19 de diciembre de 2014

Usuarios, contraseñas y verificación de dos pasos

Si hay algo que poco o nada ha cambiado en los últimos 20 años en Internet, quizás sea la forma como accedemos a todos los sitios donde alguna vez nos hayamos creado una cuenta. Se trata de un proceso simple y aparantemente "seguro" en el que simplemente tenemos que ingresar un usuario y una contraseña que solo nosotros deberíamos saber. "Seguro", entre comillas, porque a veces uno puede llegar a crearse cuentas que sean blindadas contra uno mismo. ¿No les ha pasado que no pueden ingresar a un sitio porque no saben con cuál cuenta de correo se registraron?, o quizás porque normalmente su nombre de usuario lo escriben con guion al piso (_), pero a alguien se le ocurrió que en su sitio solo era válido utilizar letras y números. Y hay otras veces en que, nuevamente, por seguridad, piden que la contraseña tenga tantos requisitos, que acaba hasta por ser imposible recordar una contraseña de 20 caracteres, que necesariamente debía llevar mayúsculas, minúsculas y números. Cuando esto pasa, suele ser hasta más rápido dar click en el botón de 'olvidé mi contraseña' para reestablecerla, que intentar probar una por una todas las que uno cree tener.

Yo he creado tantas cuentas en sitios en Internet, que me di cuenta de que todo esto era un problema y lo que acabé haciendo fue crear un archivo de texto que tengo guardado en algún lugar y en el que tengo registrados muchos sitios en los que me he registrado en los últimos 2 años, el nombre de usuario que utilicé (o si fue una dirección de correo) y al final tengo una pista de cuál fue la contraseña que utilicé (no soy tan idiota de escribir la contraseña completa en un archivo de texto que podría  caer en manos equivocadas). Con esto, si no estoy seguro de cómo ingresar a un sitio, busco este archivo y se acabó.

Hay otra solución más cómoda llamada LastPass, que aunque tiene aplicación móvil, hasta ahora solo la he utilizado en Google Chrome. La idea consiste en que solo debemos recordar una única contraseña: la de LastPass. Todas las demás, quedarán almacenadas por el servicio y funciona así: ¿entras a Gmail todos los días? La primera vez el servicio te preguntará si quieres que este usuario y contraseña sean recordados de ahora en adelante, y la próxima vez ya no te pedirá nada porque los campos ya estarán completados. Y lo mejor es que, al menos con Google Chrome, como uno tiene una cuenta única para varios dispositivos, las contraseñas irán quedando almacenadas en los equipos que uno utilice: el de la casa y el de la oficina básicamente.


Por supuesto, esto no es recomendable hacerlo con páginas de bancos o donde manejemos información delicada. Esas claves las deberíamos guardar debajo del colchón en una caja fuerte. Pero las demás creo que se trata de servicios en los que nos deberían poner las cosas más fáciles, sin que se descuide nunca la seguridad. Algo que se me ocurrió hace tiempo: ¿por qué no han eliminado los nombres de usuario? A veces uno se sabe la contraseña de 20 caracteres, pero no sabe qué nombre de usuario utilizó en esa página. Ahí ni siquiera existe el botón de 'recuperar mi nombre de usuario'. Y no estoy diciendo que dentro del sitio nos debamos llamar, en mi caso, danielthemisfits@gmail.com, sino que en los formularios de acceso solo pidan una dirección de correo y ya el nombre de usuario uno lo cambia de la misma forma en que cambia la foto de perfil. Como máximo uno tendrá de 3 a 5 cuentas, en las que el 90% de las veces uno utiliza solo una para todos los registros. Eso pondría las cosas un poco más fácil para todos.

No obstante, el lado sensible no está en los nombres de usuario, sino en las contraseñas, que ya de ser muy difíciles para los que pensamos en nuestra seguridad, la cosa se complica más cuando en vez de ver lo que estamos escribiendo, salen asteriscos (*) para que nadie vea lo que estamos escribiendo. Y es que claro, todo el mundo abre el correo en un auditorio frente a 200 personas mirando lo que pasa en la pantalla. Claro que no, la mayoría de las veces o estamos solos, o la persona más cercana está a 2 metros de distancia. Y peor cuando es una pantalla de celular de 5 pulgadas con un teclado que no fue hecho para escribir contraseñas. Creo que una solución muy sencilla sería que las contraseñas por defecto se siguieran ocultando detrás de los asteriscos (*), pero que hubiera una casilla que uno pudiera marcar en la que se le preguntara al usuario si desea ver los caracteres del campo de la contraseña, algo parecido a lo que hicieron con el ReCaptcha (ver vídeo).


Y vamos a suponer que el delincuente logró interceptar nuestro nombre de usuario que ni siquiera nosotros nos sabíamos y además consiguió la constraseña. Lo que sigue puede ser ridículo, pero hay sitios que piden Captcha (ya consiguieron los datos que solo deberíamos saber nosotros, ¿por que le piden que escriba 4 números que salen en una imagen?) A menos que el personaje sea ciego o se le funda el monitor en ese momento, lo más seguro es que nuestra cuenta sea vulnerada.

La doble verificación, un paso más cerca a una solución real


Después de pasar por todo esto, queda la sensación de que hay algo mal con la forma como se manejan los usuarios y contraseñas actualmente. Y es obvio, pues no ha cambiado mucho en los últimos 20 años, y  desde que todo funcione bien, no es necesario cambiar algo que ya todo el mundo saber hacer con los ojos vendados. Sin embargo, si hay quienes dicen que las contraseñas son algo obsoleto, sería bueno mirar alternativas con el único objetivo de mejorar las cosas.

No hay que ir tan lejos para encontrar que hay más gente preocupada por este tema. Google y Facebook, aunque pocos lo saben, dan la opción para que cada vez que uno ingrese a la cuenta desde un computador extraño, nos envíe un código de confirmación a nuestro celular para validar que somos realmente nosotros. Hagan de cuenta que ustedes entran a Gmail desde el mismo computador de su casa, a la misma hora todos los días. Hasta hace poco a Google no se le hacía extraño que de un día para otro nos loguéramos desde Xanghai, en China al otro lado del mundo, entrada la medianoche. Si tenía los datos de acceso, teníamos que ser nosotros. ¿Quién más iba a ser?

Y si no estoy mal, sigue siendo así. Yo ayer estaba en Sao Paulo y ahora estoy en Bogotá. Intenté entrar a una cuenta que casi nunca uso solo para hacer la prueba, y aunque me pidió un número de teléfono para que me enviaran un código de confirmación, se podía marcar una opción de escribir desde qué ciudad es de la que suelo ingresar a mi cuenta. Solo es que alguien me conozca un poquito o vaya a mi Twitter y va a tener ese dato. Por eso es importante activar la verificación de 2 pasos, que lo que hace es agregar una capa de seguridad para que sea más difícil acceder a nuestras cuentas desde un computador diferente. Si estamos en nuestra casa u oficina, no hay de qué preocuparnos porque no nos van a pedir nada cada vez que entremos al correo, pero si vamos a casa de un amigo u otra oficina, será bueno llevar con nosotros el celular para recibir ese código. E incluso si llegásemos a perder nuestro teléfono, podemos poner el número de alguien de confianza para que le llegue a esa persona la que sería una segunda clave.

Si quieren saber más sobre cómo funciona esto, les recomiendo que le den una mirada al acerca de la verficación de dos pasos de Google, o en este Link que explican el mismo tema pero en Facebook. Sé que el tema funciona en muchos más servicios que pueden ver acá, pero estos dos son me parecen los más importantes ya que son desde los cuales accedemos a muchos más para no tener que crearnos una cuenta desde ceros. 

En cualquier caso, quería llamar la atención sobre este tema porque, como ya dije, el tema de la seguridad en cuanto a usuarios y contraseñas no es algo que haya evolucionado mucho en los últimos 20 años. Ha evolucionado tan poco, que uno mismo es el que tiene que mirar cómo hace para administrar el acceso a todas las cuentas, ya sea de forma manual, guardando en algún lugar esa información, o utilizando servicios de terceros que cumplan esa misma función. Y aun así, con toda esa información a salvo, seguimos siendo vulnerables a que alguien tenga acceso a nuestras cuentas, pues ni Google ni Facebook promocionan sus propias soluciones de verificación de dos pasos, que de hecho son demasiado buenas. La próxima persona que quiera vulnerar una cuenta nuestra no la va a tener fácil.





Imagen propiedad de Dev.Arka

1 comentario :

Daniel Afanador dijo...

Qué tal es OnePassword, cómo funciona? Quisiera conocer una opinión antes de probarlo.


Saludos!

Comentarios