Internet es una tecnología revolucionia, la idea de poder pasar información de cualquier forma, de un lado del mundo al otro, de manera instantánea revolucionó por completo la forma en que interactuamos con nuestros pares, con las instituciones, y con nuestro entretenimiento. Incluso con nuestra forma de vivir la vida.
Pero en si misma, Internet es una tecnología vieja, construida y reconstruida constantemente sobre sí misma. Y uno de los sistemas más viejos que tenemos en la informática y en la internet es el concepto del usuario y contraseña.
En otras palabras, herramientas que nos permita acceder a cierto contenido de manera personalizada.
Mi primer interacción con usuarios y contraseñas la tuve en mis inicios con servicios de mensajería instantánea como fueron el ICQ o el MSN Messenger. Y tenía todo el sentido del mundo. Yo soy yo y no quiero que otro se haga pasar por mí. Tener una contraseña personal que me permita tener bajo control ese nombre, ese mail y esa identidad, era lo más lógico que me podían ofrecer.
Quizá tenía cuenta en un par de foros, pero era la misma dupla para acceder, la de mail/usuario y contraseña.
Y como la mayoría en esa época, ponía el mismo usuario y la misma contraseña.
Hoy, esa forma homogénea de manejar cuentas y contraseñas es vista como ridícula e insegura. Insegura porque esa contraseña está almacenada en una base de datos. Y aunque en el servidor esté encriptada, con un poco de ingeniería inversa cualquier hackercito de medio pelo podría deducir nuestra contraseña sin haber fallado nosotros en nuestra propia seguridad.
Por eso los expertos recomiendan no solo usar contraseñas difíciles de adivinar, para dificultar el trabajo a estos hackercitos, si no que también recomiendan usar contraseñas distintas en distintos servicios.
Es acá donde el sistema comienza a mostrar sus defectos, fallando de manera exponencial.
Por qué verán, la memoria humana es buena para caras, lugares, frutos, direcciones y palabras e historias. Esto de una secuencia de caracteres que sea impredecible y difícil de adivinar no es nuestro fuerte natural. Algunos pueden tener 10 de estas contraseñas , otros no pueden manejar ni una.
El mero concepto de que un usuario tenga que esforzarse en crear, recordar e introducir sus llaves digitales es de por si malo. Pero malas prácticas en son de la seguridad informática, terminaron transformando este problema en una pesadilla.
La primer «buena pero mala práctica» es la complejidad de la contraseña.
Lo acepto para bancos, lo comprendo para mails, pero no entiendo por qué un foro de autos me esta pidiendo que mi contraseña tenga un punto, una mayúscula un número y que tenga 10 caracteres.
Lo peor de esta doctrina es que las reglas de que hace y que no hace una contraseña segura y aceptable cambia según el servicio. Y para meterle sal a la herida, no te dan esa información a la hora de querer ingresar, siendo habitual (al menos en mi caso), tener que intentar crearme una cuenta falsa para ver los requisitos de seguridad de la página.
La segunda ·buena pero mala práctica· fue la doble autenticación. Lo que para mi es la pesadilla del hombre moderno. Algunos la aman, algunos no pueden vivir sin ella, otros la detestan.
La doble autenticación consta de no solo memorizarse un usuario y una contraseña, si no que cada vez que se desee autorizar a nuestro usuario al loguearse, tenemos que inyectar un código enviado por sms o por mail a nuestro teléfono.
No como reemplazo, sino como un complemento a la contraseña. Que no sólo ralentiza todo el proceso, si no que salvo que esté bien configurado, termina delegando a nuestro teléfono como nuestra última garantía de identidad. Esto de tener el teléfono como llave digital tiene un nuevo problema, que es la seguridad del teléfono. El cual se soluciona o poniendo una clave mas (irónico) y/o usando sistemas de reconocimiento facial o dactilar.
La tercer solución moderna que es mas buena que mala, es la de delegarle el trabajo de elegir y recordar contraseñas a un gestor de contraseñas. Esto implica en cierto carácter, volver de tener 15 contraseñas varias y distintas a una muy buena contraseña que sirva como índice maestro a las otras 15.
Pero ya es ridículo. Tener que llegar a usar una aplicación que nos permita identificarnos frente al resto de la Internet es darle poder absoluto a esta aplicación.
Sin pecar de paranoide, que de la noche a la mañana desaparezca un servicio web ya es habitual en estos tiempos, y de desaparecer tu gestor de contraseñas tu vida digital vuelve a foja 0.
Me imagino que es un problema solucionable con sistemas offline de código libre, sumado a alguna nube de archivos paga como dropbox o google backup & etc. Pero en experiencia personal nunca pude adecuarme a uno de ellos.
La cuarta solución es similar a la tercera, pero nadie la aplica bien. Que es loguearse con Facebook/Google/Twitter.
Es una solución moderna para el p4j3r0 moderno, hacer que la contraseña la gestione Facebook por nosotros, imposibilitando futuros problemas de seguridad e integridad si algún villano se roba alguna que otra base de datos de la web (siempre pueden robarlos de facebook aunque no recuerde algún caso épico de robo de contraseñas provenientes de facebook).
El mayor defecto, más allá de depender de un servicio tercerizado para identificarnos, es que la gran mayoría de las contraseñas de Facebook son malas.
Fáciles de adivinar, fáciles de quitarselas al usuario común, y fáciles de usar en todos lados.
Fáciles especialmente para hacer phishing, con solo armarnos una web lo suficientemente similar con una URL lo suficientemente similar, cualquier usuario confiado puede caer en entregarle su contraseña a un nadie.
Quinta solucion, y por lejos la peor de todas. La contraseña rotativa.
No solo tenemos decenas de usuarios y contraseñas esparcidas en diversas páginas, si no que algunos de estos servicios (especialmente los bancarios), nos obligan a girar las contraseñas de manera aleatoria, forzándolos a anotarlas o a tener una muy buena memoria, no solo para patrones si no para tiempo también. Potenciado por la incapacidad de poner la fecha de nacimiento, la dirección o partes del nombre, para una persona relativamente mayor, se vuelve una odisea crear y recordar nuevas contraseñas cada 6 meses.
Hoy estamos comenzando a desterrar a la contraseña, al menos en sistemas operativos, usando huellas dactilares y reconocimiento facial. Pero parece que lejos aun estamos de implementar estas técnicas dentro de Internet.
La dupla del usuario y contraseña son un mal que venimos heredando hace más de 20 años, y que lamentablemente, el problema va creciendo de manera exponencial.
Con el venir de los tiempos las contraseñas serán cada vez más inseguras. hoy con varias placas de video unidas a un buen software, podes «crackear» contraseñas que hace 20 años creíamos imposibles de adivinar mediante fuerza bruta. Y con el venir de los tiempos vendran mejores placas de video. Hoy 8 caracteres para una contraseña es oficialmente inseguro, y estamos cerca de que los 9 también lo sean.
Esto nos deja con un futuro distópico a largo plazo, donde las contraseñas serán muy largas para recrear y muy numerosas para recordar.
¿Que vendrá? Difícil de predecir… muy probablemente una horrible combinación de las 5 soluciones descritas.
Si hay algo que me reviente más que la clase política argentina y los gusanos que viven de ellos y de nosotros son las contraseñas, sobre todo esas que piden que tengan números, chirimbolos mayúsculas y minúsculas. Los maldigo a todos por igual. Se vé que tengo un mal día.
Uso hace chiquinientos mil años para guardar mis más de 200 contraseñas el LoginControl 3.5 que no tiene actualizaciones desde el 2004. ¿Es seguro este programita o hay alguno mejor?
Linda nota Narzo.
Si querés algo online con un plugin en el navegador te recomendaría Bitwarden (https://bitwarden.com). Si sos de los más paranóicos y querés algo para llevar con vos (y almacenar en un pendrive doblemente encriptado :p) andá por el lado de KeePass (https://keepass.info).
Excelente nota es un tema polémico. Calculo que a futuro la autenticacion sera por medio de un sistema inteligente que lea nuestra cara. Huella dactilar etc… No estamos tan lejos
Habría que implementar algo así como llaves SSH para todo, una privada, una publica, compartís la pública con el servicio que querés usar en tu dispositivo, notebook o lo que sea y listo.
Obvio, algo así más amigable para el usuario.
Esa es una excelente opción. En Chile, el Servicio de Impuestos Internos (el equivalente a la AFIP de Argentina), en su sitio web permite hacer practicamente la totalidad de trámites de declaraciones de impuestos y se maneja información altamente sensible en el proceso, y si bien tiene la posibilidad clásica del logueo con un nombre de usuario y una contraseña (la cual obviamente no se guarda en servidores, sino que se calcula un hash criptográfico el cual no es reversible), también permite ingresar usando un certificado de firma electrónica siempre y cuando sea emitido por una entidad certificadora, lo que firmas con ese certificado tiene la misma validez que una firma autenticada por un escribano público, pero no es común ver que te permitan usarlo para loguearte en un servicio web. Pienso que es la mejor solución, en este caso es vital que quien ingresa sea realmente la persona que dice ser y no estén suplantando su identidad, lo mismo para los bancos, pero en el caso de otros tipos de servicios como cuentas de correo electrónico, portales, redes sociales, servicios de contenidos por streaming, etc, pienso que su implementación sería una solución impecable, aunque también seria un factor invasivo en cuanto a la privacidad, al ser la identidad certificada del usuario un dato fehaciente, lo mismo pienso en relación al logueo con información biométrica (aunque hoy en día la noción de privacidad del borrego standard tiende a cero); distinto sería el caso de un certificado de clave pública autogenerado por ejemplo con openssl o gnupg.
Los tres factores clásicos para una identificación segura siempre serán una combinación de por los menos dos datos de estos tres: Algo que sé (password, path phrase, pin, patrón, etc), algo que tengo (chip rfid, certificado de firma electrónica, tarjeta de coordenadas, tocken por software o hardware, dispositivo telefónico, etc) y algo que soy (identificación biométrica por huella, iris, rostro, voz, etc). El último factor es el que jamás me ha convencido, he llegado a rescindir contratos con bancos por pretender exigirme el escaneo dactiloscópico para seguir renovar contratos de tarjetas de crédito.
Muy buena nota en un tema que por supuesto es muy polémico. Hace poco edité para la agencia donde trabajo una nota sobre las apps de Android para comprar dólares online acá en Argentina. Tenía que conseguir un par de imágenes para la nota y pensé en bajar esas aplicaciones, hacerme una cuenta de prueba y sacar screenshots. Pues bien, acá vino la pesadilla. Para hacerte la cuenta, primero te pide crear un usuario (generalmente tu correo) y una contraseña. Después tenés que mandar fotos del dni, anverso y reverso (cosa que hice como un gil, andá a saber dónde quedó esa información). Y la instancia final, que ya me superó y lo dejé ahí, era filmar un video selfie con tu cara bien reconocible LEYENDO UN TEXTO. Todo eso para comprar unos verdes.