A pesar de los años el uso de contraseñas débiles sigue siendo una vulnerabilidad latente en las compañías de todo el mundo. Cabe resaltar que los hackers maliciosos utilizan herramientas de descifrado offline como John The Ripper y Hashcat o Hydra y Medusa para ataques de fuerza bruta o diccionario. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés), agencia encargada de prevenir y combatir delitos informáticos publico una lista de los 100,000 passwords usados más inseguros.

A continuación listaremos las primeras 25 contraseñas o passwords más usadas del listado:

• 123456
• 123456789
• qwerty
• password
• 111111
• 12345678
• abc123
• 1234567
• password1
• 12345
• 1234567890
• 123123
• 000000
• iloveyou
• 1234
• 1q2w3e4r5t
• qwertyuiop
• 123
• monkey
• dragon
• 123456a
• 654321
• 123321
• 666666
• 1qaz2wsx

El listado completo de las contraseñas débiles  las pueden encontrar aquí.

En el listado de las peores contraseñas también aparece términos muy comunes como “superman”, “pokemon”, ”genius”, o nombres como “carlos”, “angela”, “maria” o “gabriel”, escritos así, sin mayúsculas ni tildes.

Hay otras contraseñas también muy inseguras, que sin embargo no aparecen en el listado, como por ejemplo cuando los empleados de una misma compañía utilizan el nombre de la empresa y el año para acceder a las plataformas personales o corporativas.

No se deben de reutilizar las contraseñas

• Para NCSC, uno de los mayores riesgos para las personas y las compañías es utilizar la misma contraseña para varias plataformas. La contraseña “123456”, por ejemplo, ha aparecido 23 millones de veces en las filtraciones a partir de las que se hizo el listado.
• Los atacantes constantemente están probando estas contraseñas más comunes en nuestras redes sociales, correos electrónicos y sistemas corporativos. Estas contraseñas débiles pueden comprometer nuestra privacidad y exponer información sensible.
• Una contraseña débil puede ser el punto de entrada a toda la información de nuestra organización porque los atacantes suelen hacer “movimientos laterales” entre los activos informáticos de la organización.

Recomendaciones

Algunas recomendaciones para tener contraseñas más seguras:

• Utilizar palabras aleatorias pero fáciles de recordar y/o combinaciones de ellas con un mínimo de 8 dígitos alfanumérico.
• Las contraseñas de cuantas bancarias, sistemas de almacenamiento, el correo electrónico o redes sociales, es mejor no repetir las contraseñas.
• Se recomienda implementar un sistema de autenticación en dos pasos que soliciten una segunda clave de acceso como una pregunta de seguridad o un código temporal. Esta funcionalidad la tienen los correos electrónicos, redes sociales y sistemas corporativos pero depende de los usuarios habilitar dicha funcionalidad.

Fuentes:

• https://www.bbc.com/mundo/noticias-internacional-48015898
• https://www.ncsc.gov.uk/news/most-hacked-passwords-revealed-as-uk-cyber-survey-exposes-gaps-in-online-security