Sobran motivos para dudar de que un cierto número de usuarios de Internet merezcan ser miembros de la especie animal que se autodefine como inteligente. Estos días me ha llegado un estudio, uno de tantos que alertan sobre los fallos de seguridad en el uso de la web, del que escojo un aspecto inquietante: el ranking de las contraseñas más violadas, en una muestra de sitios que incluye Yahoo y LinkedIn además de otros menos populares.
El estudio viene avalado por una empresa que vende software para protección de contraseñas, pero esto no invalida su interés. Según este estudio, y otros sobre el mismo tema, la contraseña que encabeza la lista de las más violadas es… password. Como suena, hay gente, mucha gente, que usa password como password. En 2011 ocupaba también el primer puesto, de lo que se deduce que las advertencias caen en saco roto.
El año pasado, este blog publicó una entrevista con Jason Hart, antiguo hacker reconvertido en especialista en criptografía. «El camino más fácil – decía – sigue siendo la captura de contraseñas, que son el punto más vulnerable de las redes […] la mayoría de las personas son de una ingenuidad increíble en la elección y manejo de sus contraseñas: emplean la misma para todas sus cuentas de acceso, o usan variantes con la fecha de su cumpleaños, el nombre de sus hijos o de sus mascotas… cosas así. Cambiar periódicamente de contraseña puede ser muy aburrido».
Pues no sé yo si será menos aburrido elegir como contraseña la serie 123456 (segunda de la tabla), que al parecer era usada por el 37% de las cuentas de correo del ministerio griego de Finanzas, hackeadas por los activistas de Anonymous. Inmediatamente después viene una variante imaginativa: 12345678. Sé que parecerá increíble, pero las posiciones siguientes las ocupan estas otras contraseñas: abc123 y qwerty. La base de estas opciones es una idea radicalmente errónea, que una contraseña ha de construirse con caracteres simples y sucesivos. Esto las hace fáciles de recordar, y de capturar. Como esta otra que figura entre las diez primeras: iloveyou.
No es este el lugar para dar consejos, y sospecho que los lectores de este blog no los necesitan, pero los expertos como Hart recomiendan: 1) no use el diccionario como fuente de su contraseña; 2) no use la misma contraseña en dos sitios distintos; 3) evite dar respuestas fácilmente identificables a las preguntas de seguridad [alguien descubrió que Mitt Romney usaba como contraseña de su cuenta de Hotmail el nombre de su perro, que cualquiera puede rastrear en entrevistas de Internet]; y 4) invente una forma propia de conservar sus contraseñas lejos del ordenador (la mejor, y que quede entre nosotros, es una libreta de papel, a condición de no extraviarla).