Buscar

2011/06/10

¿La contraseña más segura es la que no puedes recordar?

Setenta y siete millones de cuentas al descubierto en abril, con nombres, direcciones postales, nombres de usuario y números de tarjeta de crédito asociados. Varios ataques durante el mes de mayo y el código fuente de la red de desarrolladores filtrado hace tan sólo unos días. A Sony, le crecen los agujeros de seguridad y el descrédito.
La compañía nipona no puede presumir de haber hecho lo que estaba en su mano para evitar el desastre. No verificó que las contraseñas de los usuarios fueran robustas, las guardaba en texto plano y con datos sensibles asociados. "No hay suficientes avemarías para tantos pecados", bromea Josep Sort, técnico de sistemas.
La cuestión es: ¿podía hacerlo mejor? ¿Quién es responsable de la seguridad de una contraseña? ¿El usuario o el administrador del sitio al que se conecta? El debate sigue abierto en los foros especializados. A los usuarios, se les ha explicado por activa y por pasiva. Los expertos aconsejan elegir contraseñas que combinen números, mayúsculas y minúsculas. La mayoría de los servicios web alertan al internauta si la combinación elegida es débil, es decir, si no tiene lo que los expertos llaman un alto nivel de entropía, o lo que es lo mismo, si no es lo bastante larga y poco predecible. Y aún así, '123456', 'abc123', 'qwerty' o la misma palabra 'password' continúan encabezando el ránking de las contraseñas más usadas.
Después de todo, ¿quién quiere recordar múltiples combinaciones del tipo 'sdfgh*7&456#56?7DGBFD'? Según Troy Hunt, especialista en seguridad web que se ha dedicado a analizar la lista de passwords hackeados últimamente tanto en Sony como en el servicio Gawker, sólo el 4% de las contraseñas usadas tiene más de tres tipos de caracteres.
"Es imposible que el usuario pueda recordar todas las contraseñas que usa para los diferentes servicios a los que se conecta en Internet. Hay que pasar a otro nivel, a un sistema que sea lo suficientemente seguro para el usuario y sobre todo sencillo", apunta Sort. En este sentido, "existen iniciativas como OpenID, un sistema de autentificación seguro y libre que permite acceder a diferentes webs con una única dirección URL, y muchos servicios ya empiezan a utilizarla", continúa el experto. "También hay sitios que te permiten identificarte con el login de Facebook, Twitter o Google. Y, finalmente, existen medios de soporte físicos como el DNI electrónico o dispositivos de identificación biométrica (con la huella dactilar), aunque todavía están poco implantados", señala.
Aún así, el administrador de un sitio tiene que asegurarse de que las contraseñas no van a comprometer su servicio. Por eso, lo que se acostumbra a hacer, explica Sort, es cifrar los passwords con un algoritmo único. Luego, para verificarlos, se comprueba que el resultado cifrado es el mismo que tiene el proveedor del servicio. "Con un algoritmo bien hecho, incluso 1234 puede ser una contraseña fuerte", concluye Sort.

La Vanguardia

No hay comentarios: