Esto es una cuestión de preferencia personal, dependiendo de cómo perciba las amenazas contra usted y sus cuentas. Ciertamente, cambiaría todas las contraseñas importantes, y las cambiaría bastante sustancialmente.
En general, las contraseñas se ven comprometidas a granel cuando se roba un archivo de contraseña cifrado (hash) unidireccional de un sitio, como en los 153 millones de cuentas expuestas en la violación de Adobe (consulte: Anatomía de un desastre de contraseña: el gigante de Adobe error criptográfico). Al usar dicho archivo, los crackers profesionales aplican software especializado y bases de datos (diccionarios) de palabras y combinaciones de palabras para tratar de adivinar las contraseñas. También usan una serie de trucos bien conocidos como agregar caracteres o números o reemplazar caracteres con números (por ejemplo, 0 ao, 1 a i, etc.). Cada vez que se descifra una contraseña, esa contraseña se agrega a los diccionarios que tienden a pasarse.
Si su contraseña alguna vez se ha visto comprometida, se agregará un diccionario de cracker, y cualquier ejecución futura contra ese diccionario intentará que las contraseñas y todas las variaciones de la misma para todos los nombres de usuario. Del mismo modo, cualquier ataque que descubra su contraseña a través del enlace OpenSSL también agregará esa contraseña a uno de estos diccionarios.
- ¿Cuáles son algunos softwares antivirus confiables?
- ¿Qué sucede si un hacker experto en informática piratea una computadora y le hace algún daño?
- ¿Qué son los firewalls en una red informática?
- ¿Qué podrían hacer los peores hackers si tuvieran su contraseña para las cuentas de redes sociales?
- ¿Por qué los grandes sitios web -todavía- almacenan contraseñas de texto sin cifrado?
Dan Goodin habla sobre cómo funciona todo esto en el artículo Anatomy of a Crack de Ars Technica.
Una vez que se encuentra una contraseña en un sitio, los hackers confían en que use el mismo correo electrónico y contraseña en otros sitios (xkcd: Reutilización de contraseña). Las buenas combinaciones de nombre de usuario y contraseña se venden a spammers, piratas informáticos, estafadores … cualquiera que pague.
Por lo tanto, un cambio simple es mejor que ningún cambio, pero no ofrece mucha seguridad ya que la mayoría de los algoritmos de craqueo de alta potencia probarán casi todas las variantes simples que pueda imaginar.
Es mejor tener contraseñas únicas para cada sitio, e idealmente diferentes nombres de usuario si es posible.
Para recapitular: si su contraseña alguna vez se expone, ya sea a través del error OpenSSL, un ataque de phishing, un ataque man-in-the-middle o un ataque a una base de datos de contraseñas robadas que contiene una forma encriptada de su contraseña favorita, eso la contraseña y todas las variantes simples se deben considerar envenenadas para todo uso futuro, ya que esa contraseña formará parte de cualquier estrategia de adivinación en una futura violación del archivo de contraseña.
En un mundo perfecto, no hay contraseñas, solo autenticación de 2 factores, como certificados protegidos por contraseña o contraseñas generadas una sola vez.
En un mundo perfecto de 1 factor, cada sitio debe tener un nombre de usuario único y una contraseña única.
De manera más manejable, debe usar un servicio como LastPass para administrar una contraseña única para cada sitio.
Como mínimo, debe tener unos 3 o 4 “niveles” de contraseña.
- Servicios financieros. Fuerte, cambiado con frecuencia
- Cuenta de correo electrónico. Esto debería ser único, ya que un compromiso tendrá tanto su correo electrónico como una contraseña robada. La mejor manera de proteger su cuenta de correo electrónico es asegurarse de que sea la única cuenta con esa dirección.
- Redes sociales y comercio minorista. Razonablemente fuerte, no cambia con tanta frecuencia.
- Tirar a la basura. Para lugares que requieren una cuenta donde simplemente no te importa.
Nunca use la misma contraseña en todas partes. Ciertamente, no superponga la contraseña de su cuenta de correo electrónico con otras cuentas vinculadas a esa dirección de correo electrónico.