A una contraseña de distancia

Password_StrengthA veces olvidadas, a veces complicadas, pero siempre odiadas, las contraseñas se han convertido en ese elemento que nos abre la puerta a un infinito mundo de posibilidades que es Internet. Sin embargo, cada vez que entramos con ilusión a un nuevo servicio y nos damos de alta, cuando llegamos al campo de la contraseña sufrimos una pequeña angustia (si bien es cierto que con la «contraseña de siempre», esa angustia es realmente efímera). El acceso a la gran mayoría de los servicios de Internet se hace a través del usuario y la contraseña. Como hemos visto en anteriores artículos, los grandes servicios de Internet están intentando cambiar estas contraseñas por otros sistemas, especialmente en terminales móviles, como por ejemplo la biometría (como el lector de huellas del iPhone o el reconocimiento facial de Android). Sin embargo, hoy por hoy las contraseñas siguen siendo insustituibles.

Pero pese a su importancia, hay una idea que estudio tras estudio se reafirma: los humanos somos muy malos eligiendo contraseñas. Cada vez que se filtra una colección de cuentas de usuario, siempre aparecen estudios sobre las contraseñas más usadas. En todos ellos, se repite el mismo patrón: contraseñas numéricas como 123456, palabras como «password» o «querty», contraseñas de tamaño corto, etc. son realidades palpables cada vez que se produce una filtración de este estilo. Todas ellas demasiado débiles para soportar ataques estadísticos (o incluso de fuerza bruta) para intentar adivinarlas. Normalmente, debajo de estos este tipo de noticias suelen venir consejos sobre cómo se deben generar contraseñas robustas y seguras, que sean fácilmente memorizables y que nos permitan acceder sin problemas a nuestros servicios. Seguramente los que mejor han reflejado este problema son, como siempre, XKCD.

Sin embargo, en los últimos tiempos he pensado si este enfoque es realmente bueno. Educar a la gente en que desarrolle una metodología de generación de contraseñas eficaz y con la entropía suficiente y que las aplique a cuantos servicios está dado de alta es un trabajo arduo, largo y, a tenor de los resultados no está siendo muy eficaz. Y dando vueltas a la idea me encuentro con ese post en el que el autor afirma que este enfoque educacional no es el adecuado, y que en realidad es más seguro generar un contraseña fuerte (usando cualquier tipo de metodología que nos permita recordarla fácilmente) y utilizar un sistema de gestión de contraseñas (como por ejemplo 1password o lastPasw) para generar y almacenar todas las contraseñas de todos nuestros servicios.

Dejando a un lado los problemas desde el punto de vista de seguridad evidentes de este tipo de soluciones («todas las manzanas están en el mismo cesto», habría que comprobar el método para la generación de las contraseñas no sea pseudo-aleatorio, etc.), cada vez veo más adecuado este enfoque. Últimamente también se ha extendido la posibilidad de autenticarse con cuentas de servicios comunes, como Google o Facebook, pero la ventajas, y los problemas, son los mismos: una única contraseña para acceder a todo. Este tipo de software han sido analizados y debatidos por la comunidad de seguridad, analizado sus pros y contras, pero cada vez veo más necesario el uso dado el incremento del número de servicios que utilizamos cada día. El nombre de usuario y la contraseña se han convertido en el punto de entrada a nuestra vida digital. Sin embargo, una contraseña robusta, segura, fácilmente recordable y única es una utopía difícilmente alcanzable. Los gestores de contraseñas se han convertido en una herramienta que nos permite generar contraseñas más seguras frente a varios tipos de ataques y que nos facilitan la vida.

Citando a Bruce Schenier, «si piensas que la tecnología puede solucionar tus problemas, es que no entiendes la tecnología, y tampoco entiendes tus problemas». Sin embargo, necesitamos ayuda de esa tecnología para poder manejar el volumen de contraseñas que necesitamos hoy en día con eficacia y eficiencia. Al fin y al cabo, tenemos toda nuestra vida digital justo ahí.

«A una contraseña de distancia»

Borja Sanz
Acerca de
Investigador de S3lab
Expertise: Malware, Artifical Intelligence, Mobile Security, Android

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.