El mite de la contrasenya complexa
Per què una contrasenya difícil no és necessàriament una bona contrasenya
Introducció
Durant anys, la seguretat informàtica ha repetit un mateix mantra: una bona contrasenya ha de ser complexa, plena de símbols, números, majúscules i combinacions difícils de recordar.
Aquesta idea s’ha convertit gairebé en un dogma. Formularis que rebutgen contrasenyes “massa simples”, recomanacions que obliguen a escriure patrons artificials, i usuaris que acaben reutilitzant la mateixa combinació —amb petites variacions— a tot arreu per pura supervivència.
Però el context ha canviat. Els sistemes moderns ja no cauen principalment per atacs de força bruta, sinó per errors molt més quotidians: filtracions massives de dades, reutilització de contrasenyes, enginyeria social i phishing.
En aquest escenari, la complexitat deixa de ser el factor clau. El que realment importa avui no és tant com de complicada és una contrasenya, sinó com s’utilitza, on es reutilitza i com ens comportem com a usuaris.
Aquest article qüestiona un mite molt arrelat i proposa una manera diferent —més realista i més humana— d’entendre la seguretat de les contrasenyes en l’actualitat.
El mite de l’atac de força bruta
Quan es parla de seguretat de contrasenyes, sovint s’imagina un atacant provant milions de combinacions per segon fins a encertar la correcta. Aquest escenari, conegut com a atac de força bruta, ha estat durant molts anys la principal justificació per exigir contrasenyes cada cop més complexes.
En la pràctica, però, aquest tipus d’atac gairebé no és viable contra serveis moderns.
La majoria de plataformes actuals imposen límits estrictes:
- bloqueig temporal després de pocs intents fallits,
- retards artificials entre intents,
- sistemes de detecció d’activitat sospitosa,
- verificacions addicionals abans de permetre nous accessos.
Això fa que provar combinacions una a una sigui lent, sorollós i fàcilment detectable. Encara que una contrasenya fos relativament curta, el temps necessari per provar totes les possibilitats esdevé impracticable en un entorn real.
Aquí apareix una distinció clau que sovint es passa per alt: no és el mateix una contrasenya curta però ben protegida per un sistema modern, que una contrasenya exposada fora del sistema.
Els atacs de força bruta només són realment efectius quan:
- no hi ha límits d’intents,
- les contrasenyes s’han filtrat prèviament,
- o es tracta d’arxius robats que poden ser atacats fora de línia.
És en aquest punt on la narrativa clàssica de la “contrasenya molt complexa” comença a perdre sentit. El problema ja no és tant endevinar una contrasenya, sinó aconseguir-la per altres vies molt més simples i eficients.
Les amenaces reals
Si avui dia les contrasenyes continuen caient, no és perquè algú les estigui endevinant pacientment caràcter a caràcter. El problema real és molt més prosaic —i molt més humà.
La reutilització de contrasenyes
Un dels errors més habituals és utilitzar la mateixa contrasenya (o una de molt semblant) en múltiples serveis. Aquesta pràctica converteix qualsevol filtració menor en un problema major.
Quan una web és compromesa, els atacants no es limiten a aquell servei. Automàticament proven la combinació d’email i contrasenya en altres plataformes: correu electrònic, xarxes socials, serveis al núvol o fins i tot entitats bancàries. Aquest procés és ràpid, automatitzat i extremadament efectiu.
En aquest context, no importa gaire si la contrasenya era complexa o no. Si s’ha reutilitzat, ja no és secreta.
El phishing: quan l’usuari entrega la clau
Una altra via molt més eficient que qualsevol atac tècnic és el phishing. Correus electrònics, missatges SMS o notificacions aparentment legítimes que imiten serveis reals i conviden l’usuari a “verificar” o “restablir” el seu accés.
Aquí no hi ha cap desxiframent: l’usuari introdueix voluntàriament la seva contrasenya en una pàgina falsa.
Aquest tipus d’atac funciona perquè:
- apel·la a la urgència o a la por,
- imita amb molta fidelitat el disseny original,
- i explota hàbits adquirits, com clicar en enllaços de manera automàtica.
Cap nivell de complexitat pot protegir una contrasenya que ha estat lliurada directament.
Les filtracions massives de dades
En els darrers anys, grans plataformes han patit bretxes de seguretat que han exposat milions de credencials. Molts usuaris descobreixen —sovint amb sorpresa— que les seves dades ja circulen per la xarxa des de fa temps.
Serveis com Have I Been Pwned permeten comprovar si una adreça de correu electrònic ha aparegut en alguna d’aquestes filtracions.
A partir d’aquí, el risc no és la contrasenya en si mateixa, sinó tot allò on s’hagi reutilitzat.
En conjunt, aquestes amenaces tenen un element comú: no ataquen la matemàtica de la contrasenya, sinó els nostres hàbits digitals.
Una estratègia de contrasenyes més realista
Un cop entès que les amenaces principals no venen de la força bruta, sinó dels nostres propis hàbits, la pregunta és inevitable: com gestionem les contrasenyes d’una manera raonable i sostenible?
La resposta no passa per memoritzar desenes de contrasenyes úniques i complexes, sinó per adoptar una estratègia basada en compartiments, que equilibri seguretat i comoditat.
Comptes crítics: màxima seguretat
Hi ha alguns serveis que actuen com a clau mestra de la nostra identitat digital:
- el correu electrònic,
- els comptes bancaris,
- els comptes principals de sistemes operatius o ecosistemes (com Google o Apple).
En aquests casos, la recomanació és clara:
- utilitzar frases llargues, formades per sis paraules aleatòries,
- no reutilitzar-les mai en cap altre servei,
- prioritzar la longitud per sobre de la complexitat artificial.
Aquest tipus de contrasenyes són sorprenentment fàcils d’escriure i recordar, però pràcticament impossibles de desxifrar per mitjans automatitzats.
Comptes secundaris: compartiments o “cubells”
No tots els serveis tenen el mateix nivell de risc. Pretendre tractar-los tots igual acaba sent contraproduent.
Una alternativa més realista és agrupar-los per categories:
- xarxes socials,
- serveis de streaming,
- fòrums o comunitats,
- jocs i plataformes d’oci.
Per a cada grup, es pot crear una frase de quatre paraules aleatòries diferent. Així, si un servei concret és compromès, el dany queda limitat al seu compartiment i no s’estén a la resta de comptes.
Reduir el dany, no buscar la perfecció
Aquesta estratègia parteix d’una idea fonamental: la seguretat absoluta no existeix, però sí que podem limitar molt l’impacte d’un error o d’una filtració.
En lloc de confiar-ho tot a una única contrasenya “molt complexa”, es tracta de:
- evitar reutilitzacions perilloses,
- acceptar que alguns serveis poden caure,
- i assegurar que els comptes realment importants quedin aïllats i protegits.
La clau no és recordar més, sinó exposar menys.
Capes addicionals de seguretat
Encara que una bona estratègia de contrasenyes redueixi molt els riscos, la seguretat moderna no es basa en un únic element. Les capes addicionals són les que marquen la diferència quan alguna cosa falla.
El doble factor d’autenticació (2FA)
El doble factor afegeix un segon requisit a l’hora d’iniciar sessió, més enllà de la contrasenya. Però no tots els sistemes de 2FA ofereixen el mateix nivell de protecció.
De menys a més segurs:
- SMS: fàcil d’utilitzar, però vulnerable a duplicats de SIM i enginyeria social.
- Aplicacions d’autenticació: molt més robustes, però encara depenen del dispositiu.
- Claus físiques: ofereixen la millor protecció actual.
Dispositius com les claus de seguretat de Yubico (YubiKey) funcionen com una clau física real: sense ella, l’accés és impossible, encara que algú conegui la contrasenya. A més, són molt més resistents al phishing perquè validen el lloc web legítim.
Biometria: empremta o cara?
La biometria s’ha normalitzat com a mecanisme d’accés, però també té limitacions importants.
- L’empremta dactilar requereix contacte físic i acostuma a ser més difícil d’explotar.
- El reconeixement facial es basa en trets visibles i, en determinades circumstàncies, pot ser més vulnerable.
A més, a diferència d’una contrasenya, les dades biomètriques no es poden canviar. Si es comprometen, el problema és permanent.
La regla d’or: no clicar mai en enllaços de login
Una de les mesures més simples —i més efectives— és també una de les més ignorades.
Mai s’hauria d’iniciar sessió a partir d’un enllaç rebut per correu electrònic, SMS o missatgeria instantània, encara que sembli legítim. La pràctica correcta és escriure manualment l’adreça del servei al navegador o utilitzar un marcador propi.
Aquesta regla, aparentment trivial, neutralitza molts atacs de phishing abans que comencin.
Conclusions
Durant molt de temps, la seguretat de les contrasenyes s’ha plantejat com un problema matemàtic: fer-les cada cop més complexes per evitar que algú les pugui endevinar. Avui, però, aquest enfocament resulta incomplet.
Les amenaces reals no venen tant de la força bruta com dels nostres propis hàbits: reutilitzar contrasenyes, confiar en enllaços falsos o subestimar l’impacte d’una filtració de dades.
En aquest context, la clau no és memoritzar combinacions impossibles, sinó adoptar estratègies més realistes: frases llargues, compartiments de risc, doble factor d’autenticació i una actitud crítica davant qualsevol intent d’inici de sessió.
La seguretat digital no depèn d’una contrasenya perfecta, sinó d’un conjunt de decisions coherents. I, sovint, simplificar bé és molt més segur que complicar malament.
Referències i recursos
Articles i webs de referència
- Have I Been Pwned
- NIST – Digital Identity Guidelines (SP 800-63B)
- Electronic Frontier Foundation – Passwords and Authentication
Vídeos
- Password Complexity Is a Lie (Rob Braxman Tech)
- How Secure Is Your Password? (Computerphile)
- Why Use Passphrases Instead Of Passwords? (Media Literacy For Everyone)
- The Pros and Cons of Using Passphrases (Keeper Security)
- Software Password Vs Passphrases? (Security First Corp)
- Passkey VS Password + Best password managers (CoolTechZone)
- Why Are Passphrases More Secure Than Regular Passwords? (Consumer Laws For You)
