Ese mal hábito de perder las contraseñas

17 316
Escrito por Juan

¿La memoria humana tiene límite? ¿Y la memoria selectiva? ¿Y candela? ¿Y la moto?

Mi historia de amor y odio con Hotmail viene de larga data y desde hace bastante tiempo vengo afirmando que ya no uso sus servicios para nada y solo mantengo la cuenta todavía por una cuestión de compatibilidad retrógrada. Todavía me escriben a esa cuenta una o dos veces al año y me entero por que redirecciono todo el correo entrante a una cuenta de Gmail, Cuán equivocado estaba.

Como me importaría muy poco deshacerme de esa cuenta –o eso creía- y no la uso de manera frecuente, hoy casi me vuelvo a quedar afuera.

Hace alrededor de un mes cambié la contraseña de la cuenta por que empecé a notar que mi cliente de MSN Messenger me avisaba que había iniciado sesión “En otra ubicación” y paranoico es mi segundo nombre.

Después de haber recapitulado y habiéndome logueado por SSH/VNC en cuanta PC pudiera haber ingresado alguna vez mi contraseña, me di por vencido, fui a Hotmail y puse una nueva, cosa que por cierto, solucionó el problema y ahora nunca me voy a enterar exactamente que fue lo que pasaba.

Como sea, la cuenta me importaba poco, pero no fue hasta que me di cuenta de que existía la posibilidad de que alguien se hubiera hecho con mi contraseña que me bajó el escalofrío por la espalda:

Muchos servicios en los que estoy registrado usarían mi cuenta de Hotmail a la hora de recuperar/regenerar la contraseña. ¿Cuantos y cuales? Ni idea, pero después de tantos años, algunos cientos seguramente, muchos efímeros pero otros –como mi cuenta de correo de Gmail- si que me pondrían en problemas.

En caso de que alguien se haga con ambas cuentas estaré hasta las tutucas por que por eso de mi leve paranoia, ni Hotmail, ni Gmail conocen mi número de teléfono celular.

Y es que en su momento la hice fácil. Al igual que muchos, tengo exactamente el mismo nombre de usuario en Hotmail y en Gmail y cada cuenta usa a su homónima en caso de necesitar recuperar la contraseña. Alguien con la suficiente cantidad de mala leche y tiempo entre manos podría ir hasta Gmail, probar el mismo nombre de usuario y la misma contraseña y al rebotar (Nunca uso la misma contraseña dos veces) podría probar eso de regenerar una contraseña nueva.

Iniciar sesión en Hotmail

(¿Nunca sentiste ese escalofrío cuando te olvidaste por completo tu contraseña?)

Teniendo el control de mi cuenta de Hotmail, podría cambiarle la contraseña a la de Gmail.

Y a esto último iba y creo que me excedí en la introducción:

Nunca uso la misma contraseña dos veces para cosas importantes.

El problema es que por el trabajo que hago e hice siempre, MUCHAS de las contraseñas que uso son importantes y NUNCA las anoto en ningún lado salvo algunas pocas que no utilizo frecuentemente y guardo en un contenedor True Crypt a buen resguardo, varias copias en lugares distintos, protegido por una contraseña de 27 caracteres que no usa ninguna palabra del diccionario y combina letras, números, mayúsculas y minúsculas (y que tampoco anoté nunca en ningún lado).

En promedio todas las contraseñas que memorizo tienen entre 8 y 10 caracteres y nunca tengo problemas en recuperarlas en tiempo real pero aquella vez, que generé una contraseña nueva de Hotmail y usé para eso la combinación de dos contraseñas de uso habitual mas un número, me fié en mi memoria y en la lógica que había usado para regenerarla. Pensé que la iba a poder recordar.

Mal hecho.

Hoy intenté en repetidas oportunidades acceder a la cuenta sin éxito, no pude recordar nunca cual fué la contraseña nueva que generé aquel día.

Como cuando la cambié tuve que reescribirla en los clientes de MSN Messenger de 3 PC distintas y un teléfono (Y habilité la opción “recordar contraseña” total es la de Hotmail, me importa un bledo), procedí a intentar auto-hackearme la contraseña pero tampoco tuve suerte.

No me quedó otra que usar el servicio de recuperación de contraseñas que tampoco estaba seguro que fuera a funcionar. A la cuenta la tengo configurada hace muchos, muchísimos años así que ya ni recordaba con certeza si me iba a llegar un vínculo para resetear la contraseña a Gmail o no. Probé, llegó, generé una contraseña nueva, esta vez usé no la misma de Gmail si no otra de uso habitual para no olvidarme y todos contentos.

¿Moraleja? Nunca digas nunca.

Cuantas veces pensaste:

¡Pero vieja pel#$&*°, es tu contraseña, cómo no la vas a saber?

Con el creciente aluvión de dispositivos inteligentes, servicios online, redes sociales, cosas que se conectan todas contra todas vía contraseña, programas que interactúan 50% localmente y 50% online, etc, cada vez necesitamos mas contraseñas y si solo te apoyás en tu memoria para almacenarlas, la cosa se va poniendo espesa.

¿Es una buena movida usar siempre la misma contraseña en todos y cada uno de los servicios en los que iniciás sesión?

Tal vez si, pero buena suerte si alguien se llega a hacer con tu contraseña y justo le garcaste la novia. Vas a tener que correr contra-reloj después cambiando contraseñas en una decena de servicios como mínimo.

¿Es mejor idea usar contraseñas distinas, una por servicio?

Con los años que llevo en esto, creo que es la mejor idea. He leído muchos métodos distintos para generar contraseñas usando por ejemplo un número arbitrario, el nombre del servicio y una fecha tipo: 1hotmail21678 para hotmail, 1gmail21678 para gmail, etc… Tus contraseñas estarán a salvo en la medida en que nadie descubra tu método.

¿Será mejor usar una contraseña por cada servicio importante y no tener “metodo”?

De todas, creo que esta es la forma mas segura de ir por la vida online con tranquilidad pero ¿y si un día te da Alzheimer, te golpeás la cabeza o simplemente fuiste tan boludo como yo, no la anotaste en ningún lado y te la olvidaste?

Se supone que la memoria a largo plazo no tiene límite, se supone también que la memoria selectiva te va recableando el cerebro (plasticidad sináptica le llaman) y te vas volviendo mejor y mejor en tareas habituales como recordar contraseñas por ejemplo y se supone que por la combinación de ambas cosas y por el trabajo que hago esto no tendría que haberme pasado. Yo debería ser una máquina de recordar contraseñas.

Para que no me cuelguen de las bolas: Si, podría haberme apoyado en servicios como Keepass y Roboform o el predilecto del dueño de casa: Lastpass, pero no me sentiría muy cómodo dejando en manos ajenas la gestión de mis contraseñas importantes ni terminó de convencerme nunca eso de no tener que escribir tu contraseña cada tanto por que ahí si que después no te la acordás nunca mas.

Por lo pronto, ya me hice otro contenedor truecrypt para meter las contraseñas de uso habitual dentro.

No me fío mas de mi memoria, voy a dar una recorrida por servicios importantes para asegurarme de poder reestablecer las contraseñas llegado el caso y voy de dejar otro poco mas de lado mi paranoia. Voy a darle a los de Google mi número de teléfono celular así de paso me pueden rastrear mas y mejor. Total, ¿Que le hace una mancha mas al tigre?.

Juan es un cordobés que desde hace algunos años se dedica a la informática y gusta de contar sus desvaríos en malditonerd.com

17 COMENTARIOS

  1. Yo uso keepassx (http://www.keepassx.org/) para guardar las constraseñas en un archivo cifrado por una contraseña maestra.

    Permite organizar las contraseñas por categorías, generar nuevas contraseñas, e integrarlo con el navegador para recuperar automáticamente las claves cuando visitamos la página de login.

  2. Yo por ahora me sigo fiando de mi memoria, el tiempo me dirá si tengo que plantearme este asunto más adelante. Por ahora contento :P

    • Ni a palos le doy mis contraseñas a un servicio online, no me importa que tan seguro me digan y prometa que sea su servicio. Keepass a morir… es más, ya ni sé mis contraseñas ya que uso el generador automático de claves mas CTRL + ALT + A para el autotipeo y listo.

      También le pongo, en el Keepass, una fecha de caducidad a las contraseñas mas importantes, para ir renovándolas.

  3. Mortal es cuando les tengo que configuarar el Outlook a mis compañeros de trabajo y les digo que pongan la contraseña, y a veces me dicen “Tengo contraseña?!”… WTF???!!!

    Yo en lo personal tengo una cuenta principa que es Hotmail, donde la contraseña es única, y cada tanto la cambio un poquito (le agrego un número al final o le cambio algo, nada groso….) y a las de los foros en donde mucho no me importa le mando siempre la misma, pero cada tanto la cambio un poquito porque a veces no cumplen los requisitos mínimos y cagué! Cada vez que tengo que entrar o me creo un nuevo usuario o reestablezco la contraseña!! Pasa que no me importa en esos casos, mis contraseñas principales son pocas, pero las tendría que tener guardadas por ahí…

  4. Pues muy seguramente estraré pecando de confiado, pero en mi caso usé un método tal vez no muy seguro, pero que a mí me sirve:

    Agrupé todos los servicios en los que estoy registrado en 6 conjuntos según su temática: correo, redes sociales y web 2.0, etc. Luego, cree 6 contraseñas de mínimo 10 caracteres usando las reglas habituales (mayúsculas y minúsculas, números, símbolos, etc.) y las asigné a cada conjunto. Por último, y en el caso de que no me acuerde para nada de las mencionadas, hice una tablita con la info en Calc y guardé el archivo con contraseña también (una igualmente larga y única). Por si acaso, en cada servicio que me registro uso un nombre de usuario distinto aunque a veces me ha pasado que lo que se me olvida es precisamente el nombre de usuario =P.

    Y bueno, esto me ha funcionado muy bien hasta ahora. ¿Inseguro? Tal vez (no sé qué tan fuerte sea el cifrado de archivos de Calc), pero como dicen con el efecto placebo: “a mí me funciona…” =D.

  5. Hola: Particularmente utilizo desde hace mucho tiempo Splash ID. No es gratis, pero es muy versátil. Hay versiones para todos (o casi) los SO por lo que me permitió seguir con el mismo sistema desde mi PC, la Palm y Android. La aplicación de escritorio sincroniza con las demás vía cable o WIFI así que es fácil tener lo mismo en todos lados. Además me permite generar una versión standalone ideal para llevarla en el pendrive.

    En resumen, tengo todos los pass encriptados (al día de hoy son mas de 300 accesos), clasificados y sincronizados en la notebook, en el pendrive y en el Android (y los podría seguir teniendo en la vieja Palm si aun la tuviera).

    Hace muuuuchos anios utilizaba Kepass y lo sigo recomendando salvo que desees sincronizar con otros dispositivos.

  6. Lastpass +gmail, gmail con verificación de 2 pasos, movil y tal… para que te roben eso… dios, casi que te tendrian que haber secuestrado XD.

    Otra buena opción es dropbox+truecrypt+resguardo ofuscado en archivo especifico+post-it en bunker XD.

  7. Yo debo ser muy poco importante porque no me preocupo tanto por las contraseñas, salvo la del hosting, la del banco, la de la tarjeta, paypal, ebay, ML, la clave fiscal, la…..

  8. 1 sola contraseña para todo :P

    como nunca voy a meter la clave en alguna pagina de phishing
    no me hago problema :)

    Bue menos la cuenta de steam con sus juegos originales :P Esa si con una contraseña bien larga y variada. Pero para el resto de paginas la hago.simple.

  9. También, igual que la mayoria: pass complicada para el servicio principal, pass secundaria para mis archivos cifrados en mi propia PC, y pass terciaria (que en un momento fue la principal) para todos los servicios que piden crear una cuenta para poder usarlos

  10. “Voy a darle a los de Google mi número de teléfono celular así de paso me pueden rastrear mas y mejor. Total, ¿Que le hace una mancha mas al tigre?.”

    Excelente…

  11. Adhiero al comentario de Blackgem:

    Lastpass (que tambien soporta autenticación de 2 pasos con la misma app de Google disponible para iOs y Android), gmail y su respectiva doble autenticación, claves generadas al azar de entre 10 y 20 caracteres con todas las combinaciones que permita el servicio en cuestion. Obviamente no repito contraseñas y para los que tienen miedo de que estén sus passwords en los servidores de lastpass les recomiendo el episodio 256 del podcast “security now” en el que Steve Gibson explica punto por punto el funcionamiento y porque es tan bueno el sistema (en ingles lamentablemente).

    Ante la caída de la nube y la llegada del ragnarok: copia encriptada exportada cada tanto en una carpeta de dropbox junto al lastpass pocket, un portable que lee el archivo con las contraseñas.

    Es muy importante chequear las direcciones de Mail que se utilizaron en distintos servicios para recuperar la contraseña (como muy bien cuenta Juan en el post), ya que la seguridad total va a ser tanta como la del eslabón mas debil: de nada sirve un super pass de gmail si la respuesta a la pregunta secreta del correo de recuperación es el nombre de mi mascota :)

    Suena muy paranoico, pero me parece que nadie le da importancia a la cantidad de información que va colocando en distintos servicios y la dependencia que generan estos hasta que les roban la cuenta.

  12. jajajaaj yo tengo un montón de contraseñas en un archivo de texto plano y listo xD, no obstante, le permito a mi navegador que las recuerde por mi así no tengo que recordarlas de a mucho.

    Mi contraseña principal la uso para mis correos y guardo una copia del txt en el celular :D

Deja un respuesta