Hoy recibí una llamada de las que podemos llamar curiosas. Un amigo quería saber como recuperar la contraseña de una cuenta de Hotmail en la que no tenía configurado ni la dirección de
correo alternativa ni la pregunta de recuperación. Hasta aquí solo cabe comentar que los sistemas de recuperación de contraseñas se debe tener preparados para cuando se necesitan, si no habrá que recurrir a la recuperación “manual” si es que está disponible, es decir, contactar con algún operador, que tras verificar nuestra identidad nos habilite una nueva contraseña. Pero la historia tenia un trasfondo que me ha parecido interesante comentar, entonces hablemos un poco de seguridad...
Realmente lo mejor, quizás, es mantener una lista de contraseñas para no olvidarlas, hay aplicaciones gratuitas (o bastante económicas) para gestionar estas listas que se instalan en el móvil, lo que nos permite tenerlas a mano, que además encriptan los datos para que no sean accesibles a ojos curiosos, y esto nos permite tener que recordar solamente una contraseña, la de la aplicación en la que la que guardamos el resto. Si se elige este método es muy importante tener una copia de seguridad actualizada de estos datos. Otro método es tener solamente tres o cuatro contraseñas, una para las cosas importantes (bancos, sitios oficiales, Paypal, …), una segunda para los correos personales y los sitios de los que nos podemos fiar, la tercera para las cosas del trabajo y una cuarta para todas las demás tonterías. Esto, de todas maneras, no es muy seguro, ya que una vez que nos descubran una podrán acceder a todos los servicios que usen la misma contraseña.
Con respecto a la seguridad de las contraseñas hacer un apunte, cuesta tanto recordar una palabra como una frase, el título de un libro o una canción. Los sistemas ya no limitar los tamaños, con lo cual “El año en que nos conocimos” o “Las mil y una noches” son fáciles de recordar y mucho mas seguro que “pepe71” o que “12@Cucu”. Para las cosas importantes se debería extremar un poco más las seguridad, hacer una “sustitución sistemática de caracteres” no es mucho más seguro, pero es mejor. ¿Que es esto?, pues tener unas reglas del tipo: La “e” la sustituyo siempre por un “3” o la última letra de cada palabra va en mayúsculas. Si la frase elegida contiene mayúsculas, minúsculas, números y símbolos mucho mejor. “¡Todo el mundo al suelo, coño!” es una contraseña genial.
Un apunte de seguridad sobre las preguntas de recuperación de contraseñas, en general son bastante inseguros. ¿Por que?, por que recurren a información que tu conoces bien, pero esta información también suele ser compartida o fácilmente accesible. Hay una anécdota que circula por el mundo digital cuenta como consiguieron la clave de la cuenta de correo de Paris Hilton, y por tanto acceso información que para alguna gente puede ser muy interesante. Simplemente siguieron el enlace de recuperación y cuando el sistema le preguntó el nombre del perro lo pusieron. No creo que les costara mucho hacer una búsqueda en Google del nombre del animalito. No se si es verdad, pero posiblemente muchas de las respuestas de las preguntas de recuperación las sabrán la gente de tu entorno, y si no con un poco de búsqueda, o quizás acceder a tu perfil público de Facebook, y pueda tener la respuesta. Ni siquiera “¿Cual es el nombre del profesor de matemáticas de sexto?”, del que tu tienes que hacer un poco de memoria, o ni te acuerdas, puede ser una cosa muy difícil de averiguar. La solución a esto es mentir en las respuestas, por ejemplo, si me preguntan el nombre de tu perro, tengas o no, una respuesta puede ser Zapatero o Rajoy, mientras siempre use la misma respuesta y sea algo que recuerdes, vale cualquier cosa.
Pero lo que me hizo escribir esto fue lo que originó la pérdida de la contraseña del familiar de mi amigo. Resulta que estando conectado al Messenger había recibido la petición de un amigo de que le dijera la contraseña para hacer algo, no se el que, pese a que le recomendaron que no la diera le facilitó la contraseña al “amigo”. El tiempo que el “amigo” tardo en iniciar una sesión con la contraseña, cambiarla y resultar no ser el “amigo”no creo que sea medible fuera de un laboratorio. Capaz que hasta tenía ya abierta la ventana del navegador con el usuario escrito. El mayor problema, el punto más débil, en un sistema de seguridad solemos ser nosotros. Vamos a ver, que razón puede tener alguien para necesitar tu contraseña, ninguna, nunca. Realmente nunca deberíamos dársela a nadie por ningún motivo, ni si quiera por que no importa, puede que en el futuro esa contraseña proteja cosas que si son importantes. De todas maneras todos lo hacemos en algún momento, le damos la contraseña a alguien en quien confiamos, pero entonces hagámoslo bien, si no conozco o confío en la otra persona no se la doy, si no puedo verificar la identidad de la otra persona no se la doy, si la tengo que decir en voz alta no la doy.
Por cierto el personal de los servicios técnicos no es gente de nuestra confianza, no los conoces. Curiosamente cuando llamas al servicio telefónico de CajaCanarias te piden tu contraseña completa, un operador, al que no conoces y le estas dando el medio para poder acceder a tu dinero, por lo menos que sea un sistema automático el que te autorice, preferiblemente que sólo te pregunten determinadas posiciones de un número que cambian cada vez. Si no lo hacen quéjate. Un profesor de seguridad que tuve contaba que una vez, en una visita a un amigo informático, responsable de seguridad de una gran empresa, este le aseguraba que su sistema informático era tan seguro que ni mi profesor, un verdadero experto en seguridad (y “contraseguridad”) podría conseguir contraseñas de su sistema. Tras la pertinente apuesta mi profesor cogió el teléfono de la mesa de su amigo, llamó a cada una de las extensiones memorizadas de mismo, se identifico como el director de informática y le pidió a los usuarios que le facilitaran su contraseña, la mayoría de los usuarios le dieron sus contraseñas.
Más cosas, una contraseña no la escribo en un papel, la enseño y lo tiro en una papelera, me lo llevo en el bolsillo y lo tiraré cuando sea seguro, no guardo el papel en la cartera, no escribo el el papel “contraseña de ...”, tampoco escribo el nombre del usuario. El uso, preferiblemente, ha de ser inmediato, las contraseñas de los demás las olvidamos mas fácilmente, así que tendemos a apuntarlas, si tenemos un programa de mantenimiento de claves seguro bien, pero si no, es mejor no dejarlas por escrito. Debes hacer saber a la otra persona la importancia de la contraseña y la importancia de la custodia.
Se que puedo parecer pesado, pero la persona que perdió la cuenta personal de correo por una cosa tan tonta resulta que la necesitaba para poder recibir una información importante en este momento y ahora no sabe ni siquiera, si va a poder recuperarla. Además alguien ya ha estado revolviendo entre sus cosas y tiene una copia de su agenda. Y por no decir que habrá tenido que ponerse a cambiar en todos los sitios que use esa autentificación, y que recuerde, las contraseñas por una nueva.