Uno de los factores más importantes a la hora de establecer contraseñas es la longitud de las mismas. Cuanto más larga sea una contraseña, a un atacante le va a resultar más difícil de averiguar. Así, una contraseña alfanumérica de solamente tres caracteres resulta fácil de adivinar, ya que únicamente habría que lanzar un ataque con una colección muy limitada de posibilidades, alrededor de 50.000 combinaciones distintas.

Sin embargo, si la contraseña alcanza los 8 caracteres (entre letras y números), un ataque debería probar entre muchos billones de billones de combinaciones distintas, lo que sin duda hará desistir a un posible atacante.

A pesar de esto, en la vida diaria se siguen utilizando contraseñas tremendamente débiles en sistemas de validación muy importantes. Podemos poner por ejemplo el PIN (Personal Identification Number) utilizado en los cajeros automáticos, que en muchas ocasiones está limitado a 4 dígitos, lo que limita el número de contraseñas a únicamente 10.000. Lo mismo ocurre en los sistemas de telefonía móvil, que generalmente está asegurados con PIN cortos, de cuatro guarismos.

Este problema se manifiesta de manera acuciante en el caso de los dispositivos Bluetooth. Según Yaniv Shaked, de la Escuela de Ingeniería de Sistemas Eléctricos de la Universidad de Tel Aviv, un atacante podría interferir en la conexión de dos dispositivos Bluetooth y llegar a adivinar un número PIN de cuatro dígitos en un tiempo que oscila entre 3 décimas y 6 centésimas de segundo.

Este estudio, que será presentado en la reunión MobiSys de Seattle que se lleva a cabo entre el 6 y el 8 de junio, muestra el elevado riesgo que existe en los dispositivos Bluetooth por su falta de seguridad, peligros a los que se suman la mala construcción de contraseñas. El estudio puede consultarse en http://www.usenix.org/.