viernes, 19 de diciembre de 2008

Gestión de contraseñas

Dicen que una cadena es tan fuerte como su eslabón más débil, y en el caso de los sistemas informáticos pasa exactamente lo mismo. Ya puedes tener el megachupifantático sistema de autentificación, seguridad, firewalls, detectores de huellas e identificadores de retina que si luego llega un usuario y te pone de contraseña "1234" te hace polvo todo el sistema.

Visto desde el otro lado tenemos el mismo problema, yo como usuario me empiezo a registrar en todos los servicios de internet posibles, total son gratis, así que me registro en Google, Yahoo, Msn, Facebook, Twitter, Flickr, Paypal, mi banco, en todos los foros de cualquier tema imaginable, y como tengo muy mala memoria, pues qué mejor que utlizar la misma contraseña en todas, por ejemplo "pascualito" que es el nombre del hijo del primo de mi abuela, que como nadie se acuerda ya de él nadie probará la contraseña, vendo mi vida, las fotos de mi familia, mi correo, mi "messenger", y todo vale la simple palabra "pascualito", y yo sigo tan contento en mi falsa sensación de seguridad.

Sin embargo, un día, veo una página de dudoso contenido, pero que me mola mucho, y me doy de alta, con mi usuario y mi contraseña de siempre, y como me piden el correo pues pongo el mio claro, que tiene por supuesto esa misma contraseña. Pero, resulta que esa página en lugar de guardarse mi contraseña, o mejor, su hash, lo que hace es utilizarla para robar mi vida, me quita mi cuenta de Facebook, del "Messenger", de Yahoo, de Twitter, se mete en mis cuantas bancarias, me quita mis fotos privadas de Picassa.. ¿¿¿pero no eran privadas!!!??? Madre mía, qué lío he montado, las fotos de mi novia por ahí danzando, la que se va a liar, o mejor aún, me meto en esa página que lo lió todo y me dice que si quiero recuperar mi vida que haga un ingreso mediante tarjeta de crédito en una cuenta de las Islas Fiji.

Con la pasta que se gastan toda esta gente de Google, Yahoo, etc. en seguridad, y el eslabón más débil, mi contraseña, ha sido roto.

¿Cómo evitar todo esto? Pues concienciando a los usuarios que utilizar la misma contraseña, o una que sea muy fácil deducir (no vale eso de "pascualito1", "pascualito2", etc.) no es una buena idea, que parece que no tenemos mucho que perder y en realidad tenemos mucho, pero mucho, que perder, nada más y nada menos que nuestra intimidad, que tantas generaciones ha costado conseguir.

Desde el punto de vista del usuario la mejor manera, a mi juicio, de evitar este tipo de acontecimientos es utilizar programas del tipo Password Safe, programas que te generan una contraseña aleatoria y muy difícil (usa mayúsculas, minúsculas, números y símbolos) para cada registro en una web, y para acceder a esa base de datos de contraseñas el programa te pide, ¡como no!, una contraseña, pero esta contraseña no puede ser una contraseña cualquiera, es La Contraseña, es la que guarda los secretos de tu vida, por tanto, no seas perro y cúrratela un poquito, que sea muuuuy larga, lo mejor es que sea una frase, que combine números, letras mayúsculas y minúsculas y si eres un hacha pues hasta símbolos, vamos, del tipo "Hace tiempo que no duermo más de 3,5 horas seguidaS", algo fácil de recordar, pero sumamente difícil de descifrar por fuerza bruta.

Si queréis probar el programa lo podéis descargar de:

http://passwordsafe.sourceforge.net/, en el menú de la izquierda "download" y os bajáis la versión que pone "passwordsafe" a secas.
Es un programa muy fácil de utilizar, pero si hay peticiones puedo hacer un manual paso a paso de cómo se utiliza.

Alguno se preguntará porqué va a fiarse de un programa para meter todas sus contraseñas, qué pasa si el programa es como nuestro foro malísimo y nos roba también nuestra vida... pero la respuesta es muy sencilla: porque es software de código abierto, tengo su código fuente, es decir, tengo los planos de lo que hace exactamente ese programa. Quizá alguno dirá que da igual, porque él no sabe programar, pero aunque él no sepa otros muchos harán esa labor de mirar con lupa ese código fuente, por tanto es mucho más de fiar un programa de código abierto que uno propietario, por esta razón, la seguridad de saber qué esta haciendo exactamente.

¡Sed buenos!
Salu2!

2 comentarios:

Anónimo dijo...

Joder Jorge creo que tienes toda la razón, llevo utilizando la misma contraseña para TODO, excepto los bancos, desde el año 1999. Creo que es hora de ponerse las pilas!!!

Anónimo dijo...

hola!
intento conseguir el codigo fuente de este programa, pero no lo encuentro.
Podrías mandármelo? mi correo es
info@am-ma.es
graciasS!