Claves del pasado para una web del futuro

Existe una regla no escrita de la seguridad (como todas las demás) que dice que no se deben repetir contraseñas en diferentes sitios, servicios, cuentas de correo y demás. Es una de esas «normas» que nos gusta recordar de vez en cuando, y que hasta hace unos años era relativamente sencilla de cumplir.

Con poca memoria que tengan en esto de la informática, recordarán que hace menos de una década el número de claves que un usuario normal tenía que recordar se limitaba a una cuenta de correo o a lo sumo dos, y algún foro. Poco más; no hacía falta demasiada memoria para ello. Pero un buen día empezaron a surgir los foros, la web 2.0, y hoy en día cualquier persona que haga un uso habitual de Internet dispone de usuario en más de una docena de servicios y sitios diferentes: Facebook, Google, Hotmail, Tuenti, Delicious, Twitter, Ebay, Amazon, LinkedIn, Xing, WordPress, GoDaddy, Meetic, Menéame, Flickr, etc. Ahora súmenle dos o tres foros, páginas de descarga de contenidos digitales, páginas de venta online, y sitios a los que acabamos accediendo un puñado de veces pero para los que solemos crear una cuenta de usuario, y tenemos una veintena de cuentas diferentes, y bastantes más en el caso de personas que hagan un uso «intensivo» de la red.

Dicho de otra forma, actualmente el número de claves que debemos recordar excede la capacidad de memorización de la mayor parte de nosotros si queremos utilizar claves diferentes y cumplir esa otra norma que dice que éstas no deben ser deducidas unas de otras y tener unos requisitos mínimos de sintaxis, longitud y complejidad, por muchas reglas nemotécnicas que utilicemos. De caducidad de contraseñas ni hablamos, porque si cada uno de nosotros tuviese que ponerse a cambiar veinte claves cada dos o tres meses, iba a ser para volverse loco.

¿Qué provoca esta situación? Que el número de claves que los usuarios utilizamos sea limitado y se repita entre diferentes servicios, sin diferenciar a menudo ni siquiera entre sitios «seguros» (o relativamente seguros) y sitios «menos seguros». Para colmo de males, a esto hay que añadirle la reticencia de la mayor parte de las personas (incluido un servidor) a variar las contraseñas «habituales» que lleva utilizando desde tiempos inmemoriales, o en todo caso a cambiar de nemotécnico, por dos razones básicas: el pánico a olvidar una clave (y no poder acceder al correo exactamente en el momento que lo «necesitamos», y no cinco o diez minutos después, una vez la hemos recuperado) y el estrés que nos provoca tener que recordar nuevas contraseñas totalmente diferentes de las habituales y con las que todavía no estamos familiarizados (¿soy el único que retrasa hasta el último momento el cambio de la clave de acceso al correo corporativo cuando ésta caduca?).

Para empeorar aún más esta situación, la mayoría de usuarios acabamos tirando del recurso fácil que son los navegadores y la funcionalidad habitual de «recordar contraseña», olvidando en la gran mayoría de casos que las claves se guardan en texto plano, y que cualquier persona con acceso al navegador dispone de acceso inmediato a nuestras cuentas de correo, foros, y servicios 2.0 de todo tipo. Si esto no fuese suficiente, para acabar de rematar la faena, DragonJar indica que es posible robar contraseñas del gestor de claves de Firefox por XSS.

Afortunadamente, poco a poco empiezan a surgir soluciones para este problema, aunque mucho me temo que actualmente son accesibles, como muchas otras funcionalidades «avanzadas», a usuarios con determinada experiencia y soltura en el uso de Internet (o dicho de otra forma, no esperen que el usuario básico —de los que hay muchos millones— los utilice o siquiera los entienda). Aparte de los habituales KeePass o Password Gorilla, cuyo ámbito es mucho mayor que el de los servicios de Internet, en primer lugar tenemos (vía DragonJar) a LastPass, que parece prometedor aunque no he tenido ocasión de probar. Por otra parte, Mozilla está experimentando con un gestor de cuentas que está pensado para revolucionar el acceso a las webs, y que se encuentra aún en fase de prototipo.

No obstante, incluso con los gestores «seguros» de contraseñas como los que les comentaba hay un aspecto preocupante y bastante frecuente: aquellas webs o servicios que no te dejan introducir carácteres «extraños» en la contraseña (léase !, ?, #, $, %, &, /, (, ), o los propios signos de puntuación) o esas otras que te remiten la clave en texto plano cuando la «recuperas», indicando que no utilizan cifrado para el almacenamiento de las claves de los usuarios (entre ellas, la web de ISACA). Esto puede provocar, debido a las malas prácticas que hemos indicado, que las cuentas de muchos usuarios en otros sitios web se vean comprometidas en caso de robo de información. Claro que uno puede asumir que con los sistemas que les comentaba, lo razonable es utilizar una cuenta diferente por servicio, pero ya saben que lo razonable no es siempre lo común.

Para ir acabando, entre todas las cuentas diferentes que un usuario puede manejar en Internet, a pesar de la (relativa) marginalidad cada vez mayor que va adquiriendo frente a las redes sociales y servicios más populares y colectivos y su inseguridad intrínseca, el correo electrónico sigue manteniendo una importancia crítica, al ser el repositorio virtual de recordatorios o cambios de clave de otros muchos servicios; procuren mantener su cuenta a salvo y no compartan la clave de acceso con foros y servicios 2.0 de escasa (o desconocida) reputación.

En definitiva, a pesar de que en la última década el funcionamiento de Internet ha avanzado de manera muy significativa, y su utilización se ha extendido a sectores de la población muy alejados de los ámbitos especializados y universitarios, los sistemas de autenticación siguen siendo los mismos de los comienzos: un usuario y una contraseña. ¿No es hora ya de que vayamos pensando en algo diferente y sobre todo, más seguro?

Comments

  1. Muchas gracias por la cita de dragonjar en tu articulo, pronto realizaremos una comparación entre las diferentes soluciones de administración de contraseñas, donde exploraremos a fondo las funcionalidades de lastpass y otras soluciones parecidas.

    tan pronto este listo te aviso ;-)

Trackbacks

  1. […] Claves del pasado para una web del futuro […]