Gestión de contraseñas

07/2018

Cada cierto tiempo alguien me pregunta cómo hago yo para gestionar mis contraseñas. Especialmente cuando les echo la bronca por tener la misma contraseña en más de un servicio (o en todos!)

Empecemos por lo obvio: tener contraseñas absurdas como tu nombre, el de tu hijo, tu perro o tu pareja, fechas como tu cumpleaños o tu aniversario... es muy mala idea. Cualquiera que te conozca podría averiguarla en un abrir y cerrar de ojos o cualquier desconocido con malas intenciones te podría piratear en cuanto investigue un poco sobre ti en internet.

Conozco un caso en que la persona en cuestión usaba su contraseña como hashtag con el que etiquetaba sus fotos en instagram!!

La opción de ponerlo en un post it en la pantalla ya se ha demostrado infinitas veces que no es una buena idea; como cuando hace unos meses el sistema de alerta de misiles de Hawai mandó una alerta masiva de ataque y las investigaciones posteriores dicen que la publicación de la foto que ilustra este tweet tuvo algo que ver.

tweet contraseña

La primera reacción de la gente es que ellos no tienen nada que ocultar ni son famosos así que nadie va a querer entrar en su cuenta. Cualquier persona a la que le hayan pirateado una cuenta te dirá que da igual que no seas famoso o importante. Alguien podría tener acceso a tu identidad digital o hacer cualquier cosa, desde robarte hasta destruir tu reputación.

 

Ante esta situación, lo que hace habitualmente la gente es crear una contraseña segura y aprendérsela. Y luego usarla en todas partes.

Esto obviamente también es un error. Si uno de los sitios en los que usas esa contraseña es pirateado, la contraseña de todos tus servicios estaría expuesta.

Las webs donde introduzcan tu contraseña DEBERÍAN contar con HTTPS para evitar que tu contraseña viaje en claro por internet (y que si alguien capturase esa llamada pudiera verla) y luego DEBERÍAN almacenar la contraseña encriptada en la base de datos, nunca en claro, (que es como llamaremos a guardar la contraseña escrita tal cual).

Pero eso es lo que DEBERÍAN hacer y que en muchos casos no se hace.

Cabría preguntarse: y si la web no guarda mi contraseña sin encriptar en ningún sitio… ¿cómo me identifica la siguiente vez que trate de entrar?

El siguiente esquema trata de explicar de forma sencilla el proceso:

explain password process

 

Si la web almacena la contraseña en claro cualquier trabajador de esa empresa con acceso a la base de datos podría ver tu contraseña y con eso, tener acceso a todos los servicios en los que te hayas dado de alta con la misma contraseña.

Si en la base de datos está encriptada, no podría verla.

Pero igualmente estas expuesto a los trabajadores de la empresa... cómo cuando Twitter hizo un reseteo masivo de sus contraseñas que estaban correctamente almacenadas en la base de datos, pero habían estado guardándose en claro en un fichero de log de uso interno (paso 2 del esquema). 

No se sabe si alguien ha podido hacer uso de esos datos, pero si usas la misma contraseña en facebook, un trabajador de twitter con pocos escrúpulos y acceso a ese fichero, podría haber entrado en tu cuenta.

 

La solución más sencilla: un gestor de contraseñas

La siguiente pregunta que me hacen es: ¿y cómo voy a acordarme de una contraseña segura para cada web o aplicación?

La solución pasa por un gestor de contraseñas.

 

Dos de los más populares son 1password y LastPass.

Son de pago, sí. Pero si te roban tu cuenta y mandan correos a tu jefe en tu nombre, suben fotos chungas a tu instagram, o cualquier cosa peor, puesto que tienen acceso a todo... seguro que preferirías haber pagado antes una pequeña cantidad.

 

También es cierto que la idea de tener todas tus contraseñas en un solo sitio asusta: si alguien tuviera acceso a tu gestor, tendría todas tus contraseñas. 

Pero para eso, estos servicios funcionan de manera que sólo tú puedes ver tus datos y solo con tu contraseña maestra (de ahí los nombres de las apps, porque sólo necesitarías recordar una contraseña) se pueden ver los datos guardados.

Es más, si pierdes tu contraseña no hay manera de recuperarla: en estos servicios no existe un “recuperar contraseña”.

Permite generar contraseñas seguras aleatorias y cuenta con plugins para todos los navegadores para que sea cómodo de usar: cuando te identificas en una web que no tienes guardada, te pregunta que si deseas guardarla (o actualizar el dato que ya tienes si cambias la contraseña)

Y luego puedes logarte de manera muy rápida con su combinación de teclado. Si sólo tienes una contraseña guardada para esa web, rellenará los campos automáticamente e iniciará el login.

Además, cuenta con servicios como: alertarte cuando tu email aparece en un listado de contraseñas robadas, o cuando se ha publicado una alerta de seguridad. 

Por ejemplo, así avisaba 1password cuando se produjo la noticia de Twitter.

 

1password alert

En la configuración se le indica que compruebe las contraseñas vulnerables o si el sitio tiene autenticación en dos pasos y no la estamos usando.

1password config

 

También te informa de cuantos de tus logins guardados comparten contraseña o de las que no has cambiado en mucho tiempo.

 

Tanto 1password como LastPass tienen una versión para empresas, y es que la gestión de contraseñas es algo que tiene que tenerse en cuenta en el día a día de cualquier empresa. La separación en bóvedas permite gestionar qué empleados tienen acceso a qué contraseñas (e incluso que no puedan verlas, sino únicamente usarlas con la funcionalidad de “Open and fill”)

Cuando un empleado se marcha de una empresa, las contraseñas de servicios potencialmente sensibles no se suelen cambiar. Como mucho se bloquean las cuentas de ese empleado, pero si había una cuenta general de un servicio rara vez se cambia la contraseña, lo que es un grave error de seguridad.

 

Lo cual nos lleva al punto de: no basta con poner una contraseña segura y olvidarse para siempre. Es prudente cambiar las contraseñas, al menos de los servicios más potencialmente problemáticos, como tu email, tus redes sociales, los bancos o cualquier otro servicio que pueda dañar tu imagen, tu situación económica, tu trabajo o tu empresa.

Yo suelo recomendar hacer una ronda de cambio de contraseñas cada 6 meses.

paranoid

 

Tener todas tus contraseñas en un gestor de contraseñas ayuda a este proceso. Sólo hay que ir de una en una en la lista e ir guardando la nueva tras cambiarla.

Estos servicios cuentan con apps para tabletas y móviles para poder tener acceso a estas mismas contraseñas.

Empieza a haber apps que integran login con el gestor de contraseñas y si encima tienes lector de huella no tienes ni que escribir.

1password in iphone login

En caso de no integrarlo, tendrías que abrir tu app en tu móvil, buscar el servicio, copiar la contraseña y pegarla en la app o web en cuestión. Es un poco rollo, pero no se puede tener todo.

 

Tirando por la calle de en medio

Cuando la gente empieza a voltearme los ojos ante mi arrebato paranoico de seguridad, les ofrezco una solución intermedia: diseñar un esquema de contraseñas de manera que puedas recordarla y que sea distinta en cada sitio web.

Suena demasiado bonito para ser verdad, pero es una posible solución intermedia.

Una contraseña segura debe tener mayúsculas, minúsculas, números y caracteres especiales. Idealmente también espacios, pero no todos los servicios los admiten, así que los dejamos fuera.

 

Puedes empezar eligiendo una temática. Por ejemplo: Galaxias. Así puedes decidir empezar por la vía láctea.

Tu contraseña base sería: 

galaxia,números.número_que_identifica_la_web

Repetirías las dos primeras partes y cambiarías el número final.

Así por ejemplo

viaLactea,890.1 - Facebook

viaLactea,890.2 - Twitter...

Y cuando llega el momento de cambiar las contraseñas eliges otra elemento de tu temática espacial, por ejemplo

andromeda,890.1

Sólo tendrías que recordar tu constelación y luego asociar cada sitio web a un número. 

¡Incluso podrías tener una lista con los números y las webs! Así aunque tuvieras el post it en el monitor diciendo que Facebook es el 1, nadie podría entrar a tu cuenta.

No es una solución perfecta, pero es cómoda cuando sí que necesitas saberte la contraseña o no quieres pagar un gestor de contraseñas.

 

Doble autenticación

En cualquier caso, aunque se use esta aproximación, sumarle el gestor va a hacer tu vida mucho más fácil (y segura!)

Pero aún así, hay otro nivel de seguridad adicional que se puede añadir a muchos servicios: la doble autenticación.

Si la activas en gmail, por ejemplo, para entrar a tu cuenta tendrás que poner tu mail y contraseña y luego un código de 6 dígitos que recibirás en tu teléfono. 

Puedes indicarle que no te pida el código en logins sucesivos desde ese dispositivo, pero así obligarías a un posible atacante que hubiera conseguido tu contraseña a que tuviera acceso también a tu teléfono.

Cada vez más servicios ofrecen la doble autenticación, y aunque en ocasiones es algo molesto este paso adicional, te aporta mucha más seguridad.