20 May Escándalo y consejos en el Día de las Contraseñas
Por Ariel Torres
Fue quizás una de esas pequeñas burlas que el destino nos juega a veces. El jueves 5 de mayo, cuando se celebraba el Día Mundial de las Contraseñas, se supo que una firma de seguridad informática había obtenido una base de datos con 273 millones de cuentas robadas al servicio de correo electrónico ruso Mail.ru, así como cantidades menores (pero significativas), de Gmail y Hotmail.
Si los promotores del #passwordday de este año deseaban un debut estelar, no podían haber imaginado algo mejor. O peor, si entienden lo que quiero decir.
La compañía que encontró esta nueva filtración es Hold Security, la misma que en agosto de 2014 había revelado el robo de 1200 millones de contraseñas. En esta ocasión, le compró por 50 rublos (0,75 dólares) una masiva base de datos con más de 1100 millones de registros a un vándalo que había estado presumiendo online de su botín; en lugar de dinero, pidió que hablaran bien de él en la Red. Eso es ego y no pavadas.
Luego de depurarla y eliminar duplicados, quedaron 273 millones de cuentas de Mail.ru y decenas de millones de Gmail, Hotmail y otros. Sin embargo, según Hold, las credenciales no fueron sustraídas directamente de estos servicios. Lo que ocurrió es mucho más interesante.
Una contraseña para controlarlos a todos
Existe la tendencia, por otro lado comprensible, a usar la misma clave en todas partes. Como es prácticamente una norma que los sitios nos registren por medio de nuestra cuenta de correo electrónico, a los piratas hoy les alcanza con robarles las bases de datos de clientes a las compañías cuya seguridad no es de las más fuertes. Esas bases de datos pueden incluir información personal, y también correos electrónicos y contraseñas. Contraseñas que la mayoría usa también en Gmail, Outlook, Facebook, Twitter y todo lo demás.
Víctimas notables de esta clase de atraco virtual han sido Target, Adobe, eBay, Ubisoft, Home Depot y muchas otras. En este sitio hay una contudente visualización de los principales robos de bases de datos de usuarios de los últimos años.
Dicho simple: cuando usamos la misma contraseña en Gmail o Hotmail que en varios otros sitios, nos exponemos a que se queden con nuestra cuenta de correo. Lo que no es precisamente divertido.
La pregunta parece ser: ¿por qué seguimos usando la misma clave en todas partes, aún cuando es a todas luces riesgoso?
Pero no, esa no es la cuestión. Lo que hacemos mal es seguir usando contraseñas. Deberíamos cambiarlas por frases. Por dos motivos. El primero es que, si son lo bastante extensas, resultan muy difíciles de quebrar. Segundo, porque mientras la mente humana es muy torpe tratando de memorizar combinaciones de caracteres como G&%#98Tf, encuentra en cambio muy sencillo memorizar frases con sentido. En un lugar de la Mancha de cuyo nombre no quiero acordarme, (coma incluida) tiene casi la misma entropía que algo como 0qoG00C8YxdQdxP4itIlvfCmngw9Vxa5wzdJOeWDucqazCNGEFi2vwIqnLgQ.
La entropía se expresa en bits y, grosso modo, viene a expresar el número de combinaciones que un programa de fuerza bruta debería intentar antes de quebrar la contraseña. La infaltable 123456 tiene alrededor de 10 bits de entropía, lo que quiere decir que un programa de fuerza bruta debería intentar 2 elevado a la décima potencia antes de romperla. Eso es, escasamente, 1024 intentos. Pan comido, para maquinarias que son capaces de procesar billones de operaciones de coma flotante por segundo. (Además, 123456 es vulnerable a ataques de diccionario, porque se trata de una contraseña de lo más común.
En cambio, el principio del Quijote requeriría que la máquina intente 2 elevado a la 295 combinaciones . Eso es un 6 seguido de 88 ceros, o sesenta mil cuatordecillones. Para ponerlo en perspectiva, eso es más que todos los átomos de hidrógeno en el universo. En términos de tiempo de cómputo, la cifra implica un período de extensión inconcebible. Y todavía necesitaría más tiempo para que de sus innumerables combinaciones, extintos todos los sistemas solares y apagado el cosmos, el programa de fuerza bruta extrajera el principio del Quijote.
Para muchos, una contraseña de tal fortaleza es una exageración. Personalmente, en estos asuntos prefiero que sobre y no que falte.
Como podemos recordar docenas de frases en nuestro idioma (en cualquier idioma), la necesidad de repetir la misma clave en todos los servicios se desvanece, porque ahora contamos con una larga lista de oraciones en mente. Quizá nos confundamos un par de veces, pero es mucho más fácil que memorizar cadenas de caracteres aleatorios.
Aclaración tal vez innecesaria: si tu frase de cabecera en Facebook, Twitter e Instagram es, por ejemplo, Lo esencial es invisible a los ojos, no uses Lo esencial es invisible a los ojos (que es una excelente contraseña) como tu clave. En serio, buena parte de las credenciales se adivinan solamente sabiendo de qué club es fanático el usuario o leyendo sus perfiles en las redes sociales.
El problema con los gestores
Intel (y las demás compañías que impulsaron el Día Mundial de las Contraseñas) aconseja usar un gestor de claves, como KeePass. No están mal, concedido, y el asunto es opinable, pero desde mi punto de vista plantean dos problemas. El primero es que los administradores de contraseñas son programas y, por lo tanto, pueden tener vulnerabilidades que permitan accesos no autorizados. Ejemplos de esto, aquí, aquí y aquí. Opuestamente, no hay, por ahora, exploits para la mente humana. Hay, eso sí, ingeniería social, así que no compartas ninguna de tus contraseñas, sin importar cuál sea el pretexto con el que te las soliciten.
El segundo problema es que los administradores de contraseñas causan dependencia. Pasa lo mismo que con los celulares. Ya nadie recuerda números de teléfono. ¿Qué ocurriría si en una situación crítica tuvieras que pedir prestado otro teléfono o usar uno público? ¿Sabés el número de tu cónyuge? ¿El de un colega? ¿El del auxilio mecánico? Es más: ¿sabés tu propio número? Conozco un par de personas que no sabrían responder con total certeza esta última pregunta.
Con los gestores de contraseñas ocurre lo mismo. Todo va bien hasta que por algún motivo necesitás chequear tu correo desde algún sistema en el que el memorioso programita de las claves está ausente. Y ahí te quiero ver.
Mi mejor consejo es evitar los gestores, usar la memoria (es un buen ejercicio, además) y echar mano de una táctica diferente.
En orden de importancia
Otra cosa que nuestra mente hace muy bien (bueno, en general) es priorizar. Si un vándalo se queda con el perfil que abrimos en un foro sobre técnicas de pesca con mosca, no pasa nada. Si nos roba la cuenta de correo electrónico o la de Amazon, es un desastre. Pues bien, no es menester manejar 60 frases complejas. Es mejor o, como mínimo, más práctico, tener media docena de frases de calidad para los servicios críticos y usar una o dos básicas en los sitios cuya importancia es ínfima. Sí, por supuesto, sería mejor usar frases diferentes para cada página, pero en la práctica eso resulta imposible. Hay servicios que usamos a diario y otros que visitamos una vez al año. Recordar lo cotidiano con la misma precisión que lo excepcional es otra cosa que las personas no sabemos hacer bien.
Por supuesto, existe un número de opciones intermedias que combinan la táctica antedicha con otras. Por ejemplo, usar un administrador de contraseñas para los sitios de poca importancia y guardar sólo en nuestra mente las claves de los servicios vitales. Cada uno tiene su receta. Lo que está muy pero muy mal es usar la misma contraseña para todos los servicios. Porque cae uno y entonces caen todos los demás.
Es muy importante, por ejemplo, mantener muy segura la cuenta que usamos para recuperar las contraseñas cuando las olvidamos. Lo que me lleva, inexorablemente, al siguiente punto. Es decir, que las contraseñas ya no son suficientes.
Doble o nada
Como adelanté, esto de adivinar tus contraseñas es una molestia cada vez más innecesaria para los chicos malos. Se roban bases de datos con información de los usuarios y, si logran descifrarla, listo, obtienen millones de claves de un solo golpe. En este PDF (en inglés) presentado en BlackHat hace 10 años, pero todavía vigente, se explican algunos de los modos en que una base de datos encriptada puede ser quebrantada. Peor aún, algunas veces esas bases ni siquiera están protegidas.
Por lo tanto, ahora hace falta algo más que una buena contraseña.
Entra en escena la autenticación de múltiples factores. ¿Qué significa? Que además de ingresar tu nombre de usuario y tu clave tendrás que probar tu identidad por algún otro medio. Hay muchos, pero típicamente, para el resto de nosotros, es un PIN que te envían por mensaje de texto.
Por ejemplo, cuando ponés por primera vez tu clave en Gmail o Twitter, el servicio te envía un mensaje de texto con un PIN de 6 números. Lo escribís en el formulario que aparece en pantalla y estás adentro. Si esa es tu máquina, podés decirle que no vuelva a solicitarte un PIN allí. En rigor, el servicio te asocia con una sesión del navegador, por lo que si cambiás de browser o borrás las cookies, va a volver a pedirte el PIN. Es levemente engorroso, pero muy útil. Como mínimo, tus cuentas de correo, Facebook y Twitter, además de los sitios donde gastes dinero, deberían tener activada la autenticación de múltiples factores.
¿Cuál es la utilidad de esto? Que si se roban una base de datos donde figuran tu dirección de correo electrónico y tu contraseña y un pirata trata de robarte alguna de tus cuentas importantes, le va a faltar el PIN y no va a poder entrar. Además, te van a avisar del intento de conexión no autorizada y, en ese caso, no es mala idea. . . , exacto: cambiar la contraseña.
LA NACION