¿Cuántas contraseñas debes manejar sumando las personales y las laborales? ¿Has pensado en lo que podría pasar si alguna de ellas cayera en manos de la competencia, o de un cliente o empleado disgustado con la marca?

En mi caso son más de 200. Reconozco que ese número incluye unos cuantos servicios que utilicé sólo un par de veces, de los cuales he olvidado darme de baja.

Pero, aunque fuesen muchas menos, no me ayudaría: No soy capaz de recordar mas de 2 o 3 contraseñas realmente seguras. Tal vez tu puedas recordar una docena, pero no muchas mas.

Quienes gestionamos las redes sociales de terceros, no somos los únicos que tenemos ese problema. Un usuario normal debe recordar las combinaciones de usuario y contraseña del (o los) correos electrónicos, servicios financieros, redes sociales, comercio electrónico, plataformas de juegos, servicios en la nube y un largo etcétera.

Ya me está doliendo la cabeza, y aún no hemos considerado la necesidad de cambiarlas regularmente.

Ante esta dificultad, las respuestas más usuales son:

  • Utilizar contraseñas fáciles de recordar. Tales como tu nombre, el nombre de usuario, fecha de nacimiento, nombres o fechas de nacimiento de familiares cercanos, nombre del servicio, palabras de uso común, agregarle un número a cualquiera de la anteriores, “123456”, “qwerty”, etc. De esta forma, para un atacante, es relativamente sencillo descubrir la contraseña. Bien sea utilizando información obtenida por otros medios (buscadores, redes sociales, amigos comunes, etc.) o utilizando diccionarios de contraseñas frecuentes.
  • Utilizar la misma contraseña en diversos servicios. Piensa que, si la seguridad de uno de los servicios se ve comprometida, se descubrirá la contraseña que utilizas en los demás. Este problema se agrava por el hecho de que, frecuentemente, debemos registrarnos en servicios de dudosa confiabilidad, en los cuales no tenemos la intención de almacenar información relevante. Sin embargo, para facilitar la memorización, utilizamos las mismas claves y/o usuarios que en los servicios de confianza.
  • Escribir las contraseñas en un lugar fácilmente accesible. El documento que contiene las contraseñas, podría caer en manos de personas no autorizadas. Este documento puede ser físico o digital. Usualmente se mantiene en o cerca del ordenador de uso más frecuente, se hacen copias en diversos equipos o se lleva siempre encima. En cualquiera de los casos, debes considerar que, frecuentemente, los atacantes son personas cercanas al usuario atacado (familiares, compañeros de trabajo, clientes), que cuentan acceso a sus equipos (directamente o a través de la red). En caso de que el documento sea digital y se almacene sin cifrar (encriptar) en un servicio en la nube o un equipo que no esté debidamente protegido, el riesgo podría ser aún mayor.
  • Almacenarlas en el (o los) navegadores. Si el atacante tiene acceso a alguno de los equipos donde se almacenan estas claves, podría obtener todas tus contraseñas. Además, la mayoría de los navegadores almacenan las claves en claro (sin cifrar) o utilizando un cifrado débil (fácil de descifrar).
  • No cambiarlas nunca. Cuando por fin nos aprendemos la clave del banco, ¡Nos aparece un mensaje diciendo que debemos cambiarla! ¿Qué hacemos? Simplemente la cambiamos lo menos posible o, si antes era igual a la de Facebook, ahora ponemos la de Twitter. Hasta agradecemos que DropBox, luego de un supuesto ataque, en lugar de exigirnos que cambiemos la contraseña, lo desmienta.
  • Una combinación de las anteriores. La mayoría de los usuarios logran combinarlas de tal forma que el riesgo se multiplica: Usan la misma clave fácil de recordar en varios servicios, la almacenan en el navegador o en un documento en claro y nunca la cambian.

A pesar de estas peligrosas medidas, los usuarios con frecuencia olvidan sus contraseñas. En consecuencia, los sistemas de protección de acceso deben ofrecer mecanismos para recordarlas o “resetearlas”. Los cuales se convierten en un punto débil, ya que se debe permitir el acceso al recurso, a un usuario que desconoce la contraseña.

pants

Para solucionar estos problemas, se han propuesto diversas soluciones:

  • Dispositivo Físico: En esta categoría entran diversas posibilidades, tales como el DNI electrónico, la identificación mediante dispositivos móviles, módulos USB, etc. Consiste en proveer al usuario de un criptoprocesador (muchas veces implementado por software), el cual permite firmar digitalmente las operaciones realizadas por su portador.
  • Contraseñas biométricas: Permiten la identificación del usuario mediante características personales inalterables (o difícilmente alterables), tales como el iris ocular, huellas digitales, la retina, patrones faciales. Su principal ventaja consiste en que no es necesario recordar o transportar nada. Sin embargo, si la versión digital de tus datos biométricos es robada por un atacante, podría usurpar tu identidad y jamás podrás cambiar la contraseña, para impedirle el acceso.
  • Single Sign-On: Es un procedimiento de autenticación que permite utilizar una identificación única para múltiples servicios. Seguramente te has registrado en algún servicio utilizando tus cuentas de Google, Facebook y/o Twitter, sin necesidad de crear un nuevo par usuario/contraseña. Si utilizas una contraseña segura, esta solución puede resultar muy efectiva, al reducir el número de pares que debes recordar. Sin embargo, si se compromete el acceso al SSO, se comprometerá también el acceso a todos los servicios asociados, incluso aquellos que nunca has activado.
  • Verificación en 2 Pasos: Consiste en el uso de un código adicional a la clave para acceder al recurso. Este código puede ser enviado mediante un mensaje de texto, correo electrónico o una aplicación móvil. Así, el atacante no le bastará con conocer la clave, ya que es necesario tener acceso al correo electrónico o el teléfono del usuario. Los SMS requieren de cobertura telefónica y las aplicaciones móviles de acceso a Internet, lo cual puede ser un inconveniente en ciertas circunstancias. Una opción alternativa es el uso de tarjetas de coordenadas (como las de los bancos) o un software o dispositivo generador de contraseñas de un único uso (p.ej. Google Autenticator).

Todas ellas resultan muy interesantes pero, mientras no sean implementadas por los proveedores de los servicios, no podrás utilizarlas.

La mas popular es la verificación en 2 pasos. Cuando manejes cuentas de terceros, debes activarla siempre que sea posible.

Por otro lado, la posibilidad de utilizar nuestras cuentas en redes sociales como medio de identificación para otros servicios (Single Sign-On), nos obliga a utilizar contraseñas seguras, aún cuando activemos la verificación en dos pasos.

Entonces ¿Qué podemos hacer los usuarios para incrementar la seguridad de nuestras contraseñas?

Gestores de contraseñas

gestores-contrasenas

Una solución para problema de la memorización de las contraseñas es el uso de gestores de contraseñas.

Este es un software que te permite, mediante un par de clics, generar claves seguras (usando tantos caracteres aleatorios como sea posible, incluyendo letras, dígitos y símbolos) y almacenarlas, junto con el nombre del usuario, la URL de acceso y otros datos requeridos para el uso del servicio, en un fichero cifrado.

De esta forma, puedes utilizar fácilmente contraseñas seguras y diferentes en cada servicio.

Otro beneficios de seguridad son:

  • Utilizada correctamente, esta solución te ofrece cierta protección contra el pishing, ya que evita que intentes acceder a los servicios mediante una URL distinta de la que registraste en el gestor de contraseñas.
  • La dificultad para teclear y pronunciar claves conformadas por caracteres aleatorios, limita la disposición del usuario a compartirla o ser víctima de hacking social.
  • Generalmente ofrecen un espacio para almacenar datos adicionales. Allí puedes colocar las preguntas secretas y sus respuestas. De esta forma, la respuesta a “¿Cuál es el nombre de soltera de tu madre (o de tu primera mascota)?”, puede ser “J:2m|7h/A$U25”. Nadie encontrará esa respuesta en tu perfil de Facebook, solventando así, el agujero de seguridad que significan las opciones para recuperar o resetear la contraseña, basadas en preguntas “personales”.
  • Te recuerdan que debes cambiar las contraseñas periódicamente y, facilitan el cambio, al no tener que pensar en una nueva contraseña.

Sus puntos débiles son:

  • La contraseña: Vas a almacenar decenas de combinaciones de usuario y contraseña bajo una única clave. Por lo tanto debes escoger una que sea segura. Debe ser tan larga como sea posible y contener mayúsculas, minúsculas, números y signos. No puedes anotarla en ningún sitio ni revelarla a nadie pero, si la olvidas, perderás todas tus contraseñas.
  • La seguridad del fichero que contiene las claves: Aunque está cifrado, si algo falla, no dormirás tranquilo pensando que tus contraseñas podrían haber sido expuestas. Por lo tanto, debes limitar el número de copias y el posible acceso a terceros.

Necesitarás tener acceso al fichero en el ordenador del trabajo, el portátil, el móvil y la tableta. Y, como no quieres perderlo, deberías tener una copia de respaldo en un lugar seguro.

Las posibles soluciones son las siguientes:

  • En la nube: Seguramente utilizas DropBox, Google Drive u otro servicio similar. Los cuales solventan, de forma sencilla, el problema de mantener una copia para cada dispositivo y la de respaldo. Pero crean un problema: Si alguien tiene acceso (así sea sólo por unos minutos) a cualquiera de los dispositivos o a tu cuenta del servicio de almacenamiento de datos en la nube, el fichero con las contraseñas quedará expuesto. Ciertamente el cifrado significa que al atacante le tomará años obtener tus claves. Pero, aún así, deberías cambiarlas todas. Si te decides por esta opción, lo idóneo es utilizar una capa adicional de cifrado (p.ej. mediante un servicio de almacenamiento de datos en la nube que ofrezca cifrado local, tales como Spider Oak y Wuala).
  • En un lápiz USB (pendrive): Si la complejidad (o el costo) de implementar el doble cifrado no te convence, puedes mantener el fichero de contraseñas en un dispositivo USB que lleves siempre contigo. Por su puesto, debes realizar un respaldo periódicamente y colocarlo en un lugar seguro. Si además llevas un cable OTG, tendrás acceso a tus contraseñas en todos tus dispositivos.  El problema de esta solución es que, con frecuencia, nos vemos en la necesidad de conectar nuestras memorias USB a equipos desconocidos y, al menos los míos, tienen una especial tendencia a quedarse olvidados en equipos ajenos. Si te decides por esta solución, deberías utilizar un dispositivo USB únicamente para guardar tus contraseñas.
  • En tu teléfono móvil: Tu móvil es un dispositivo USB, que nunca deberías conectar a equipos desconocidos, ya que podrían obtener acceso a los datos y aplicaciones. Tiene la ventaja de que, difícilmente, se deja olvidado y, para acceder a los datos, usualmente hay que desbloquearlo (para lo que debería requerirse otra contraseña). La desventaja es que no siempre es sencillo o viable conectarlo a la tableta. Si te decides por esta opción, definitivamente olvídate de estar instalando juegos y aplicaciones raras, que piden permisos innecesarios (tu móvil es un dispositivo de trabajo, no un juguete).
  • Servicios en la nube especializados: Algunos gestores de contraseñas ofrecen el servicio de almacenamiento en la nube. Es una solución efectiva y fácil de usar. Pero a mi no me convence, ya que se convierten en un objetivo muy interesante para los hackers, no disponen de doble cifrado y, si voy a pagar por un servicio, prefiero hacerlo por uno que, además del fichero de las contraseñas, me permita almacenar otros documentos.

¿Cuál gestor de contraseñas te recomiendo?

password-safe

Afortunadamente hay tantas opciones, que no se puede dar una recomendación generalizada. Pero te comentaré los criterios que utilicé para decidirme por PasswordSafe, algunos de ellos podrían resultarte útiles:

  • Es gratis. No me opongo a pagar por software, pero el precio siempre es un factor a considerar.
  • Es software libre (en consecuencia hay algunos frikis que revisan el código, para confirmar que es seguro). 
  • Hay versiones para Windows, Android, Mac, Ios y Linux.
  • No está integrado en el navegador. Como webmaster debo utilizar múltiples navegadores. Una solución integrada, me obligaría a mantener varias instalaciones en cada equipo.
  • Utiliza un algoritmo de cifrado muy seguro (AES de 256 bits). Si se utiliza una contraseña adecuada, con los equipos actuales, requeriría de millones de años para su descifrado (dicen que la NSA cuenta con una tecnología que le permitiría hacerlo en minutos, pero si nos creemos la mitad de lo que dicen de la NSA, no hay forma de evitar que tengan acceso a nuestros datos).

Y tú ¿cómo proteges tus contraseñas y las de tus clientes?

 Foto del encabezado cortesía de Ron Bennetts CC BY 2.0