Contraseñas y seguridad (y que pasa después de morir)

Contraseñas y seguridad (y que pasa después de morir)

Esto va para mi querido Padre, que vivió en carne propia el problema de las contraseñas en Internet.
Para mis hijos, que han debido crecer en esta solitaria era digital y ya acumulan etéreas posesiones en la red, para recordarles lo importante que es lo que ya hemos conversado alguna vez en la sobremesa. Incluso para la que no tiene la desdicha de experimentar de tantas sobremesas al año con nosotros, también.
Para el resto de mi familia, igualmente. Si esto les ayuda, bienvenido sea.
Y para todo aquel que desee vivir una vida digital tranquila. Asimismo, muy bienvenido sea.

Cuando queremos entrar a nuestras casas, sacamos las llaves y abrimos la puerta. Esa chapa incrustada en un bloque de madera, es la seguridad que evita que otros curiosos puedan simplemente mover ese gran listón madera y entrar a nuestro espacio privado. Está claro también: frente a alguien con suficiente tiempo y determinación, ni ese pedazo de madera, ni la chapa de llave ella viste, van a impedir que pueda entrar por la fuerza si así lo quiere.

En internet no tenemos llaves (voy a ignorar lo que conozco técnicamente, SSH y sus llaves; este texto es para personas comunes y silvestres). En cambio, debemos recordar una palabra clave, un Santo y Seña, que nos permita identificarnos e ingresar a nuestro propio espacio privado (entre comillas) en la red, ya sea un correo electrónico, una cuenta de banco, un juego en linea o una red social. Lo que evita que otros ingresen a nuestros espacios personales (ahí si, mejor que privado).

Aunque ha habido intentos (que aún continúan) de implementar un sistema de llaves físicas para autenticarse en internet, intentando emular los beneficios que las llaves tradicionales (de las puertas) tienen, las contraseñas (passwords) aún siguen con nosotros.

¿Usarías una llave física maestra para abrir el frente de tu casa, el portón del auto, tu locker en el trabajo o universidad, tu oficina, tu caja fuerte, tu closet privado en casa, tu casilla, tu bóveda en un banco, y hasta el candado de tu bolso de viaje o maletín?. Conveniente podrían pensar algunos. El problema viene si se te pierde esa llave maestra (donde debes asumir lo peor: te la robaron sabiendo todo lo que abre), o si la descuidas por un momento (donde debes asumir que alguien pudo copiarla).

Lo mismo ocurre con las contraseñas. No solo es un problema si usan una fácil de adivinar; que por si solo es un problema considerable (no deberían fechas típicas, nombres o apodos de familiares o cosas que pueden ser obvias de adivinar para otros). Una traba imperdonable es utilizar la misma contraseña para cada servicio en linea que debes utilizar. Eso simplemente ya no deberían estar haciéndolo. Nunca. Nadie.

Los servicios en linea son vulnerados, cada vez con más frecuencia, y hasta existe un buscador (have i been pwned?) para saber si tu correo electrónico está en alguna de las bases de datos que han sido vulneradas. Si alguien se hace de tu contraseña así (o por otros medios), y usas la misma en todos los sitios, incluidos servicios críticos como banco o tu mismo correo… ¿qué crees que puede pasar?.

La contrariedad ahora es que usamos tantos servicios en linea, distintos uno de otro, y cada uno con su propio usuario y contraseña, que se vuelve una tarea laboriosa recordar esa cantidad de datos en nuestra cabeza, si más encima nos obligamos a no usar nunca la misma contraseña dos veces.

¿Qué hacer?

El algoritmo mental.

Esto es algo que utilicé por muchos años en un principio de mi vida en linea. La premisa es muy sencilla: selecciona una palabra o cosa que te guste mucho, pero que nadie más sepa (que no sea obvio al menos) y conviértelo en un prefijo de tu contraseña. Separa ese prefijo con un set de caracteres o números estándar. Luego añade una frase o “lo que se te venga a la cabeza” cuando pienses en el servicio en linea donde usarás esa contraseña, pero que no sea el mismo nombre del servicio (o sería muy obvio calcular tu contraseña si alguien conoce tu prefijo y el separador).

Ese juego mental creará siempre una contraseña distinta. El proceso es más fácil de lo que se lee. Puedo predicar con el ejemplo, sin miedo a que sepan algo crítico. Este algoritmo mental del ejemplo que viene lo usé por muchos años, hasta que me vi obligado de entregar una de mis contraseñas (problemas legales, todos los tenemos, ¿no?) y… decidí dar de baja la palabra clave.

Dentro de todos los juegos que he jugado en mi vida, crecí jugando Super Mario Kart (el de SNES), y disfruté tardes completas compitiendo con mi hermano conmigo mismo (Rainbow Road y mi propia sombra eran de temer). Así es que convertí ese juego en mi palabra clave. Mis contraseñas comenzaban con mKart. Una mayúscula ahí, por si un sitio exige contraseñas con mayúsculas. Luego el separador era un doble cero. ¿Por qué?. Ni idea, era obvio nada más, y fácil de repetir en el teclado. Ese era mi separador. De paso, añadía números a la contraseña. Plus ahí.

Luego la frase única por sitio o servicio. Acá viene lo entretenido. Si ibas a crear una contraseña para Facebook, no deberías usar tu prefijo clave, separador y simplemente facebook al final. En caso de que tu prefijo y separador sean comprometidos, sería muy sencillo entrar a todas tus cuentas con ese dato. ¿Qué hacer entonces?. Fácil: ¿qué se te viene a la mente cuando piensas en Facebook?. Para este ejemplo, lo vamos a dejar en: ciegodeloscolores. Broma interna, pero válida. Viene de Colorblind, en inglés. ¿Qué tienen que ver los daltónicos con Facebook?. El creador de Facebook es daltónico. Por eso el logo de Facebook es azul. No tiene problemas para verlo, no así con otros colores como el rojo o el verde. Así es que Facebook es azul por eso. Es un hecho que conozco, que no se me olvida, y sirve para crear una contraseña que no es obvia para todo mundo, pero si para mi, y que no peligra incluso si mi prefijo clave y separador son vulnerados y conocidos por otro. Entonces la contraseña final sería: mKart00ciegodeloscolores.

¿Otro ejemplo?. Una cuenta de Google, con su Gmail y todo. Soy viejo en linea. Usé otros buscadores o índices de sitios en internet (uh) antes de Google. Así es que mi contraseña teórica acá para una cuenta de Google sería: mKart00altavista.

¿Un banco?. No hay problema. Para el Banco del pato, Banco Estado, la contraseña sería: mKart00duckhunt. ¿Por?. Porque ese juego (Duck Hunt) de Nintendo (NES), para mi, tiene directa relación con patos (si lo jugaron, es obvio).

¿Simple no?. Y muy efectivo. Hay otras variaciones del mismo sistema en linea (no soy el único al que se le ocurrió la misma idea; aunque cuando la apliqué hace años no lei sobre ella, fui una solución intuitiva para mi problema). Si son ordenados, y no usan muchos servicios en linea, un sistema de un algoritmo mental propio y solo conocido por ustedes los puede mantener lejos de repetir contraseñas.

El inconveniente viene cuando: usan muchos servicios en linea. Manejar cientos de sitios comienza a ser caótico. Y la cabeza puede fallar. O cuando un sitio o servicio se pone creativo y pide cambiar la contraseña cada seis meses (cosa que no hace a un servicio más seguro), obligándolos a cambiar una asociación conocida. O cuando esos mismos tipos de sitios y servicios se ponen especiales y solicitan que tengas un caracter especial en la contraseña, o solo un número, o no permiten mayúsculas, etc. Los hay, y son un problema con esto del algoritmo mental. O cuando por algún motivo estás obligado a ceder una contraseña a un tercero (ejem) y comprometes tu palabra clave y el separador. Aunque las otras contraseñas no tienen el mismo concepto final clave, te pones paranoico y la posibilidad de que alguien adivine un concepto clave final de tu algoritmo para otro servicio en linea debe hacerte desechar todas las contraseñas de una sola vez.

¿Qué hacer ahora?.

Administradores de Contraseñas (Password Manager).

Acá está la mejor solución, hasta hoy, al problema de las contraseñas.

Un Administrador de Contraseñas es una aplicación/programa que usas en tu PC o fono (ahí lo vital, el fono; luego expando en eso), programa que almacena todas tus contraseñas para todos los servicios que utilizas. Esa base de datos de contraseñas está protegida por una única contraseña maestra. Esa contraseña maestra debe ser la única y última contraseña que deberías recordar en tu vida (y no olvidar, porque si no vienen los problemas).

Entonces instalas y usas tu Password Manager en tu PC y/o fono, y te olvidas de las contraseñas… de casi todas, claro. Solo debes recordar la contraseña maestra.

Contraseña maestra que debe ser única, fuerte, segura, obvia para ti y para nadie más, y que idealmente debe ser difícil de “crackear” (a fuerza bruta). Pueden probar la idea que tengan de contraseña maestra en un servicio como este o este. Eso les dará una idea de que tan fuerte realmente su contraseña es. Ojo que un password m3di0r4r0 no es mejor que uno desordenado para todos menos para ti.

¿Recuerdan la llave física de sus casas de la que hablamos antes?. Bueno, sus fonos se están volviendo en eso. No se separan de ustedes. Lo tienen siempre a mano. Y mejor aún: los más nuevos vienen con la conveniencia del lector de huellas dactilares que pueden usar también para desbloquear sus Administradores de Contraseña sin usar siempre vuestro password (¡que de todos modos no deben olvidar jamás!).

Un password manager les permite generar contraseñas seguras y distintas para cualquier servicio que estén añadiendo a su base de datos de contraseñas. Ni siquiera deben saber o inventar una contraseña. La genera y guarda sola si quieren.

¿Necesitan entrar a un servicio y no recuerdan la contraseña?. Toman su fono, abren el Password Manager que instalaron, ingresan (con la contraseña maestra o la huella) y buscan. Todo password manager tiene un buscador. Buscan la misma data que ustedes ingresaron. La dirección URL de la página del servicio, el nombre que le dieron al servicio, el usuario, etc. Buscan. Cuando encuentran, abren esa entrada y miran el password. Siempre a mano.

O mejor aún: auto-completan. En el fono, por ejemplo, pueden conectarse a un servicio mientras después de abrir y buscar la cuenta en el Password Manager, este les deja una notificación abierta con el usuario y password disponibles para copiar y pegar en el formulario del sitio o aplicación. Así:

Y nunca tuvieron que mirar el password si quiera. Simplemente copiaron y pegaron. Luego de unos segundos, el Password Manager vacía el porta papeles (donde quedó el texto copiado), por seguridad (para que no pasen accidentes con eso ahí). Impecable.

También pueden habilitar el servicio de accesibilidad de Keepass2Android, y tendrán una linda y sencilla notificación que aparecerá cuando presionen sobre un campo de contraseña, y que les permitirá introducir automáticamente la contraseña correspondiente a aquella dirección url (si la anotaron bien en la entrada pertinente en la base de datos) una vez presionada.

Elemental y cómodo.

En el computador es igual de conveniente. Igualmente pueden copiar-pegar el usuario y contraseña si quieren (dependiendo del Password Manager que usen). De la misma forma pueden pedirle al app que auto-complete el formulario de ingreso del sitio según la dirección URL. El Password Manager ingresará solo los datos y se conectará. ¿Qué mejor?.

Ustedes solo tuvieron que ingresar una sola contraseña: la del Administrador de Contraseñas.

¿Cuál Password Manager usar?.

Opciones hay muchas. Voy a hablar solo de las más populares, sus pro y contras. Algo detrás de la lógica de porqué finalmente recomendaré lo que recomendaré. Podrían saltar directo a las recomendaciones si lo desean, pero no deberían confiar en nadie ciegamente, nunca.

BitWarden.

Este administrador de contraseñas es gratuito y de código abierto (libre para que cualquiera vea como se hizo, audite su seguridad, o haga una copia del mismo si quiere).

Pro: es gratis. Es fácil de usar. En un computador se usa a través de la web, no hay que instalar un app. En el fono se instala el app.

Contra: la base de datos de las contraseñas queda en sus servidores, así la sincronizan entre la web y el app móvil. Aunque la base de datos está encriptada antes de ser subida a sus servidores, cosa que es excelente desde el punto de vista de la seguridad, el problema aquí es: ¿qué pasa si el servicio deja de existir en dos, cinco o más años a futuro?. No podrán sincronizar sus datos nunca más. Considerando que no hacen dinero con el servicio, es un inconveniente que puede ocurrir en algún punto de la existencia de BitWarden.

Dashlane.

Este administrador de contraseñas tiene un salto de pago para poder tener todas las características. Tienen una muestra gratis de 30 días si quieren probarlo, pero luego tendrán que desembolsar 40 USD al año (unos 26 mil CLP).

Tiene la posibilidad de auto-completar las contraseñas en el computador para vuestra comodidad. Tiene aplicaciones móviles para los fonos. Pueden compartir algunas contraseñas con otras personas que usen el mismo servicio (ilimitado solo en la versión de pago), y pueden sincronizar sus contraseñas entre sus computadores y el móvil también (solo en versión de pago).

Pro: es muy fácil de usar.

Contra: es de pago. Es cerrado. Si alguna vez el servicio deja de existir, sus bases de datos no serán más. Y no sabrán nunca como están encriptando la base de datos y como tratan tus datos en sus servidores. ¿Existe algún backdoor, una puerta trasera (insertad a propósito o por error de programación) que puedan usar para poder ver tus datos sin que nadie más sepa?. Esto es algo que todos los servicios que dependen de un servidor de terceros para sincronizar y almacenar datos, sufren.

LastPass.

Este es el Password Manager comercial más popular sin duda. Muy sencillo de utilizar. De nuevo, requiere que paguen para poder acceder a todas sus características, aunque tienen una cuenta básica gratis también (con publicidad a lo Gmail, pequeña, pero publicidad) con muchas características disponibles que no les harán querer subir a la versión premium inmediatamente. La versión premium son 12 USD al año (unos 8 mil CLP). Costo muy bajo.

Pro: es muy, muy sencillo de utilizar. Hace de todo igual: sincroniza entre la web, el PC y el móvil, auto-completa, etc. LastPass permite compartir ciertas contraseñas con otras personas que usen el mismo servicio. También, permite usar algunos métodos para recuperar el acceso a una base de datos de contraseñas si se te olvidó la contraseña maestra.

Contra: lo mismo que Dashlane. ¿Quién sabe finalmente como funciona la seguridad en el servicio, si es todo cerrado y privado?. Además se los han hackeado, a ellos, y eso si es un gran problema. Si entran al servicio que usas para dejar todas tus contraseñas, aunque estas estén encriptadas (según ellos), qué confianza queda para almacenar información personal crítica ahí?. A pesar de eso, se han portado super bien cuando les ha ocurrido, han enviado notificación inmediata de la brecha de seguridad a todos los clientes, y han solicitado a todos cambiar su contraseña maestra si o si. Sentimientos encontrados.
La conveniencia del servicio, la gratuidad, la responsabilidad (aceptando el error y reconociéndolo públicamente) son puntos a favor que hacen atractiva la oferta de LastPass.

1Password.

Este servicio es igual de cómodo que LastPass, pero con menos inconveniencias de seguridad de por medio. Lamentablemente es mucho más caro que la opción anterior. Son 36 USD al año (unos 24 mil CLP).

Tiene de todo: auto-completador, sincronización entre el computador y el móvil, permite compartir ciertas contraseñas con algunos miembros de la familia que usen el mismo app, etc. Muy bueno en general.

La diferencia con LastPass es que 1Password no usa sus propios servidores para sincronizar la base de datos de contraseñas. 1Password en cambio depende de servicios (populares) de terceros para lograr eso. Y funciona muy bien. El plus de esto es que como la base de datos está encriptada con la contraseña maestra, aunque alguien entre al servicio de tercero y saque tu archivo de base de datos de contraseñas, si elegiste un password fuerte y decente como password maestro, es virtualmente imposible que entren. O al menos a tiempo, antes que tu puedas reaccionar y cambiar tus contraseñas igual, invalidando el filtrado de datos.

Eso es un Pro, grande, en comparación con los servicios mencionados anteriormente.

Contra: es de pago. No es tanto tampoco, pero existiendo opciones gratuitas, es para considerar antes de lanzarse en algo como esto. Y es cerrado, de código cerrado y privado. Aunque el algoritmo que usan para encriptar la base de datos es conocido y probado, todos cometemos errores, y 1Password no es la excepción. Respondieron rápido, lo resolvieron, pero… seguridad por desconocimiento no es seguridad de verdad.

De todos modos, son mejor que opciones anteriores desde el punto de vista de la seguridad.

Y como es una aplicación por si sola, no una web, y la base de datos se sincroniza a través de un tercero (Dropbox, Google Drive, etc.), aunque ellos como empresa desaparezcan, tus contraseñas seguirán donde mismo, podrás continuar usándolas, y no las perderás. Puedes migrar a otro servicio a futuro, con calma, sabiendo que tu base de datos principal va a continuar operando.

EnPass.

Otra opción comercial. Mucho más barata, solo 10 USD (unos 6500 pesos), pago único. De por vida.

Sincroniza en linea usando servicios de terceros, igual que 1Password. La base de datos está encriptada con algoritmos conocidos y probados en el mundo de la seguridad también. Auto-completa igual, y puede compartir contraseñas con otros usuarios de EnPass. Y se ve bien.

Pro: funciona bien, es muy sencillo de usar, y el costo es muy bajo. Es gratis para el computador de hecho, y los 10 USD se pagan si quieres instalar la aplicación móvil para mantener tus contraseñas en sincronía.

Contra: es cerrado, de nuevo. No sabes cuando alguien podrá encontrar un error, o si alguien ya sabe uno pero no lo ha publicado. Es volverse un poco paranoico, pero… los datos que ahí guardaremos son críticos después de todo, ¿cierto?.

Aparte de ese detalle ético, la verdad, es una excelente alternativa. Muy, muy recomendable.

Al igual que 1Password, si EnPass desaparece, tu base de datos de contraseñas y su uso va a perdurar, podrás continuar utilizándolo. Migrar si quieres, pero todo seguro y sin apuros.

KeePassX.

Acá está la opción gratuita y de código abierto, libre para que todos miren y vean como funcione, por excelencia. Es muy, muy seguro. Conocido por años, usado por muchos (me incluyo). Si no olvidas la contraseña maestra, es lo mejor… para alguien que sepa y “se maneje” en el computador.

Es que KeePassX (y su hermano mayor KeePass) es feo y no es obvio de configurar. No puedo pedirle a alguien que no sabe defenderse instalando el solo sus aplicaciones y configurando, que se yo, una impresora, que use KeePassX.

Dicho eso, es lo mejor: es de código abierto (cualquiera puede ver como funciona), es seguro, usa algoritmos conocidos para encriptar la base de datos de contraseñas, (si lo sabes configurar) puede auto-completar en el pc, etc.

No puedes compartir accesos con otros usuarios sin desprenderte de la contraseña, como en otros servicios. Si eso no te incomoda, no hay problema.

Si cuentan con un fono que tenga lector de huellas digitales, Keepass2Android les permite configurarlo para aceptar la huella y desbloquear (abrir) la base de datos de contraseñas, sin que deban escribir la contraseña maestra. Muy conveniente para la vida móvil. Esto en Android. En iOS pueden probar MiniKeePass o KeePass Touch. Ambos ofrecen sincronización con servicios como Dropbox, aunque no están ni cerca de lo que ofrece Keepass2Android (en iOS la sincronización es manual). Aparentemente KyPass (en iOS) ofrece algo parecido a la sincronización de Keepass2Android, pero es de pago (7 USD hoy).

Muchos Pro con KeePassX.

Contra: no cualquiera podrá iniciar una base de datos de contraseñas con KeePassX, y mucho menos instalar un app como Keepass2Android (que también es de código abierto) para sincronizar su base de datos usando una carpeta de Drobpox, Google Drive u otro. Cosa que se puede hacer, claro; yo lo uso así acá.

La no simplicidad (versus sus adversarios) excluye a muchas personas que no estarán en posición de perder tiempo aprendiendo sobre sincronización de archivos, por ejemplo, como para dejar andando el combo de KeePassX en el computador y Keepass2Android en sus móviles.

Lo bueno es que, al igual que 1Password y EnPass, si la “empresa” (aplicación) desaparece de internet, tu aplicación seguirá funcionando en tu computador y móvil. Cosa rara en un software de código abierto en todo caso. Generalmente si el desarrollo se detiene, otros continúan con el legado y mantienen vivo el software.

Mi recomendación.

Teniendo en considerando que estoy escribiendo esto principalmente para mi Padre, mis hijos, la familia, debo resumir así:

Si no se quieren complicar, quieren algo bien seguro, y no les molesta gastar 10 USD en un solo pago, usen EnPass.

Si no se quieren complicar, quieren algo bien seguro, y no les importa el precio para obtener más características muy útiles, usen 1Password.

Si no se quieren complicar, quieren algo suficientemente seguro, pero no quieren gastar un peso, usen LastPass.

Si por el contrario saben como complicarse, quieren lo más seguro (aunque feo), y de paso no gastar ni un peso, usen KeePassX (con Keepass2Android en sus fonos Android para sincronizar, o alguna de las alternativas en iOS).

Y en el caso que terminen utilizando KeePassX y Keepass2Android, donen a los desarrolladores si pueden. Trabajan en estas alternativas, 100% gratuitas, en sus tiempos libres. Aunque puedan donar solo un dólar, eso hará la diferencia. “Igual que un cántaro se llena gota a gota, del mismo modo el sabio, acumulándolo poco a poco, se llena de bondad” dicen por ahí.

Finalmente decídanse por el cambio y usen un Administrador de Contraseñas. Cualquiera. El que sea es mejor que ninguno hoy en día, mejor a que estén usando contraseñas obvias y fáciles, mejor a que estén usando la misma contraseña en todo, mejor a que anoten las contraseñas en un papel o un documento de Word o Excel, y mejor a que estén usando la misma contraseña en todo.

Después de partir.

De paso, al usar un Password Manager, pueden dejar como “herencia” la contraseña maestra.

Acá en casa así lo he hecho. Le he encargado a mi fiel perro que enterrase un papel con la contraseña maestra de mi base de datos de KeePassX. Cuando me muera, mi perro le entregará la ubicación del papel a mis seres queridos para que ellos puedan hacer uso de todo lo que ahí tengo almacenado, para que así ellos puedan seguir usando sus correos en nuestro dominio familiar, o la impresora en casa, el router, la wifi, las consolas, pagando las cuentas que yo normalmente administro, los bancos, impuestos, etc.

Una preocupación menos para el viaje a enfrentar.

Y para que mi perro no se vaya de hocico con la ubicación de dónde enterró el papel antes que yo me muera y/o con una persona externa a la familia, le tengo encargada a mi fiel gata, la más vieja de la casa, que lo asesine si lo ve en actitud sopechosa. Ella tiene experiencia despachando a otras mascotas de la casa. Y el lo sabe.

#macoy123

 

Show Comments Hide Comments