Mientras que los algoritmos criptográficos son hoy indescifrables gracias a la multitud de claves posibles, las contraseñas empleadas son los eslabones débiles de los actuales sistemas de cifrado. Por un lado, un ser humano tiene que ser capaz de recordar la contraseña; por otro, hay que introducirla y otras personas o programas pueden espiarla.
Hay varias formas de identificar una contraseña:
Las escuchas, el espionaje, el chantaje y el engaño son todos buenos métodos para obtener la posesión directa de una contraseña. Los métodos técnicos sólo pueden ofrecer protección en casos aislados. En este contexto, todo depende de que el usuario tenga cuidado.
La adivinación es posible en cuanto el autor conoce bien al usuario y si la contraseña se ha elegido sin el cuidado necesario. Los errores típicos en este contexto son los nombres de las parejas, los hijos y las mascotas o también los números de teléfono y los cumpleaños como contraseñas.
Prueba y error. El idioma alemán, por ejemplo, abarca aproximadamente entre 300.000 y 500.000 palabras. El diccionario Duden incluye 120.000 palabras clave. El poeta Goethe utilizaba unas 80.000 palabras. Una persona "normal" utiliza un máximo de 10.000 palabras. El periódico popular alemán Bild utiliza 1.500. Si se elige una palabra simple como contraseña, hay una alta probabilidad de que pueda ser identificada después de unos cientos de miles de intentos simplemente trabajando a través de todas estas palabras - ningún problema si se utiliza un ordenador.
La biblioteca integrada en Steganos Safe le advierte si la contraseña que ha elegido es fácilmente descifrable comparándola con más de medio millón de entradas. Se necesitan aproximadamente 0,3 segundos para comprobar una contraseña (P4 3GHz): en otras palabras, tres contraseñas por segundo. Así, si, por ejemplo, se utiliza una palabra del periódico Bild, puede ser identificada en un máximo de 500 segundos, es decir, algo más de 9 minutos, si el autor dispone de los medios técnicos para automatizar este proceso.
Si se combinan aleatoriamente cuatro caracteres cualesquiera (letras mayúsculas y minúsculas y números) se obtienen más de 14 millones de posibilidades. Un ordenador necesitaría 57 días para probarlas todas. Sin embargo, esto puede acelerarse utilizando ordenadores más rápidos y más numerosos. En el caso de 8 caracteres aleatorios, un ordenador necesitaría más de 2 millones de años. Además, se necesitaría una gran capacidad informática para reducirlo a un periodo de tiempo más manejable.
A la hora de elegir una contraseña, primero hay que tener en cuenta de quién se quiere proteger. Si quiere proteger sus secretos privados personales, los requisitos de calidad de la contraseña serán menores que en un entorno corporativo, donde posiblemente haya que proteger los datos del personal con conocimientos informáticos o de los espías industriales. Obviamente, los requisitos son aún mayores si hay que evitar que las agencias gubernamentales o los servicios secretos accedan a los datos.
Hay varias estrategias para generar buenas contraseñas. La mejor es utilizar un generador de contraseñas para crear una contraseña que conste de un mínimo de 10 caracteres; éstos, a su vez, deben seleccionarse entre al menos 62 caracteres diferentes (los caracteres en mayúscula y minúscula del alfabeto alemán más los números del 0 al 9). El problema a este respecto es, por supuesto, recordar la contraseña. Guardarla o escribirla sólo sirve de forma limitada: aunque se utilice un gestor de contraseñas, se necesita una contraseña segura para acceder a ella; la contraseña más segura del mundo no sirve de nada si se escribe en un papel al lado del teclado. Sin embargo, si ese no es el caso, un gestor de contraseñas puede proporcionar un método fácil y seguro para crear y administrar un número infinito de contraseñas altamente seguras y, si se desea, incluso para utilizarlas automáticamente.
Las abreviaturas de las frases son un buen compromiso entre la seguridad y la posibilidad de recordarlas. Afsaagcbsabatr sería, por ejemplo, el resultado de la frase anterior. Esto también debería producir al menos 10 caracteres. Si, además, se sustituyen los caracteres individuales por números o caracteres especiales, por ejemplo, "E" por "8" (ocho) o "f" por ? (signo de interrogación), se obtendrá una buena contraseña fácil de recordar.