El caso Twitter: repasando lo que sabemos (o deberíamos saber) sobre contraseñas

Autor: | Posteado en Noticias Sin comentarios

Twitter se destapó ayer, en pleno World Password Day, con un tweet, un sms de correo electrónico y una entrada en el blogger corporativo de su CTO, Parag Agrawal, para recomendar a sus 330 millones de usuarios que cambiasen la contraseña que usan en el servicio, password que, además, preferentemente, deberían abstenerse de usar en ningun otro sitio. La razón es un bug – un fallo de programación suficiente impresentable, todo hay que decirlo – que, en el proceso de gestión de las passwords de los usuarios, que debe llevarse a cabo en todo instante con ellas totalmente cifradas y no deberían poder ser vistas por nadie en la compañía, generaba inadvertidamente un listado con una reproducción de las passwords sin cifrar de cada cliente en un fichero de texto plano.

Según la compañía, nada indica que ese fichero haya conseguido ser accedido o copiado por nadie, sin embargo dado que su mera existencia cree una violación flagrante de las practicas de protección y podrían hipotéticamente haber sido vistas por alguien, la recomendación es convertir la password afectada y no utilizarla en ningun otro sitio.

Los comentarios al fallo de Twitter® aceptan hacerse una idea del desastroso estado de la protección para la totalidad de los usuarios: lo 1° que hay que explicar, por supuesto, es la experiencia usual de la industria, sin acceder ya en el tan manido tema de como razones ser una password segura porque, en realidad, hoy en día, la unica password segura es la que no entiendes ni has sabido jamás ni tú mismo. En efecto, una password de un cliente en un servicio definido no debe ser vista jamás por absolutamente nadie en la compañia que proporciona ese servicio. Funciones de hashing como la utilizada en Twitter, bcrypt, se usan precisamente para que esto sea así en todo momento: un fichero con nombres de cliente y sus passwords en texto legible no razones existir jamás ni estar al alcance de absolutamente nadie en ningun momento.

Pero mas allá de esta precaución, que ni el que opera el servicio tenga camino a tu contraseña, deberías, en realidad, ir un paso mas allá. Deberías olvidar todas tus contraseñas. Jamás hagas caso de consejos ignorantes e irresponsables como el que dio Nutella que afirman que deberías usar como password “una frase que ya este en tu corazón”. No, en absoluto: lo que debes crear es precisamente lo contrario, usar una frase que no sea tal, que no sea memorizable ni por un espía fundamentalmente entrenado para ello, que no exista, y que no conozcas. Olvídate de todo lo que sabías sobre supuestos protocolos de creación de contraseñas, y cámbialas todas, una por una, por las que te proponga un buen gestor de contraseñas. Yo sigo usando LastPass con un muy razonable nivel de satisfacción, sin embargo hay otros, como 1PasswordNoMorePass y otros, y su uso no puede ser mas sencillo. Hace falta algo de disciplina, por supuesto, sin embargo tiene todo el sentido del mundo: a mí no me podrían obtener una password ni torturándome con cigarrillos encendidos… sencillamente, porque ni las sé, ni las quiero saber. Todas mis passwords son secuencias ininteligibles de varios caracteres que mezclan letras en mayúsculas y minúsculas, números y signos, y que no podría ni en el preferible de mis sueños aspirar a memorizar. Y no solo porque no sea seguro hacerlo, sino porque, además, tengo algunas cosas mejores en las que emplear mi memoria. Sí, LastPass ha sido hackeado en algunas situaciones porque, lógicamente, es un enorme objetivo para cualquiera que pretenda presumir de haber hackeado algo, sin embargo no pasa nada: quien accede a un metodo así se lleva aparentemente un listado de passwords de todos tus sitios… pero, como debe ser, están perfectamente cifradas, de forma que, cuando ocurre, no teneis ni que cambiarlas. Y todavía si hubiese algún problema, tiene 2FA, autenticación mediante doble factor, algo que además deberías estar usando en aquellos beneficios que sean verdaderamente importantes. 

El caso de la ultima alarma de Twitter® teneis que verlo tan solo como un amable recordatorio de lo que tendrías que estar creando y probablemente no hagas en terminos de protección con tus contraseñas. No es paranoia: es pura y simplemente sentido común.  Si eres todavía de los que continua usando esas passwords mnemotécnicas, esas normas peregrinas de sustitución o esas frases “que están en tu corazón”… vete pensando en dejar de hacerlo, porque eres una receta para el desastre. Si en tu compañia teneis visitantes así, haz algo al respecto, porque pasa precisamente lo mismo: son una potencial fuente de problemas de protección que pueden llegar a salirte suficiente caros. Ese idiota que pone como password la frase “contraseña”, “123456” y basuras similares, o que la enfoca en un post-it en la pantalla ya no es simplemente un ignorante, es un verdadero peligro para tu negocio. Con esas prácticas, ya no se intenta de si vas a tener algún problema, sino de cuando vas a tenerlo. No continues usando internet(www) como si estuvieras en los ’90, por dios.

 


Enrique Dans



El mejor vídeo del día Trucos de Android


Nota: La creación de esta noticia le pertenece al autor original que aparece en la firma de más arriba. No hemos eliminado en ningún momento los enlaces oficiales, ni tampoco intentamos perjudicar su posicionamiento en los motores de búsqueda.

El Administrador de QueEsGoogle.Com

Agrega tu comentario