La tiranía de la creación de contraseñas

towfiqu barbhuiya FnA5pAzqhMM unsplash

El otro día, al registrarme en un nuevo sitio, me encontré con la tediosa acción de crear una nueva contraseña. Pese a usar gestor de contraseñas y tener en mis sitios predilectos contraseñas aleatorias, para otras webs en las que no accedo donde tengo el gestor de contraseñas instalado, prefiero crear contraseñas sencillas de memorizar, pero difíciles de adivinar mediante técnicas de fuerza bruta.

“Por favor cree una contraseña de 8 caracteres con mayúsculas minúsculas números y caracteres especiales” pero…¿cómo voy a memorizar esto? Estoy en el móvil ¿Dónde lo guardo? ¿De verdad los usuarios estamos obligados a sufrir la tiranía de las contraseñas? ¿Dónde está el balance de la usabilidad vs la seguridad aquí? ¿Qué sentido tiene que todavía se mantengan este tipo de políticas de contraseñas?

Si pensamos en cómo funciona la memoria, es mucho más sencillo recordar frases relacionadas con nosotros que una palabra formada por números letras y símbolos. Si el problema es la fuerza bruta, mientras la frase sea suficientemente larga no tenemos nada que temer. Por ejemplo, que te resulta más sencillo de memorizar “m0sKit0-*” o “me.gusta.pasear.por.las.tardes.en.invierno”. ¿Cuál de ambas te parece más segura?


Siempre he creído que los usuarios no tienen por qué ser expertos en seguridad para sentirse seguros en Internet, lo mismo que no tengo porque saber cómo se construye un coche para conducirlo. Hay unas pautas y normas que seguir y aprenderemos por nuestra propia seguridad, pero desde las empresas busquemos facilitar el manejo a los usuarios lo máximo posible.

Pese a las múltiples alternativas de fortificar logins como el factor de autenticación múltiple (MFA) o el single sign on, si por la razón que sea no podemos incluirlo en nuestra web, al menos pensemos en que opción sería más sencilla para nuestros usuarios en caso de la creación de contraseñas sin mermar en la complejidad de las mismas.