En mi visita la semana pasada a la ciudad de Botogá, Colombia, fuimos invitados a participar de una iniciativa de la Brigada Digital, un proyecto del Ministerio de Tecnología. Se trata del Foro Abierto de “Ciberseguridad: Protección de Sistemas Informáticos por parte del Usuario”, un panel que integramos cuatro profesionales de seguridad de la información, incluida gente de empresas como Microsoft. La idea era que entre todos podamos discutir los aspectos más importantes del ámbito corporativo, y el primer tema que invitó a conversar, las contraseñas, generó más debate de los esperado.
Resulta que una problemática que parece sencilla, o una problemática que parece resuelta, posee más debates de los que uno cree, y el problema no queda solo resuelto con el ya conocido consejo de usar contraseñas fuertes, y eso lo veremos en los primeros dilema, de los cinco que me propongo compartir hoy con ustedes.
En cada uno de ellos intentaré presentar dudas que tienen los usuarios respecto al uso correcto de esta medida de seguridad: las contraseñas. Empecemos…
1. ¿Sirven las contraseñas?
Por aquí hay que empezar. Este sería el primer dilema. Un asistente al foro se preguntó por qué habiendo métodos de autenticación más eficientes (que incluyan token, por ejemplo), se siguen usando las contraseñas. “El problema no es cómo usarlas, sino que el problema son las mismas contraseñas“, comentó.
La realidad, es que en parte tiene razón. ¿Por qué no utilizar biometría? Se trata de un método de autenticación mucho más seguro, difícil de fraguar pero… es mucho más costoso. Lo mismo los tokens (dispositivos físicos que generan contraseñas específicas para cada login), que son muy funcionales, pero el costo de implementarlos es muy superior a las contraseñas. A todos nos gustaría que los bancos tengan estos servicios, pero la pregunta es cuántos usuarios se quejarían del banco por el costo de estos, o por la baja usabilidad, y cambiarían por otro “que solo use contraseñas”.
Es un aspecto complicado, si se piensa solo en la seguridad (un escenario solo permitido en un mundo ideal, o en un mundo paranoico), es correcto: hay métodos más seguros que las contraseñas. Pero…
Mi respuesta: sirven. Es cierto que hay métodos de autenticación más eficientes, pero en al relación entre la seguridad que otorgan, la usabilidad y los costos, sigue siendo la opción más viable hoy en día.
2. ¿Deben ser fuertes las contraseñas?
Parece una locura que esté preguntando esto, pero así surgió en el debate. Y no es tan descabellado. Luego de varios minutos de hablar de claves, uno de los oradores dijo algo fundamental: una contraseña debe ser tan fuerte, como el valor de la información a la que esta de acceso.
En ese contexto, surgió la pregunta: ¿qué problema hay si se usan contraseñas débiles para servicios temporales, o de poca importancia, que no poseen información de valor para el usuario? Es una visión importante, y creo que vale la pena tenerla en cuenta, especialmente dado que esta va acompañada de otro consejo fundamental sobre las contraseñas, quizás más importante que el de usarlas fuertes: no tengas una única contraseña para todo.
Mi respuesta: prefiero claves fuertes, pero prefiero repetir que “una contraseña debe ser tan fuerte, como el valor de la información a la que esta de acceso“.
3. ¿Hay que tener más de una contraseña?
Es un dilema que ya resolví anteriormente, pero me permito convertirlo en una pregunta: ¿cuántas contraseñas utilizar? Yo diría que por lo menos, un usuario que haga un uso intensivo de Internet debería tener al menos cuatro contraseñas: una para las cosas personales (redes sociales, cuentas de correo), otra para las laborales, otra para las económicas (e-commerce, home banking) y otra para las triviales (foros, comentarios en medios).
Y este es un mínimo, ya que en muchos casos es mejor derivar en sub-categorías. Por ejemplo, algunos en nuestros trabajos tenemos demasiados sistemas para que todos tengan la misma clave, a veces son necesarias dos o tres, sólo para los sistemas laborales.
Mi respuesta: sí, hay que tener varias contraseñas.
4. ¿Es posible recordar muchas contraseñas?
El dilema anterior nos trae a un típico comentario de un usuario: “no puedo recordar tantas contraseñas“. ¿Es cierto esto? Todo depende de cómo se creen esas contraseñas.
Partamos de un ejemplo sencillo: si un usuario usa como contraseñas su nombre seguido de un dígito (sebastian1, sebastian2, etc.), seguramente podría recordar cientos de ellas, pero estas no serían efectivas, ni seguras. Entonces, el dilema es cómo tener contraseñas fueres y recordarlas. La solución, es utilizar patrones. Esta es la solución.
Ejemplo:
- Para las contraseñas personales, uso mi fecha de nacimiento, seguido de mi nombre, seguido del servicio; más algún dato de color para hacerla fuerte:
- 1980JoseFaisbo0k
- 1980JoseMimail
- Para el trabajo, uso el mismo criterio: fecha de ingreso, nombre de la empresa, servicio:
- 2001ESETCorreoempresa
- 2001ESETOtrosistema
Se trata de solo un sencillo ejemplo, pero muestra cómo determinados patrones, pueden ayudar a recordar las contraseñas, y que estas sean a la vez, variadas y fuertes. Esa es mi respuesta.
5. ¿Sirven las aplicaciones para gestionar contraseñas?
Para los que no lo conozcan, se trata de aplicaciones que permiten almacenar todas las contraseñas, y para acceder a la misma se debe cargar una única contraseña de acceso. Para aquellos que tenemos decenas de contraseñas, es una alternativa muy utilizada.
Sin embargo, algunos de mis colegas plantearon su negativa al “punto único de fallo”: si llegara ocurrir un problema con la base de datos, se perderían todas las contraseñas del usuario. Este punto es cierto, pero hay un punto que también destaqué durante el foro: esto se soluciona con un backup.
Por otro lado, existe otro punto único de fallo que también debería considerarse: si un atacante vulnera la contraseña maestra, también tendría acceso a todos los datos. Aunque esto en primera instancia se soluciona con una contraseña maestra fuerte, no es una solución total, ya que la contraseña fuerte podría ser adquirida por un atacante, por ejemplo, con un troyano keylogger. En ese contexto, aunque puede mitigarse, este es un riesgo que en parte hay que correr si se toma esta opción.
¿Mi respuesta? Yo repito lo que compartí en su momento: prefiero estos riesgos a los riesgos de un usuario que tiene una (o muy pocas contraseñas). Creo que los gestores de contraseñas son útiles, aunque es productivo mencionar sus riesgos y limitaciones. Otras alternativas sugieren utilizarlos para la mayoría de los servicios, pero omitir los más críticos, para los cuales vale la pena recordar algunas contraseñas particulares.
Estos fueron, queridos lectores, los que a mi criterio fueron los principales dilemas que surgieron sobre las contraseñas, acompañados de algunas reflexiones y opiniones. Si alguno de ustedes no está de acuerdo con el camino elegido, o quiere agregar propuestas, este espacio es suyo… ¡a comentar!
Sebastián Bortnik
Coordinador de Awareness & Research