22/07/2012

Cómo reconciliarse con el mundo de
las contraseñas

El Observador

La vida era sencilla cuando no había que acordarse de tantas contraseñas. ¿O tal vez no? Entonces había que ir al banco para hacer cualquier tipo de trámite que hoy se puede liquidar en dos minutos en la web (próximo post de Toolbox sobre bancos online, promesa). Había que pagar las cuentas en cada uno de los entes que generaban esas cuentas, mientras que hoy se pagan también por la web en la mayoría de los casos. Y algunas otras complicaciones burocráticas de las que ahora nos salva Internet.

No vale la pena comparar si tiempos pasados fueron mejores, pero la realidad es que el presente puede resultar complicado a la hora de administrar las múltiples contraseñas que se necesitan para ingresar a las cuentas online que se han vuelto imprescindibles en nuestra rutina. Una persona “poco tecnológica” tiene al menos una clave para ingresar al correo electrónico, otra para alguna de las redes sociales que usa (seguramente Facebook, de acuerdo a las cifras de lo que prefieren la mayoría de los uruguayos), y tal vez una tercera para su tienda online favorita. Con cada grado de sofisticación tecnológica que una persona suma, seguramente agregue una nueva contraseña. No me animo a contar todos los servicios online que uso con frecuencia –y menos aquellos en que me inscrito y que apenas uso-, pero si sumo solamente los de los bancos, correos electrónicos y redes sociales, ya supero la decena.

Cuando Internet comenzó a masificarse, a fines de los 90, bastaba con una palabra clave “cantada”: el nombre del hijo, del perro, el del chalé de veraneo, el de la abuela preferida. Pronto los expertos en seguridad informática nos dijeron que todos esos datos eran muy fáciles de adivinar y, por lo tanto, de piratear. Cuando la cuenta que se podía piratear contenía unos pocos mails sin importancia, nadie perdía el sueño. Ahora, si hackean tu cuenta del banco, o de la tarjeta de crédito, o incluso la de Amazon, podrías perder mucho dinero. Y seguramente si el pirata se mete en tu cuenta de Twitter, Facebook o You Tube, te regalará un mal momento y te afectará la reputación.

Por eso ahora, con decenas de cuentas online pendientes de la frágil memoria humana –a la que, según demuestran los estudios, Internet no ayuda a fortalecer- es casi imprescindible generar una organización mínima a la hora de usar contraseñas. Los consejos básicos de los expertos en seguridad, incluyen:

1) Generar tres tipos de contraseñas. La más sencilla (ej: observador) compuesta únicamente de letras, sin mayúsculas ni minúsculas, debe usarse para los servicios en los que se guardan los datos menos importantes. Si alguien me roba por un rato la cuenta de Flickr, la de Vuvox, o la de Animoto, que las disfruten. Cero estrés. El segundo nivel de contraseña debe incluir una combinación de letras mayúsculas y minúsculas (ej: ObservadOr) sirve para cuentas que guardan información un poco más sensible, entre las que están las redes sociales. Un tercer nivel de seguridad se debe aplicar para las cuentas más sensibles, aquellas en las que se maneja dinero: bancos, servicios de pago y tiendas online. En estos casos es mejor elegir una combinación de letras mayúsculas y minúsculas, más números y hasta símbolos (ej: ObservaOr_2012, aunque pensándolo bien, esta sería muy evidente en mi caso, ¿no?)

2) Las contraseñas más seguras siguen estos parámetros

-no se pueden encontrar en el diccionario (los hackers también lo usan para intentar con todas las palabras posibles, y no lo hacen a mano, una a una, claro está)
-contienen tanto caracteres especiales ($%&) como letras y números
-usan mayúsculas y minúsculas
-tienen un mínimo de 10 caracteres
-no se pueden adivinar averiguando información pública del usuario (cédula, fecha de nacimiento, número de teléfono, etc).

3) No usar las mismas contraseñas para todos los servicios. Luego de que un hacker piratea la cuenta de Linkedin, intentará seguramente usar la misma palabra clave para ingresar en Facebook y hasta en el correo de Gmail.

4) Asegurarse de que todas las contraseñas que se usan se puedan recuperar en caso de que éstas fueran pirateadas. Así, si alguien comienza a postear tonterías desde tu cuenta de Facebook podrás cambiar rápidamente tu contraseña. Para eso hay que asegurarse de asociar siempre una cuenta de correo electrónico principal a estas cuentas, y también una alternativa. Muchos servicios permiten además ingresar un número de celular (entre ellos Facebook y Google), lo que permite resetear la contraseña rápidamente luego de que te envían mensaje de texto. La mayoría de los servicios también permiten generar preguntas de seguridad, que deberían ser lo más particulares y privadas posibles. Es decir, no preguntes cómo se llama tu hijo. Tal vez cómo se llamaba tu maestra de segundo año.

5) Probar el nivel de seguridad de la contraseña elegida. Esto se puede hacer usando herramientas online tales como The Password Meter. La palabra clave que estoy usando ahora tiene un 66% de efectividad, según este servicio. Luego de cambiarle una minúscula por mayúscula, subió a 99%.

6) Cambias las contraseñas periódicamente. Es cierto, es una pesadilla. ¿A quién se le ocurre tener que pensar contraseñas nuevas cada 90 días? Pero es así señores. Hay que intentarlo, al menos.

7) Mantener copia de sus contraseñas en un lugar seguro. Ante este consejo, me niego a tener una libretita de papel con las palabras clave anotadas. ¿Para qué tanto progreso tecnológico si tengo que volver al papel? Para evitarlo existen diferentes servicios online (para activarlos se necesita una contraseña, siiii!!) que actúan como administradores de contraseña.

Algunas de estas herramientas guardan esta información “en la nube”, como lo hace LastPass. Otras almacenan la información en la propia computadora, y para usarlas hay que bajar una aplicación, como por ejemplo Keepass, un software de código abierto sencillo de instalar.

Uno de los últimos en lanzarse es Dashlane, disponible para PC y Mac, que funciona en conjunción con Chrome, Firefox y Safari (Internet Explorer llegará amigos, como siempre, después). Este administrador almacena no sólo contraseñas sino también información que evita que uno tenga que volver a llenar esos pesados formularios que piden nombre, teléfono, dirección, fecha de nacimiento y hasta medida de la cintura. El sistema “recuerda” estos datos (con previo permiso del usuario) y los sugiere automáticamente cada vez que hay que incluirlos en un formulario online. Luego de que se instala en la computadora, es posible indicarle qué contraseñas debe guardar y cuáles no. En mi caso elegí que Dashlane recuerde los passwords de casi todos los servicios cuya privacidad no me preocupa, y en cambio no administra mi Gmail ni mis cuentas bancarias. Para estas últimas hago trabajar cada tanto a mi memoria.

Si todo lo anterior le resulta pesado y tedioso, tiene razón. Aunque, si se tome unos minutos para repasar las últimas brechas de seguridad en grandes compañías – Linkedin, Yahoo, Best Buy, Formspring- , todas las cuales han dejado al descubierto miles de contraseñas, tal vez haga la ecuación y decida que es hora de asegurar las suyas.