La empresa CyberNews realizó un análisis estadístico de más de 15 mil millones de contraseñas provenientes de filtraciones o “leaks” públicos; su equipo de investigación se interesó en qué tipo de patrones usaban las personas para crear sus propias contraseñas.

Uno de los datos interesantes del análisis fue que el 85% del total de contraseñas analizadas, se identificaron más de una vez; esto significa que las personas reutilizan una misma contraseña en diferentes servicios, o simplemente que varias personas sin ninguna relación entre ellas están utilizando la misma contraseña.

Los patrones y categorías más comunes utilizados en contraseñas son los siguientes:

• Años: El año más popular fue 2010, seguido de 1987 y el tercero 1991; las personas suelen usar los siguientes años en sus contraseñas: año de nacimiento, año en que se creó la contraseña o el año de un evento especial.
• Nombres propios: Los nombres propios más utilizados fueron “Eva” y “Alex” alrededor de 7.1 millones de veces. Los otros menos populares son: “Anna”, “Max”, “Ava”, “Ella”, “Leo”, “Jack” y “Ryan”.
• Equipo de deportes: Otro de los patrones identificados fue el uso de palabras relacionadas con los deportes o los equipos favoritos de los usuarios. En esta categoría destacan palabras como “suns”, “heat” y “magic” (Phoenix Suns, Miami Heat y Orlando Magic de la NBA), “reds” (Cincinnati Reds de la liga de béisbol), “liverpool”, “chelsea” y “arsenal” (clubes de fútbol europeos).
• Palabras altisonantes: Alrededor del 7% de las contraseñas resultaron contener palabras ofensivas o groseras.
• Ciudades: Otros patrones identificados son nombres de ciudades o lugares, las principales son ‘abu’ (Abu Dhabi de los Emiratos Árabes Unidos), “roma”, “lima”, “hong”, “milan”, “londres”, “liverpool”, “austin” “antonio” y ‘york’.
• Estaciones del año, meses y días: En esta categoría se observa que la estación del año principal fue “summer” (verano). De igual forma los meses preferidos son los más cálidos “may” (mayo) o “june” (junio). Finalmente, los días de la semana, particularmente “friday” (viernes) o “sunday” (domingo).
• Comida: En esta categoría se identificaron aproximadamente 2% del total. Encabezan este grupo “ice” (hielo), “tea” (té), “pie” (pay) y “nut” (nuez).

Con lo anterior se concluye que tanto los sistemas o servicios donde se registraron estas contraseñas no utilizan una política de contraseña segura o robusta de acuerdo con los estándares de la industria. Por otro lado, las contraseñas empleadas comúnmente no son complejas por lo que es factible identificarlas conociendo los gustos y preferencias de los usuarios. Hoy en día, es posible conocer este tipo de información en las redes sociales, donde muchas personas comparten datos personales de manera inconsciente.

Para finalizar, se recomienda no utilizar contraseñas que contengan frases o patrones fáciles de recordar o identificar, como son fechas de nacimiento, comidas o deportes, etc. Es factible utilizar un gestor de contraseñas y generar una contraseña aleatoria con una longitud adecuada (mínimo de 12 caracteres), utilizar letras minúsculas y mayúsculas, números y caracteres especiales, emplear una contraseña distinta para cada sistema o servicio en el cual se está registrando, y por último cambiar la contraseña al menos cada 3 meses.

Referencias:
https://cybernews.com/best-password-managers/most-common-passwords/
https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
https://csrc.nist.gov/publications/detail/sp/800-132/final
https://pages.nist.gov/800-63-3/sp800-63b.html