistencia o calidad de la clave elegida.
Una de las más conocidas es un servicio ofrecido por la empresa microsoft en su sitio web. La pantalla ofrece un lugar donde ingresar la clave elegida, y le da el resultado de la evaluación dinámicamente a medida que Ud. ingresa su clave.
Puede ver la aplicación picando aquí
¿Y puedo confiar en ese resultado?
Una vez más, no hay una respuesta sencilla. Sin duda una medición baja es indicio de una mala clave, pero una alta no necesariamente indica una buena clave. Aparentemente el algoritmo elegido por la empresa tendría algunos problemas.
Según una fuente en Internet, la clave Matthew1 califica como "STRONG" (FUERTE) mientras que otra como dsg345j345gfb5k3tykf54k5k32k5j4b5bbb54f2b45f354j32o5 califica como "MEDIUM" (MEDIA).
Si uno observa la longitud y complejidad de las claves, parecería bastante más fácil de romper la clave "Matthew1" (basada en un nombre común) antes que una cadena de números y letras generada aleatoriamente, por m´s que la cadena no incluya ninguna letra mayúscula...
Si el tema interesa, iré agregando sitios alternativos (una vez los encuentre.) ¿Conoces tu un sitio que testee la fortaleza de una clave? Envíame un email.