¿Realmente sirve colocar números o mayúsculas en las contraseñas?

La técnica de hackeo conocida como “brute force attack” (un programa que via prueba-error trata con todas las combinaciones posibles de caracteres hasta encontrar una contraseña) se ha vuelto más común que nunca, como consecuencia de ello cada vez más servicios obligan a sus usuarios a utilizar no sólo caracteres alfabéticos, si no a agregar números, mayúsculas, etc, al momento de crear sus contraseñas de usuario
El razonamiento es: Las contraseñas que sólo utilicen letras serán más fáciles de descifrar que aquellas que incluyen otros caracteres como dígitos numéricos, símbolos, etc. Pero esa es la forma incorrecta de atacar el problema, pues se pasa por alto que la complejidad impuesta por la cantidad de caracteres en una contraseña es logarítmica.

Así que tenemos un escenario donde se nos pide crear contraseñas difíciles de recordar pero relativamente fáciles de descifrar:

Este simple cambio, usar contraseñas mucho más largas (con palabras sin relación entre si), puede incrementar la seguridad de un servicio hasta en 1000 veces. ¿Por qué no pedir contraseñas de 19 o más caracteres en lugar de obligar al uso de números, mayúsculas y símbolos que sólo hacen al password difícil “en apariencia”?, sobre todo cuando se ha comprobado que cuando los usuarios son forzados a usar contraseñas complejas, casi siempre usan las mismas familias de caracteres en LOS MISMOS lugares

Recordar que el punto más debil en un sistema es el password de los usuarios finales, si su nombre de usuario es “admin” y su contraseña es simplemente “password”, ningún sistema de seguridad podría protegerlo

Para quienes deseen una explicación más técnica: Why complex passwords may be less secure than you think

Contenido bajo licencia Creative Commons CC BY-NC.

Infografía inspirada por xkcd.com