Sobre passwords i claus
Alejandro Germán Rodríguez - En el món actual resulta inevitable l'ús de claus, pensem només en la clau dels caixers automàtics o la de la tarja de dèbit; i com a usuaris d'Internet, la llista s'allarga fins a l’infinit, només per accedir al ciberespai requerim d’una clau, a més de les corresponents per a home-banking, bústia de correu, accés al compte corporatiu de la nostra feina, etc.
En aquest moment, doncs, ja se’ns presenten dos inconvenients, la creació de claus segures i la seva administració.
Com la clau és la nostra barrera contra els intrusos que volen conèixer la nostra informació personal, l’elecció de la mateixa no pot ser feta a l'atzar, ni ser presa a la lleugera.
Alguns mètodes per a vulnerar claus són els atacs de diccionari, és a dir un atac de força bruta que prova paraules conegudes d’una llista donada, l’enginyeria social per donar amb la clau a partir de les nostres dades personals, l’explotació d’una encriptació feble, o un atac de força bruta emprant totes les paraules i combinacions possibles, així com més senzilla sigui la nostra clau més fàcil serà vulnerar-la.
Les claus, no només han de ser robustes, sinó també confidencials, de res ens serveix que desenvolupem una clau de molts caràcters alfanumèrics i amb signes especials, per a, per exemple, accedir al nostre compte corporatiu, si després l’escrivim en un paperet i l’enganxem en el monitor.
A diferència de la creença popular, no és una mala idea apuntar-nos les nostres claus en un paper, però han de ser mantingudes segures i confidencials per tal que siguin eficaces.
L'ús, de noms de familiars o éssers estimats, o claus numèriques basades en el nostre número telefònic, dates familiars, etc, també converteixen una clau en insegura.
Encara que desenvolupem una clau segura i fàcil de recordar, no l'haurem d’usar per a tots els serveis que ens requereixen claus, ja que, si aquesta és vulnerada, tots els serveis basats en aquesta clau ho seran.
A més, alguns sistemes ens obliguen a canviar la clau cada cert temps, i alguns van més enllà i no ens permeten utilitzar claus que ja havíem usat anteriorment.
Del què s’ha dit fins ara, podem resumir algunes recomanacions en la creació i gestió de claus:
Les claus han de posseir molts caràcters, es recomana entre 12 i 14.
No s'han de basar en informació personal o de fàcil deducció.
No utilitzar paraules que es puguin trobar en diccionaris.
Utilitzar majúscules, minúscules, nombres i caràcters especials(*).
Diferents claus en diferents sistemes.
Establir una certa freqüència per a canviar les claus més utilitzades.
Utilitzar frases, si el sistema ho permet, però no frases famoses o de cançons.
(*) Alguns sistemes, per entrar una clau d’autenticació no permeten l’ús de caràcters especials o frases que contingues espais.
Alguns sistemes ofereixen l’opció de recordar la contrasenya o contrasenya i usuari, la següent vegada que s’hi accedeixi. Aquests sistemes tenen diferents graus de seguretat en el format que guarden la informació i alguns la guarden en text pla en el mateix PC de l’usuari.
Donat el desafiament que resulta de crear, gestionar i administrar les nostres claus personals, existeixen en el mercat una gran quantitat de programes simples per a realitzar aquesta tasca per nosaltres, molts d’ells són de domini públic.
Pel què fa a mi, jo empro 4uonly, el qual és una utilitat molt lleugera, intuïtiva i fàcil d’usar. Amb la mateixa podem crear entrades que continguin el servei a utilitzar, el nom d’usuari, la clau, la URL referida al servei i un camp memo per a anotacions diverses.
Respecte a la generació de la clau, el programa permet definir quantitat de caràcters, si tindrà majúscules i minúscules, si posseirà caràcters numèrics, símbols, si ha de començar amb lletres o no, si la clau caduca o no, en quants dies, etc). El programa es pot obtenir gratuïtament i sense limitacions des de: http://www.dillobits.com/4uonly.html
Respecte als gestors de claus, és una bona idea, a més de protegir la base mateixa amb una clau, mantenir aquestes bases en algun suport extern tipus pen-drive, per al cas que el nostre equip es vegi compromès.
Microsoft ofereix una eina en línia, per a la verificació de la fortalesa de claus, la mateixa pot ser accedida des de: http://www.microsoft.com/protect/yourself/password/checker.mspx
En resum, les claus són importants, les hem de triar i gestionar amb cura, no podem prescindir del seu ús en el món modern i hem de poder accedir a elles fàcilment, si ens veiem en la necessitat d’utilitzar múltiples claus, a Internet, un programa gestor de claus serà un gran ajut.
