Hace algunas semanas se celebró el día de la contraseña. Y sin dudas que ha pasado mucho tiempo desde aquellos épocas donde las personas golpeaban la puerta con cierto ritmo o tenían palabras previamente estipuladas para autenticarse ante otro.
Hoy, en nuestra vida cotidiana usamos contraseñas todo el tiempo. El pin de la tarjeta, el correo, nuestro dispositivos móviles, las redes sociales y un sin fin de etcéteras.
Pero desde hace años las contraseñas han tenido la intención de proteger información y con ellos los riegos asociados como olvidarla, perderla o directamente a que sea robada.
Es por esto, que cuando se trata del mundo digital los administradores han escrito millones de páginas con listas interminable con las mejores recomendaciones para su uso.
Pero sin duda las contraseñas siguen siendo un problema tanto para los administradores de red como para los usuarios.
1. El rol del administrador de cuentas
Es común entre los responsables de sistemas remarcar con cierto fastidio como los usuarios insisten en anotar sus contraseñas en papel para después pegarlas en el monitor o bajo el teclado. cuando la mayoría de las veces no se dan cuenta que la culpa es de ellos mismo al obligar a los usuarios a definir contraseñas que no solo no se pueden pronunciar sino que tampoco se pueden recordar.
Dicen que “ySdSfa,7FM]e<M.Z” es una contraseña segura, tiene todo para serlo. Tiene 16 caracteres, mayúsculas, minúsculas, números y caracteres adicionales. También es imposible de recordar. Por tanto obliga a los usuarios a escribirla en papel o dentro de un archivo que idealmente se llama contrasenas.txt
Entonces qué hacer? cómo equilibrar la seguridad con la usabilidad evitando papelitos con contraseñas?.
También está el hecho de cada servicio en línea nos pide una contraseña y la recomendación por unanimidad es no usar la misma que se utilizó en otros sitios. Con esto la ecuación de recordarlas se encuadra en el marco de lo imposible.
2. Algunas herramientas
Por suerte existen múltiples herramientas gratuitas que nos ayudan con esta problemática. Algunas como keepass (https://keepass.info) o bitwarden (https://bitwarden.com/) nos permiten tener que recordar una sola contraseña maestra para después poder acceder a toda nuestra biblioteca de sitios con su respectivo nombre de usuario y contraseña.
Pero estas herramientas no son usadas masivamente y aunque lo fueran, no resuelven el problema del todo.
Existen sitios como haveibeenpwned.com/ que almacenan millones o billones de contraseñas de las diferentes filtraciones que se han dado en internet. Es así que escribiendo solamente nuestra dirección de mail, el sitio nos informará si nuestra contraseña esta dentro de una de estas filtraciones.
Es por esto, que aunque tengamos una excelente contraseña, esta por si mismo ya no es suficiente y se requiere además, del uso de un segundo factor de autenticación. El ejemplo típico de esto es el mecanismo que utilizamos para el cajero automático, donde no solo es algo que sabemos, el pin, sino también algo que tenemos, la tarjeta del cajero.
3. Doble factor de autenticación
Para cumplir con este propósito, se requieren dos factores para poder garantizar que somos quien decimos ser. Así, los dos factores se arman entre, algo que sabemos, algo que tenemos y algo que somos. Citábamos por ejemplo el caso de la tarjeta del cajero, pero también está el caso de las cuentas bancarias donde al momento de hacer una transferencia muchos bancos, solicitan un token.
Contraseña compleja o contraseña larga? La recomendación general es que sean largas. Como veíamos en el ejemplo anterior, una contraseña de 16 caracteres es lo suficiente segura pero difícil de recordar. Entonces la otra propuesta, como ejemplifican múltiples sitios web es que sea larga. Así, sitios como useapassphrase.com/ proponen el uso de frases de contraseñas. Es así que su propuesta de una buena contraseña seria algo como “duo anatomist twisted petty”
Por suerte la tecnología avanza y nos ofrece, en estos tiempos modernos, cada vez más alternativas de seguridad para acceder, por ejemplo a nuestros dispositivos móviles. El uso de huellas digitales, lectores de retina o rostro, nos hacen fácil el día a día al acceder a diferentes servicios con el solo hecho de demostrar que somos quien decimos ser.
Y aquí vamos otra vez: por favor utilice algún sistema de gestión de contraseñas y no utilice la misma contraseña para diferentes sitios. Siempre que pueda utilice segundo factor de autenticación. Siempre que ingrese su contraseña en un sitio web, asegúrese que el mismo dice https:// en la barra de dirección. Administradores: ayuden a sus usuarios en el uso de gestores de contraseñas. Concienticen al personal de su empresa sobre la importancia de la seguridad.