Es común que vaya a conferencias de seguridad informática y que el presentador hable del mal hábito que tienen los usuarios de escribir sus contraseñas en papeles, en especial los llamados postit. Todo el público ríe y se complace de este viejo chiste entre los profesionales de seguridad como diciendo "oh sí, el eslabón más débil es el usuario". De tanto escucharlo, va perdiendo gracia con el tiempo y a pesar de que lo usan cada vez menos, es hasta cierto punto típico ver este ejemplo de las postit.
Sinceramente yo casi no he visto en últimos tiempos a usuarios escribiendo sus contraseñas y dejándolas al lado de su computadora. Y por otro lado, también he llegado a pensar que bajo ciertas circunstancias y condiciones, de hecho escribir una contraseña en un papel no está del todo mal.
Por ejemplo, traer una contraseña en la cartera no supone demasiado riesgo. Uno la utiliza cuando es necesario y la vuelve a guardar; ante la pérdida el atacante no sabrá que esa contraseña es para un servicio en específico (GMail, cuenta de Facebook, cuenta corporativa).
Obviamente sólo hay que apuntar la contraseña sin ninguna pista de para qué servicio es válida. Tampoco escribir el nombre de usuario (username). Y un truco adicional: memorizar una fácil cadena de caracteres y añadirla al final de la contraseña compleja escrita en el papel: por ejemplo si apunto "AwG32#m" y memorizo "Blindado2014", simplemente cuando me piden la contraseña, copio la del papel y añado la cadena que me fue fácil de memorizar: "AwG32#mBlindado2014".
Hasta puedo tener una lista de diferentes contraseñas complejas apuntadas a las que siempre les agregue la misma cadena de caracteres fáciles de memorizar.
Otro ejemplo de bajo riesgo sería escribir una contraseña y dejarla en casa resguardada, para que en caso de que se nos olvide, podamos recuperarla.
Lo cierto es que cuando empezó la era de la computación personal, eran un par de contraseñas las que un usuario debía de aprenderse.
Hoy en día todo ha cambiado, y hay un PIN para cada tarjeta bancaria que usamos, redes sociales, cuentas corporativas y hasta para desbloquear el teléfono: no es difícil llegar a tener más de 50 contraseñas actualmente. No es de sorprendernos que los usuarios traten de hacer su vida más fácil y apunten contraseñas en papeles o bien, seleccionan una misma contraseña fácil para todo servicio que la pide y por cierto, nunca la cambian.
Y si bien dije que hay algunos casos específicos en donde es válido apuntar contraseñas en papales bajo ciertas circunstancias y condiciones, también hay claramente ejemplos donde es pésima idea hacer esto. Un caso de ellos sería que tuviéramos una laptop corporativa.
Pero el usuario de la laptop, por comodidad, escribe su contraseña en un papel y la deja dentro del maletín de la laptop o pegado a ella. Bueno, no nos debe de sorprender que cuando alguien que se haya robado la laptop encuentra el equipo y además ahí mismo está la contraseña para acceder a los datos, pues simplemente podrá teclearla y acceder a la información. Ante esta situación no hay nada qué hacer, el equipo protegido por contraseña la tiene ahí mismo para facilitare la vida al atacante.
Otro caso similar sería dejar al lado de la computadora nuestra contraseña del equipo, o un papel que diga "Twitter JuanPerez, password XXmiTwitter2014", no hay que ser un genio para saber qué tipo de contraseña es.
Yo en lo personal soy usuario de LastPass. Es una aplicación excelente para guardar todas las contraseñas que tengo, y que me sería imposible memorizar (porque tengo una contraseña por servicio y la mayoría son complejas).
Las puedo acceder en mi iPhone o vía web. Adicionalmente tengo apuntadas en un papel un par de contraseñas importantes, dicho papel lo tengo bien resguardado en casa y uso la técnica arriba mencionada, la que comenté de agregar una cadena memorizada al final.
En conclusión, ante la problemática de tener una enorme cantidad de contraseñas hoy en día, podemos auxiliarnos de apuntar algunas contraseñas en papel, pero sólo bajo ciertas circunstancias y condiciones para evitar darle una ventaja al atacante.
Y otra solución mejor es usar alguna aplicación segura como la que recomendé de LastPass para resguardar contraseñas complejas y únicas por servicio.