Como de costumbre, la cuestión de las contraseñas tiene una importancia clave y ahora más que nunca puesto que son la llave de acceso casi, casi, a la cocina de nuestra casa. O sin el casi, que ahora con la domótica seguro que hay algún tipo de malware capaz de encender a distancia nuestra cocina y provocar un incendio sin que estemos nosotros en casa. Al tiempo...
Volviendo a los orígenes, todos comenzamos en estas cosas con un pin de cuatro cifras. Algo que puede valer para bloquear un teléfono sencillo pero poco más, aunque también sirve para nuestra tarjeta de crédito. No hemos avanzado mucho.
Pero ya en un entorno informático comenzaron a surgir servicios que requerían un usuario y un password. Hasta ahí bien.
Lo que pasa es que los humanos somos muy cómodos y tenemos muy mala memoria y es una faena necesitar acceso a una web y no recordar la contraseña.
Y no todas serán tan fáciles como la que viene por defecto en el router que, por cierto, espero que mis lectores hayan cambiado.
Desde luego, aunque lentamente, nuestra cultura informática ha ido cambiando a mejor. Aunque sea a base de sustos y mucho mejor escarmentar en cabeza ajena.
Nadie se le ocurre poner como contraseña algo fácilmente reconocible. Desde el nombre del perro hasta la matrícula del coche o la fecha del cumpleaños. Ojo con la ingeniería social que a veces hay cosas que son demasiado obvias o que puede averiguar alguien que esté próximo a nosotros.
Cierto que han aparecido nuevos sistemas, especialmente en el mundo móvil, como el reconocimiento de huella dactilar o los patrones. Son avances razonables.
Pero otros servicios siguen utilizando el viejo sistema de usuario y contraseña. Sistema que no está mal por sí mismo y pese a todo es funcional. Pero los métodos de ataque han evolucionado tanto que han provocado un endurecimiento de las condiciones que puede ser perjudicial para el usuario.
Eligiendo un password razonable
La gente que como yo, pérdoneseme la inmodestia, tiene una cierta inquietud por la seguridad procura adoptar unas medidas lógicas en cuanto a la robustez de sus passwords.
Técnicas muy conocidas y triviales pero que son útiles consisten en darle la vuelta a las palabras, intercalar algún número, sustituir vocales por consonantes o viceversa pero que, en general, permiten que el password sea reconocible. Esto es importante.
p4ssw0rd
Aunque este ejemplo es demasiado conocido y no deberíamos usarlo, usar cifras y letras robustece una contraseña y hace mucho más costoso un ataque por fuerza bruta.
Podemos ser un poco más retorcidos y escribirlo al revés, dificultando igualmente un ataque por diccionario.
dr0wss4p
Aún así es una contraseña que podemos recordar con cierta facilidad. A donde quiero llegar es que podemos complicar las contraseñas pero hasta ahora siempre hemos estado (al menos yo) dentro de un límite. Y es que podamos recordar o deducir nuestras contraseñas sin demasiado esfuerzo.
El password que ya no podemos recordar
No sé si debería empezar a comer rabitos de pasa. O tomar algún preparado.
 |
| Señores de DeMemory: les estoy haciendo publicidad gratuita ¡eh, que conste! |
El caso es que ahora cuando hay que crear una contraseña te dicen aquello de que tiene que tener más de ocho caracteres. Vale. Que alterne cifras y letras. Vale. Que tenga mayúsculas y minúsculas. Hay que jo... y que lleve algún carácter especial tipo ? _ } o similar que ahora mismo hasta me cuesta sacar en el teclado.
Por tanto las claves que hemos usado toda la vida empiezan a no encajar en este modelo de seguridad.
Muy robusto, pero incómodo y difícil de recordar.
Así que si yo antes usaba
p4ssw0rd
Ahora tengo que usar algo así como
_p4sSw0rD?
Esto ya es un lío porque luego ya no me acordaré cual puse en mayúscula, o si el guión bajo iba al comienzo o al final
Es más robusto
Es más seguro
Es más incómodo
Es probable que me obligue a usar algún tipo de SSO.
Esto es como para unas prisas. Luego está, lógicamente, el sistema de recuperación de contraseña que sería otra historia muy diferente porque a veces hacen unas preguntas tan obvias que es un coladero. Pero lo dejaremos para otra entrada del blog.
Así que, al final, me obligan a usar contraseñas que me costará mucho recordar y que, por tanto, me costará muchísimo utilizar.
¿Qué se puede hacer?
Pues poner contraseñas muy mecánicas que podamos recordar. Secuencias de números o letras en un orden más o menos intuitivo.
¿AaBb1234?
Esta contraseña cumple todos los requisitos de robustez pero me da en la nariz que, por diccionario, no duraría demasiado. Puede que la aplicación o web donde nos estemos registrando no nos valide la contraseña porque detecte la escasa complejidad, lo cual es una muestra de calidad pero, paradójicamente, empeora la experiencia de usuario.
Al final nos fuerzan a usar una secuencia aleatoria que podría ser así.
Oe!chv_A3i51d{gPO5
Y esto es muy seguro, desde luego. Diré más, si yo tuviera que poner esta contraseña en un servidor todos y cada uno de los días de mi vida, estoy seguro que terminaría aprendiéndola. Así que ese no es el problema.
El problema es que las contraseñas se deben cambiar periódicamente. El problema es que no se debe usar una misma contraseña para todos los servicios y accesos requeridos. Y el problema es que las contraseñas, como debe ser, suelen venir ofuscadas por asteriscos cuando las escribimos y esto lo conocerán aquellos que hayan trabajado con teclados que no están en español.
Vaya usted a buscar el guión bajo en un teclado que no está en español y cuyas pulsaciones no ve porque salen con asteriscos. O hágalo en el teclado virtual de un smartphone cuando, con dedos grandes, no estás seguro de si has pulsado la f o la g.
Por tanto me da error de password y cuando me caen los sudores fríos me pregunto si estaré metiendo mal la contraseña, si era un 5 o una S o si -como suele ocurrir más de una vez- el teclado americano me está engañando y realmente no estoy metiendo la contraseña apropiada.
¿Contraseñas muy robustas? Igual es peor el remedio que la enfermedad.
No hay comentarios:
Publicar un comentario