sábado, 30 de julio de 2016

Cómo desincentivar el uso de gestores de contraseñas

Una llave de oro abre todas las cerraduras.- Christoph Wieland

Desde hace años accedo a ese sitio en internet y siguiendo una de las recomendaciones de seguridad informática, uso una contraseña difícil de adivinar. Dado que este portal también pide token para acceder a él, mi contraseña no es demasiado compleja y tiene solo 10 caracteres. 


Recordemosun token genera contraseñas dinámicas diferentes cada vez que lo prendemos. Sirve como segundo factor de autenticación. 
También sigo otra sugerencia de seguridad informática: usar un gestor de contraseñas

¿Y eso qué es? Existen decenas si no es que cientos de contraseñas usadas por las personas para entrar a diferentes sitios en internet o en la empresa. Sin mencionar contraseñas del ruteador de la casa para entrar al WiFi, el de la computadora personal, etc. 

Los gestores de contraseñas son programas que las guardan para evitar recordarlas. Ese gestor pide una sola contraseña de acceso, pero con esa sola llave, me permite acceder al resto de llaves. Es como un llavero: colecciona la llave de Twitter, FaceBookGMail, etc. También un gestor permite usar diferentes contraseñas. 

Los gestores pueden de manera automática ponerlas cuando un sitio las pide, o bien, uno puede entrar al gestor y copiarla para pegarla en el portal. Ambas opciones son válidas. 

Mi sorpresa fue cuando ese sitio mencionado al inicio, de un día para otro impidió usar mi gestor. Intenté, como siempre, que el gestor detectara el sitio para poner de manera automática la contraseña: no sirvió. 

El portal estaba rechazando esta forma de ingresar la contraseña. ¿Cómo acceder ahora al sitio? Fácil, pensé; hay otra manera. Entro al gestor, copio la contraseña y la pego en la página de internet.

¿Qué sucedió esta vez? El portal rechazó pegar la contraseña: ni con las teclas (CTRL-V), ni con el menú del navegador...no hubo forma. "Increíble", pensé. Los encargados del sitio impidieron hacer esto en su página. 

¿Pero por qué? Imagino: Chavita, de seguridad informática, tuvo esta idea porque, según él, así es más seguro. No tenía muy clara la razón, algo leyó "por ahí" y un día lo propuso en la empresa: lo vendió como una "mejor práctica". Este argumento nunca falla. 

Durante la reunión, Chavita titubeó antes de decir palabra alguna, pero explicó: podría ser que un virus robara la contraseña al momento de copiar-pegar. También comentó: los usuarios podrían tener sus contraseñas en un archivo cualquiera en su computadora y de ahí copiar-pegar. Y eso no es seguro: tener una contraseña dentro de un archivo Word o Notepad sin protección. 

Notemos el uso de las palabras "podría ser". ¿Nunca expuso casos concretos o alguna referencia? No, con tan solo unir los conceptos de "mejores prácticas" y el famoso "podría ser", por arte de magia todos le creyeron. 

De inmediato le dieron la instrucción al encargado del sitio para impedir pegar contraseñas en el portal. Nadie cuestionó que los virus tienen otras varias formas de conseguir una contraseña, por ejemplo: cuando un usuario la teclea (con programas llamados keyloggers). 

Tampoco nadie comentó que los hackers desean robar cientos o  miles de contraseñas en un solo robo: un solo golpe maestro. Por eso centran sus esfuerzos en hurtar grandes cantidades de ellas de sitios de internet en lugar de robar una contraseña a la vez de cada equipo personal de los usuarios. 

¿Qué hago para acceder a ese sitio? A veces abro el gestor, memorizo un tramo de la contraseña y la escribo manualmente en el sitio y así de manea sucesiva hasta completar los 10 caracteres

Otras veces abro NotePad, pego ahí la contraseña y dejo la ventana del sitio y la ventana de Notepad abiertas al mismo tiempo para ir ingresando mi contraseña manualmente. Como dice Chavita que debe de ser. 

Pero Chavita no pensó en el esfuerzo para usar gestores de contraseñas porque tienen diversos beneficios. Y estos sitios que impiden el uso de copiar-pegar para contraseñas solo limitan y dificultan el uso de los gestores. 

A menos que encuentre trucos (busquen en internet: "Enable Copy-Paste in Web Pages That Disallow It"), haré lo indicado por Chavita respecto a la "mejor práctica" para evitar que una amenaza "pudiera" robarme mi contraseña. 

a ti Chavita te digo: de nada le serviría a esa amenaza tener mi contraseña. Porque cada vez que quiero entrar a tu sitio, también pide una contraseña dinámica única y diferente proporcionada por el token y solo yo lo poseo.