5 dilemas (resueltos) sobre las contraseñas

En mi visita la semana pasada a la ciudad de Botogá, Colombia, fuimos invitados a participar de una iniciativa de la Brigada Digital, un proyecto del Ministerio de Tecnología. Se trata del Foro Abierto de “Ciberseguridad: Protección de Sistemas Informáticos por parte del Usuario”, un panel que integramos cuatro profesionales de seguridad de la información, incluida gente de empresas como Microsoft. La idea era que entre todos podamos discutir los aspectos más importantes del ámbito corporativo, y el primer tema que invitó a conversar, las contraseñas, generó más debate de los esperado.

Resulta que una problemática que parece sencilla, o una problemática que parece resuelta, posee más debates de los que uno cree, y el problema no queda solo resuelto con el ya conocido consejo de usar contraseñas fuertes, y eso lo veremos en los primeros dilema, de los cinco que me propongo compartir hoy con ustedes.

En cada uno de ellos intentaré presentar dudas que tienen los usuarios respecto al uso correcto de esta medida de seguridad: las contraseñas. Empecemos…

1. ¿Sirven las contraseñas?

Por aquí hay que empezar. Este sería el primer dilema. Un asistente al foro se preguntó por qué habiendo métodos de autenticación más eficientes (que incluyan token, por ejemplo), se siguen usando las contraseñas. “El problema no es cómo usarlas, sino que el problema son las mismas contraseñas“, comentó.

La realidad, es que en parte tiene razón. ¿Por qué no utilizar biometría? Se trata de un método de autenticación mucho más seguro, difícil de fraguar pero… es mucho más costoso. Lo mismo los tokens (dispositivos físicos que generan contraseñas específicas para cada login), que son muy funcionales, pero el costo de implementarlos es muy superior a las contraseñas. A todos nos gustaría que los bancos tengan estos servicios, pero la pregunta es cuántos usuarios se quejarían del banco por el costo de estos, o por la baja usabilidad, y cambiarían por otro “que solo use contraseñas”.

Es un aspecto complicado, si se piensa solo en la seguridad (un escenario solo permitido en un mundo ideal, o en un mundo paranoico), es correcto: hay métodos más seguros que las contraseñas. Pero…

Mi respuesta: sirven. Es cierto que hay métodos de autenticación más eficientes, pero en al relación entre la seguridad que otorgan, la usabilidad y los costos, sigue siendo la opción más viable hoy en día.

2. ¿Deben ser fuertes las contraseñas?

Parece una locura que esté preguntando esto, pero así surgió en el debate. Y no es tan descabellado. Luego de varios minutos de hablar de claves, uno de los oradores dijo algo fundamental: una contraseña debe ser tan fuerte, como el valor de la información a la que esta de acceso.

En ese contexto, surgió la pregunta: ¿qué problema hay si se usan contraseñas débiles para servicios temporales, o de poca importancia, que no poseen información de valor para el usuario? Es una visión importante, y creo que vale la pena tenerla en cuenta, especialmente dado que esta va acompañada de otro consejo fundamental sobre las contraseñas, quizás más importante que el de usarlas fuertes: no tengas una única contraseña para todo.

Mi respuesta: prefiero claves fuertes, pero prefiero repetir que “una contraseña debe ser tan fuerte, como el valor de la información a la que esta de acceso.

3. ¿Hay que tener más de una contraseña?

Es un dilema que ya resolví anteriormente, pero me permito convertirlo en una pregunta: ¿cuántas contraseñas utilizar? Yo diría que por lo menos, un usuario que haga un uso intensivo de Internet debería tener al menos cuatro contraseñas: una para las cosas personales (redes sociales, cuentas de correo), otra para las laborales, otra para las económicas (e-commerce, home banking) y otra para las triviales (foros, comentarios en medios).

Y este es un mínimo, ya que en muchos casos es mejor derivar en sub-categorías. Por ejemplo, algunos en nuestros trabajos tenemos demasiados sistemas para que todos tengan la misma clave, a veces son necesarias dos o tres, sólo para los sistemas laborales.

Mi respuesta: sí, hay que tener varias contraseñas.

4. ¿Es posible recordar muchas contraseñas?

El dilema anterior nos trae a un típico comentario de un usuario: “no puedo recordar tantas contraseñas“. ¿Es cierto esto? Todo depende de cómo se creen esas contraseñas.

Partamos de un ejemplo sencillo: si un usuario usa como contraseñas su nombre seguido de un dígito (sebastian1, sebastian2, etc.), seguramente podría recordar cientos de ellas, pero estas no serían efectivas, ni seguras. Entonces, el dilema es cómo tener contraseñas fueres y recordarlas. La solución, es utilizar patrones. Esta es la solución.

Ejemplo:

  • Para las contraseñas personales, uso mi fecha de nacimiento, seguido de mi nombre, seguido del servicio; más algún dato de color para hacerla fuerte:
    • 1980JoseFaisbo0k
    • 1980JoseMimail
  • Para el trabajo, uso el mismo criterio: fecha de ingreso, nombre de la empresa, servicio:
    • 2001ESETCorreoempresa
    • 2001ESETOtrosistema

Se trata de solo un sencillo ejemplo, pero muestra cómo determinados patrones, pueden ayudar a recordar las contraseñas, y que estas sean a la vez, variadas y fuertes. Esa es mi respuesta. ;-)

5. ¿Sirven las aplicaciones para gestionar contraseñas?

Para los que no lo conozcan, se trata de aplicaciones que permiten almacenar todas las contraseñas, y para acceder a la misma se debe cargar una única contraseña de acceso. Para aquellos que tenemos decenas de contraseñas, es una alternativa muy utilizada.

Sin embargo, algunos de mis colegas plantearon su negativa al “punto único de fallo”: si llegara ocurrir un problema con la base de datos, se perderían todas las contraseñas del usuario. Este punto es cierto, pero hay un punto que también destaqué durante el foro: esto se soluciona con un backup.

Por otro lado, existe otro punto único de fallo que también debería considerarse: si un atacante vulnera la contraseña maestra, también tendría acceso a todos los datos. Aunque esto en primera instancia se soluciona con una contraseña maestra fuerte, no es una solución total, ya que la contraseña fuerte podría ser adquirida por un atacante, por ejemplo, con un troyano keylogger. En ese contexto, aunque puede mitigarse, este es un riesgo que en parte hay que correr si se toma esta opción.

¿Mi respuesta? Yo repito lo que compartí en su momento: prefiero estos riesgos a los riesgos de un usuario que tiene una (o muy pocas contraseñas). Creo que los gestores de contraseñas son útiles, aunque es productivo mencionar sus riesgos y limitaciones. Otras alternativas sugieren utilizarlos para la mayoría de los servicios, pero omitir los más críticos, para los cuales vale la pena recordar algunas contraseñas particulares.

Estos fueron, queridos lectores, los que a mi criterio fueron los principales dilemas que surgieron sobre las contraseñas, acompañados de algunas reflexiones y opiniones. Si alguno de ustedes no está de acuerdo con el camino elegido, o quiere agregar propuestas, este espacio es suyo… ¡a comentar!

Imagen de Marc Falardeau en Flickr. Licencia CC BY 2.0

Autor , ESET

  • Si uno sigue todos estos criterios, pero aún así en un cibercafé u otro lugar accede a realizar trámites o a sus diferentes cuentas y esta máquina contiene algún malware (llámese keylogger o alguna bootnet), toda la seguridad que se realizo con la contraseña se fue al tacho……. Claro si el equipo no está protegido con una solución antivirus!!!

  • Cesare Montedonico

    La verdad los sistemas para guardar contraseñas como keepass son bastante útiles, además de que un principio básico dentro de la seguridad es realizar respaldos, y por supuesto usar el respaldo de tus contraseñas debería ser una prioridad.

    Además de los métodos explicados para recordar contraseñas, una muy sencilla es usar palabras comunes y usar la tecla superior para colocarlo, de esta forma un password como:

    estoymuyseguro quedaría
    3w596j76w3t749

    casadelabuelo quedaria
    dqwqe3oqg73o9

    cocina quedaria
    d9d8hq

    etc….

    Saludos, obviamente hay que recordar las palabras complejas y ponerle otros trucos para que no te la atrapen.

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Las contraseñas más utilizadas en iPhone()

  • Virulazo Benvenuto

    Sr. Bortnik, espero le haya gustado “Botogá”, aunque la busqué en un mapa, no pude hallarla. Bien… para hacer un parangón con el mundo físico, pensemos en una clave como una “llave de acceso a algo”. Planteado esto, no existe en el mundo una cerradura que no pueda abrirse, con tiempo y esfuerzo. Se ataca todo y también con una relación equivalente a la concepción de la clave. El ataque tendrá la fuerza e inteligencia de acuerdo a la importancia del objetivo. Entonces…¿están equivocados los técnicos de Google al plantear que con una clave “tendrás acceso a todo”? como pregonan en la página luego de presionar el botón “Acceder”, por ejemplo al querer loguearse a Youtube… particularmente no me gusta. Por otro lado, las aplicaciones para administrar claves tampoco me merecen confianza, por razones obvias al ambiente que comparten, es decir, el SOperativo. Prefiero una libreta donde anotarlas, convenientemente segura. Fíjese que en TODAS las indicaciones de dispositivos como teléfonos móviles y antiguamente en agendas electrónicas (que he usado por más de 20 años) se indicaba el consejo de MANTENER REGISTRO ESCRITO de la información ingresada. Al ingresar al mundo digital, el usuario final maneja mucha más información en formato texto o imágenes, como también video y música y no repara en el tiempo que debe emplear para cuidar su información, que aunque declare que es banal, se convierte en importante cuando la pierde. A través de 20 años de ejercicio de mi profesión de Analista de Sistemas y Educador, he encontrado dos clases de usuarios, los primeros son el 50% de ellos que están a punto de perder sus datos y el otro 50% que ya lo ha perdido.

    La desidia en el manejo de las contraseñas es la misma que muchas veces se manifiesta, inclusive, en temas tan delicados como el cuidado de la vida, es INHERENTE al humano y acicatea las mentes de los febriles delincuentes que corren tras ellas. Por otro lado, NINGUN usuario dedicará más tiempo a la seguridad que el que debe emplear en usar sus aplicaciones necesarias, y son estas las que deben brindar la seguridad necesaria para su uso, por eso la importancia de consultoras-auditoras de software y la publicación de los resultados. Cada uno tiene, a su modo, su concepto de seguridad, que no significa el acertado, ni siquiera cuando con el transcurso del tiempo lo libre de ataques. Sus comentarios se inscriben en el contexto del acierto y creo que la cantidad de contraseñas a manejar es equivelente al manojo de llaves de las cosas importantes que debamos proteger (o intentar proteger). Soy usuario registrado de SMART SECURITY7. Atte. Virulazo Benvenuto,

Síguenos