Desafía a Graykey: ¡cómo lograr que no crackeen tu iPhone ni en mil años!
Desde hace unas semanas se conoce la existencia de GrayKey, un dispositivo capaz de desbloquear cualquier modelo de iPhone aunque cuente con el iOS más actualizado. Tras años teniendo que enviar los iPhone de sospechosos a empresas especializadas, parece que por fin cualquier comisaría que se haga con él, podrá desbloquearlos en muy poco tiempo.
Pero no son los únicos. Si el robo de iPhone está a la orden del día, imagínate lo que pasará cuando los GrayKey lleguen al mercado negro y puedan crackear todos los iPhone que sustraen al día.
En general, la obtención de las contraseñas en informática pasa por el clásico ensayo y error, también conocido como fuerza bruta. Es decir, un algoritmo introduce contraseñas consecutivamente hasta que da con la buena. Hasta ahora, la única protección que existía es que si intentas meter una contraseña errónea un número determinado de veces, el dispositivo se bloquea durante un tiempo.
Precisamente estos artilugios para desbloquear iPhone lo que hacen es aprovechar exploits de seguridad para eliminar esas demoras y seguir probando con más y más contraseñas.
Con el GreyKey de plena actualidad, el profesor asistente y criptógrafo Matthew Green ha publicado en Twitter cuánto tiempo costaría desbloquear un iPhone en función del tipo de contraseña que usamos. El resultado es muy revelador y muy decepcionante al mismo tiempo:
Guide to iOS estimated passcode cracking times (assumes random decimal passcode + an exploit that breaks SEP throttling):
— Matthew Green (@matthewdgreen) 16 de abril de 2018
4 digits: ~13min worst (~6.5avg)
6 digits: ~22.2hrs worst (~11.1avg)
8 digits: ~92.5days worst (~46avg)
10 digits: ~9259days worst (~4629avg)
Te puede interesar | Qué hacer si olvidas el código de desbloqueo de tu iPhone o iPad
¿Cómo elegir una contraseña segura?
Aunque emplees Touch ID o Face ID, es altamente recomendable que configures un código de seguridad para desbloquear tu iPhone. De este modo evitarás que cualquiera que coja tu dispositivo pueda acceder a la información que contiene.
En general, la mayoría suele configurar códigos PIN de 4 caracteres, sin embargo es posible cambiarlo a otros códigos más robustos y seguros como son:
- Código numérico personalizado.
- Código alfanumérico personalizado.
Las principales ventajas que presentan, que se traducen en mayor seguridad en tanto en cuanto hallar la contraseña será un proceso más largo, es que no tienen una longitud fija, sino que la eliges tú a tu gusto.
En el segundo caso además no solo hay 10 opciones - las cifras de 0 al 9 -, sino que también se incluyen todas las letras del abecedario, incrementando las opciones hasta las 72 - abecedario de 26 letras mayúsculas y 26 minúsculas, 10 cifras y 10 caracteres no convencionales -. Por tanto necesitarán más tiempo y más potencia de procesamiento.
Eso sí, algo de pura lógica: cuanto más larga y compleja sea una contraseña, más fácil será que la olvides y más tiempo te costará introducirla. Es el precio de la seguridad.
Te puede interesar | Está comprobado: no hay contraseña que resista este truco
Por qué deberías elegir un código alfanumérico personalizado? Un poco de probabilidad
Aunque la odiases en tu época de estudiante, la probabilidad y estadística son ciencias muy útiles en la vida diaria que sirven precisamente para desentrañar este misterio.
Concretamente tendremos que recordar el día que aprendiste permutaciones, variaciones y combinaciones. No, no voy a explicártelas todas, pero en este artículo de Vitutor está muy bien resumido todo.
Una vez repasado, es tan fácil como pensar en los códigos de 4 dígitos: tenemos que adivinar qué cifra ocupa cada uno de los cuatro lugares y en qué posición. No es lo mismo 1234 que 4321.
- Si usas un PIN de 4 cifras, las combinaciones posibles son: 10 ^4 = 10.000.
- Pero si usas un PIN de 4 caracteres alfanuméricos, las combinaciones son de 72^4 = 26.873.856
Si con el tweet de Green ya se veía que solo alargando el código numérico se dificultaba enormemente la tarea, con este pequeño cálculo se comprueba claramente que siempre será mejor una contraseña alfanumérica por muy corta que sea que un PIN de 4 cifras.
Actualmente, el tiempo de procesamiento es de 4 mil millones de cálculos por segundo, como leemos en Welivesecurity, con lo que la clave alfanumérica de 4 caracteres podría obtenerse en menos de una centésima de segundo. Es insuficiente, pero mucho más tiempo del que costaría el clásico PIN.
¿Qué longitud de código es segura?
Visto esto, queda claro que no solo tenemos que usar un código alfanumérico, sino que este debe ser largo. Como referencia, empleando 10 caracteres se superan los 3 trillones de combinaciones, alcanzando los 30 años de procesamiento. Con 11 caracteres nos vamos a más de 2.000 años. ¡Hemos dado con una clave infranqueable! Al menos, con la tecnología de hoy en día
La clave del éxito: 11 caracteres aleatorios combinando cifras, letras mayúsculas y minúsculas...¿serás capaz de recordarla?
El problema de irnos a los 10 u 11 caracteres alfanuméricos es la comodidad y la ergonomía. Precisamente por eso Green incide en mantenernos solo en las cifras: mientras que introducir una serie de cifras en el teclado numérico es cómodo y rápido, al pasar al alfanumérico muchos de nosotros terminamos introduciendo palabras para evitar errores, facilitando la tarea a los intrusos.
Y ya terminamos con algo tan sencillo como el nombre de tu perra y tu fecha de nacimiento "Lola1985". Intenta por todos los medios evitar las típicas palabras como el nombre de tu mascota o información que pueda sacarse fácilmente echando un ojo a tus redes sociales.
Asi que ya sabes, el resumen de todo esto es que te olvides del PIN de 4 dígitos y uses cualquiera de las otras dos opciones en un compromiso entre comodidad y seguridad.