Es posible que alguna vez te hayas preguntado por qué, cuando olvidas tu contraseña y pinchas sobre el botón “recuperar contraseña”, se inicia un proceso para crear una nueva clave de acceso, y nunca llegas a recuperar tu clave de acceso original.
La razón tiene que ver con la seguridad, y si te encuentras con algún servicio online que te permita recuperar sin problema la clave que has olvidado, nuestra recomendación es que te plantees muy seriamente cerrar tus cuentas y buscar opciones alternativas.
Ninguna empresa que se preocupe de verdad por la ciberseguridad almacenará las contraseñas reales de sus usuarios. Lo que se hace es guardar una representación hash unidireccional de las contraseñas, lo que evita que, en caso de brecha de seguridad, las contraseñas de los usuarios queden directamente expuestas.
Qué es un hash y para qué sirve
Una función criptográfica hash es un algoritmo matemático que transforma cualquier bloque de datos en una nueva serie de caracteres con una longitud fija o variable, en función del tipo de algoritmo que se esté utilizando.
Es un tipo de cifrado de una sola dirección y, por tanto, irreversible. El usuario crea su contraseña, ésta se cifra con un algoritmo que se calcula a partir de la clave real, y lo que se guarda en el servidor es esa representación de la clave que nosotros introdujimos originalmente.
De esta manera, cada vez que iniciamos sesión en un sitio, cuando introducimos la contraseña, ésta se cifra y el sistema compara si el hash coincide con el que está guardado en la base de datos, antes de concedernos o denegarnos el acceso.
Por eso, cuando olvidamos nuestra contraseña, no la podemos recuperar: porque en realidad lo que está guardado en las bases de datos es una representación algorítmica de nuestra clave, pero no la combinación de texto, número y símbolos originales.
¿Por qué utilizar una contraseña “segura” y difícil de recordar si todas se almacenan como representación hash?
Los hash no se pueden manipular para extraer una contraseña, pero sí que pueden intentar descifrar probando una a una a partir de una lista de opciones probables que se pueden encontrar en “diccionarios” online o a través de ataques de fuerza bruta.
Cuanto más segura sea la contraseña, más complicado resultará descifrar el hash. Además, tenemos que tener en cuenta que contraseñas como “123456” o “contraseña”, que, por desgracia, todavía son utilizadas por muchos usuarios, generan hashes ya conocidos, con lo que si no se ha utilizado medidas adicionales al encriptado hash, ni siquiera tendrán que tomarse el trabajo de descifrarlas.
Es cierto que, una buena base de datos de autenticación, antes de convertir la contraseña en hash, añadirá una cadena aleatoria única de caracteres que se denomina Salt, lo que se aumenta la seguridad, complica las posibilidades de que un ciberdelincuente consiga descifrar la contraseña, y consigue que si dos claves de acceso son iguales, los hash sean diferentes.
Normalmente, el valor salt se guarda separado de la base de datos de contraseñas, de manera que si no son robadas las dos bases de datos, se complica la labor de descifrado, pero no lo hace imposible.
Por eso, la mejor opción es utilizar una contraseña segura, cambiarla, si es posible, con cierta frecuencia, y estar pendiente de las informaciones que aparezcan sobre brechas de seguridad, para cambiar inmediatamente nuestras claves de acceso en el caso de que algún servicio del que hacemos uso haya un sufrido algún tipo de brecha de seguridad.
Por ejemplo, podéis suscribiros a las alertas de Have I Been Pwned, web sobre la que yo hablamos en un artículo anterior en que os contábamos cómo saber si tu cuenta había sido hackeada
