Blogs de Festeros.es

Twitter se destapó ayer, en pleno World Password Day, con un tweet, un mensaje de correo electrónico y una entrada en el blog corporativo de su CTO, Parag Agrawal, para recomendar a sus 330 millones de usuarios que cambiasen la contraseña que utilizan en el servicio, contraseña que, además, preferentemente, deberían abstenerse de utilizar en ningún otro sitio. La razón es un bug – un error de programación bastante impresentable, todo hay que decirlo – que, en el proceso de gestión de las contraseñas de los usuarios, que debe llevarse a cabo en todo momento con ellas completamente cifradas y no deberían poder ser vistas por nadie en la compañía, generaba inadvertidamente un listado con una copia de las contraseñas sin cifrar de cada usuario en un fichero de texto plano.

Según la compañía, nada indica que ese fichero haya podido ser accedido o copiado por nadie, pero dado que su mera existencia supone una violación flagrante de las prácticas de seguridad y podrían hipotéticamente haber sido vistas por alguien, la recomendación es cambiar la contraseña afectada y no utilizarla en ningún otro sitio.

Los comentarios al error de Twitter permiten hacerse una idea del desastroso estado de la seguridad para la mayoría de los usuarios: lo primero que hay que explicar, por supuesto, es la práctica habitual de la industria, sin entrar ya en el tan manido tema de cómo debería ser una contraseña segura porque, en realidad, hoy en día, la única contraseña segura es la que no sabes ni has sabido nunca ni tú mismo. En efecto, una contraseña de un usuario en un servicio determinado no debe ser vista nunca por absolutamente nadie en la compañía que proporciona ese servicio. Funciones de hashing como la utilizada en Twitter, bcrypt, se utilizan precisamente para que esto sea así en todo momento: un fichero con nombres de usuario y sus contraseñas en texto legible no debería existir nunca ni estar al alcance de absolutamente nadie en ningún momento.

Pero más allá de esta precaución, que ni el que opera el servicio tenga acceso a tu contraseña, deberías, en realidad, ir un paso más allá. Deberías olvidar todas tus contraseñas. Jamás hagas caso de consejos ignorantes e irresponsables como el que dio Nutella que afirman que deberías utilizar como contraseña “una palabra que ya esté en tu corazón”. No, en absoluto: lo que debes hacer es precisamente lo contrario, utilizar una palabra que no sea tal, que no sea memorizable ni por un espía especialmente entrenado para ello, que no exista, y que no conozcas. Olvídate de todo lo que sabías sobre supuestos protocolos de creación de contraseñas, y cámbialas todas, una por una, por las que te proponga un buen gestor de contraseñas. Yo sigo utilizando LastPass con un muy razonable nivel de satisfacción, pero hay otros, como 1Password, NoMorePass y otros, y su uso no puede ser más sencillo. Hace falta algo de disciplina, por supuesto, pero tiene todo el sentido del mundo: a mí no me podrían sacar una contraseña ni torturándome con cigarrillos encendidos… sencillamente, porque ni las sé, ni las quiero saber. Todas mis contraseñas son secuencias ininteligibles de muchos caracteres que mezclan letras en mayúsculas y minúsculas, números y signos, y que no podría ni en el mejor de mis sueños aspirar a memorizar. Y no solo porque no sea seguro hacerlo, sino porque, además, tengo muchas cosas mejores en las que emplear mi memoria. Sí, LastPass ha sido hackeado en varias ocasiones porque, lógicamente, es un gran objetivo para cualquiera que quiera presumir de haber hackeado algo, pero no pasa nada: quien accede a un sistema así se lleva supuestamente un listado de contraseñas de todos tus sitios… pero, como debe ser, están perfectamente cifradas, de manera que, cuando ocurre, no tienes ni que cambiarlas. Y todavía si hubiese algún problema, tiene 2FA, autenticación mediante doble factor, algo que también deberías estar utilizando en aquellos servicios que sean verdaderamente importantes. 

El caso de la última alarma de Twitter tienes que verlo tan solo como un amable recordatorio de lo que tendrías que estar haciendo y posiblemente no hagas en términos de seguridad con tus contraseñas. No es paranoia: es pura y simplemente sentido común.  Si eres aún de los que sigue utilizando esas contraseñas mnemotécnicas, esas reglas peregrinas de sustitución o esas palabras “que están en tu corazón”… vete pensando en dejar de hacerlo, porque eres una receta para el desastre. Si en tu compañía tienes usuarios así, haz algo al respecto, porque pasa exactamente lo mismo: son una potencial fuente de problemas de seguridad que pueden llegar a salirte bastante caros. Ese idiota que pone como contraseña la palabra “contraseña”, “123456” y basuras similares, o que la apunta en un post-it en la pantalla ya no es simplemente un ignorante, es un verdadero peligro para tu negocio. Con esas prácticas, ya no se trata de si vas a tener algún problema, sino de cuándo vas a tenerlo. No sigas utilizando internet como si estuvieras en los ’90, por dios.

Publicado con licencia Creative Commons 3.0 España