La teva contrasenya té menys de vuit caràcters? Podrien hackejar-la en menys d'una hora

Es fan servir per a gairebé tot: accedir al banc, al correu, a l'ordinador, a les xarxes socials…, però quina seguretat ofereixen? Si les contrasenyes no tenen l'extensió i la combinació de lletres, xifres i símbols que els experts recomanen, podrien hackejar-les en un tres i no res. A aquesta conclusió arriba un estudi recent de la companyia de seguretat cibernètica Hive Systems, que afirma que les contrasenyes amb menys de dotze caràcters es poden hackejar a l'instant si només contenen xifres. I una cosa semblant passa en el cas que només estiguin formades per lletres minúscules.

I si s'inclouen majúscules, minúscules, xifres i símbols? Llavors la situació canvia, encara que es continua estant desprotegit si s'opta per una contrasenya curta. De fet, al hacker només li caldria una mica més de paciència: en cas que no tingui més de vuit caràcters, podria trobar-la en 39 minuts. Per contra, si s'empra una combinació de 12 caràcters amb majúscules, minúscules, xifres i símbols, els hackers trigarien ni més ni menys que 3.000 anys a esbrinar-la.

Quina és, llavors, l'extensió i la combinació recomanades per estar prou protegits sense haver de tenir una gran memòria per recordar-la? "Si hi ha xifres, lletres i símbols especials com ara +, -, (, $, @, €... , a partir de deu caràcters ja es considera que, amb els ordinadors actuals, el temps necessari per trobar la contrasenya, si no es tracta d'una paraula coneguda, és suficient per no perdre el temps intentant-ho", explica Jordi Serra, professor dels Estudis d'Informàtica, Multimèdia i Telecomunicació de la UOC, que afegeix que tot depèn de com estigui construïda aquesta contrasenya. "Si es fa a partir de paraules que són al diccionari, no és gaire rellevant la longitud. Hi ha eines que assagen combinacions de paraules conegudes agregant-hi també dates. Per a la resta, el que es fa és crear combinacions de lletres i xifres, i anar provant. Com més lletres tingui, més combinacions possibles s'hauran de comprovar fins a trobar la bona."

En qualsevol cas, sempre serà bona idea no utilitzar les més freqüents. A l'Estat espanyol, en el primer lloc del rànquing de contrasenyes més usades el 2021 se situa la combinació de xifres 12345, seguida d'123456 i 123456789, segons l'estudi anual de NordPass, que també ofereix altres dades curioses, com per exemple que a la posició 10 s'hi troba "barcelona"; a la 12, "España"; a la 16, "alejandro", i a la 18, "tequiero". O que, igual que a l'Estat espanyol, als països llatinoamericans el nom de l'equip de futbol preferit tampoc no és una bona opció, ja que figura al cinquè lloc en algunes regions. I, si busquem les contrasenyes més emprades a escala mundial, a més de les combinacions numèriques que també apareixen en les primeres posicions a l'Estat espanyol, la primera fila de lletres del teclat d'ordinador és la preferida: la combinació "qwerty" ocupa el quart lloc. A continuació hi ha la paraula password.

Els tres mètodes d'identificació

Malgrat que fa anys els experts en ciberseguretat van predir un món futur sense contrasenyes, avui la majoria augura una llarga vida per a la contrasenya perquè la considerar molt segura si se segueix la màxima de crear-la combinant símbols, xifres i lletres amb una extensió suficient. No obstant això, no és l'únic mètode d'identificació. Com explica Jordi Serra, en l'actualitat n'hi ha tres, que es resumeixen en tres aspectes: "Un és el que sabem (contrasenyes), un altre és el que som (biometria, empremta dactilar...), i el tercer, el que tenim (un dispositiu únic al qual podem enviar un codi)."

Respecte a quin és el més segur, el professor de la UOC afirma que el dispositiu, ben utilitzat, és molt útil. "Si podem assegurar que no se'ns dupliquen aquests dispositius, o els roben, és segur enviar un codi únic d'accés. El problema és la usabilitat, ja que cal tenir-lo a mà cada vegada que es vulgui entrar en un servei, per la qual cosa és poc usable", aclareix. Respecte a la biometria, fins avui s'ha descrit com a única perquè no s'ha pogut demostrar que hi hagi dues persones amb la mateixa empremta dactilar. El problema d'aquest mètode d'identificació és que s'obtinguin les dades associades a la biometria. En aquest cas, "no podríem modificar aquesta característica del nostre dit per canviar l'accés, i només tenim deu dits". Finalment, hi ha les contrasenyes, "que, si bé són les més febles, són les més versàtils i fàcils d'emprar. Únicament cal fer-les servir bé", adverteix.

La bona notícia és que, com que hi ha diversos mètodes possibles d'identificació, podem protegir més bé els nostres accessos. La recomanació és utilitzar-los de manera combinada. En opinió de Jordi Serra, si volem posar-ho difícil a qui intenti hackejar els nostres accessos, el millor és "activar, si es pot, el segon factor d'autenticació, és a dir, emprar dos dels tres sistemes d'identificació. El més habitual és la contrasenya i el codi únic al mòbil alhora", però sempre que dediquem una mica de temps a crear una contrasenya "difícil" que contingui més de deu caràcters amb lletres, xifres i caràcters especials. "Podem recordar una frase d'algun llibre o refrany, i construir-la amb les primeres lletres de cada paraula, a més d'incloure-hi també alguna xifra i caràcter addicionalment per arribar a tenir una contrasenya de més de deu posicions sense que tingui cap sentit llegit." Un exemple? "'VaUgvAuGaCjsF3+' podria ser per la frase 'Vet aquí un gat vet aquí un gos aquest conte ja s'ha fos' i afegir-hi 3+ al final. Ara no fem servir tots aquesta contrasenya per a tot!", adverteix.