Una contrasenya per a dominar-les totes
Els casos de ciberatacs i robatoris d’informació personal són a l’ordre del dia. Les dades dels usuaris són la nova moneda de canvi al ciberespai i no hi ha cap companyia, gran o petita, que estigui lliure de ser objectiu dels delinqüents. Això és perquè, any rere any, les estadístiques de les contrasenyes més utilitzades palesen una deixadesa dels usuaris important. La quantitat de serveis en línia als quals ens subscrivim fa que molts triïn claus com 12345 o 00000 per a recordar-les fàcilment. O el que és igual de perillós, fan servir la mateixa en totes i un delinqüent només hauria de provar la mateixa combinació d’usuari/correu electrònic en altres serveis i prendre el control del compte de qualsevol usuari i de totes les seves dades.
La immensa majoria dels serveis en línia ja disposen de funcions que ens diran si fem servir una contrasenya forta o feble. Però sempre està bé conèixer els factors que en determinen la seguretat.
- Fortalesa i longitud. Cal crear claus que continguin majúscules, minúscules, números i símbols especials. A més de ser tan llargs com es pugui, amb un mínim de 12 caràcters.
- Caducitat. Hem de ser conscients que no podem fer servir les mateixes claus sempre: cal canviar-les, almenys, anualment.
- No repetir-les. No hauríem de tenir dues o tres contrasenyes i anar canviant-les.
- No fer servir termes relacionats amb les nostres dades. Tampoc hem d’utilitzar patrons recognoscibles com poden ser noms familiars, el carrer de la nostra adreça, l’any de naixement… Això fa que per simple combinatòria si es filtren aquestes dades (o les publiquem en les xarxes socials) puguin arribar a trobar les nostres claus.
- No confiar només en elles. Hi ha sistemes d’autenticació de múltiples factors (AFM) que permeten que, encara que tinguem la contrasenya perfecta, si ens la roben no la puguin fer servir.
La seguretat en una clau mestra
És en aquest moment quan entren en joc unes aplicacions molt útils i, gairebé, imprescindibles actualment: els gestors de contrasenyes. Aquests serveis gestionen i emmagatzemen totes les nostres claus en línia, com la que ens dona accés al correu electrònic, les xarxes socials o les plataformes de streaming. Són aplicacions multiplataforma, per tant funcionen igual tant al mòbil com a l’ordinador. Totes tenen una característica comuna, creen una clau mestra que ens protegirà totes les contrasenyes.
Però, per què una contrasenya mestra és més segura que tenir la mateixa per a tot? En primer lloc, per les mesures de seguretat que protegeixen aquesta clau, com ara xifratges de nivell militar o sistemes AFM (autenticació de factors múltiples). I en segon lloc, perquè aquesta és simplement la clau, no obre cap dels serveis, sinó que gestiona les contrasenyes que després utilitzarem de manera segura.
No hem de confondre aquesta clau mestra amb la que fem servir per a accedir a aquests gestors. És una clau diferent i necessària tant per a veure i gestionar les contrasenyes dins de l’aplicació com per a ingressar a qualsevol web. És tan segura que si l’oblidem, no podem canviar-la amb el sistema clàssic de restablir contrasenyes mitjançant un enllaç al nostre correu. Integra uns certs codis de recuperació que si els perdem, haurem de formatar tot el nostre compte, perquè els mateixos serveis de gestió de claus –almenys els recomanats– no poden accedir a aquesta dada, i així s’impedeix que qualsevol atac les pugui vulnerar.
Els avantatges d’aquest sistema són evidents. Podem generar una clau segura independent i diferent per a cada servei on estem registrats sense haver de recordar-nos-en i, sobretot, sense que siguin repetides. I en l’improbable cas que algú ens robi aquesta clau mestra, si hem configurat correctament els ajustos AFM, necessitarà un codi aleatori, un arxiu, clau USB o dada biomètrica que només coneixem nosaltres per a poder entrar a qualsevol dels nostres comptes.
Els gestors de contrasenyes, malgrat el nom, tenen moltes més funcions que són essencials per a la seguretat de les nostres claus en internet. I això s’aplica tant per a l’ordinador com per al mòbil, perquè qualsevol canvi se sincronitza amb cadascun i tots els serveis es poden fer servir des de qualsevol d’aquests dispositius. Les funcionalitats que cal buscar són les següents:
- Generador de contrasenyes segures. Com que no haurem de recordar-les totes, podrem fer servir aquestes funcions en les quals els mateixos sistemes ens generen una clau aleatòria amb factors com la longitud de caràcters que vulguem (o diverses paraules), barrejant majúscules, minúscules, símbols i dígits, i això farà que siguin impossibles d’endevinar.
- Comprovador de fortalesa de contrasenyes. Aquest servei sol ser el primer que hem de fer servir quan instal·lem un gestor per a espantar-nos de veure que totes les claus que tenim que són febles o estan repetides.
- Alerta de filtració de contrasenyes. És una funcionalitat que hem de revisar cada cert temps, encara que el mateix gestor ens avisarà si hi ha una incidència. Les immenses bases de dades de filtratge són recorregudes pel gestor per veure si s’hi troben algunes de les nostres claus i si les hem de canviar ràpidament. És tota una assegurança perquè, en el pitjor dels casos, puguem actuar a temps.
- Contrasenyes compartides segures. Si donem accés a una altra persona a algun dels nostres comptes (el més típic, a Netflix i similars) cal compartir les nostres dades amb aquesta persona. Això és molt insegur. Aquesta funció permet donar accés a una persona al nostre compte sense donar-li la contrasenya. En realitat, el que donem és un accés únic i específic a una de les nostres claus, que podem controlar i amb la qual no sabrà mai la contrasenya, ja que és nostre el gestor el que la posarà al seu dispositiu.
- Control de dades de targetes de crèdit. Hi ha serveis com Google Pay que només coneixent el nostre CVC (els tres dígits de la nostra targeta de crèdit) ja omplen totes les dades de pagament. Podem fer servir els gestors de contrasenyes per a controlar aquesta informació.
Una capa més de seguretat: AFM
L’AFM o autenticació de factors múltiples funciona de manera semblant, però no està regulada de la mateixa forma que el 2FA (2 Factor Autentication) del comerç electrònic. Amb l’AFM, els gestors de contrasenyes ens permeten associar el funcionament a plataformes com Google Autenticator, Microsoft Autenticator o Authy. Això fa que, en el cas dels ordinadors, puguem fer servir una clau USB –amb lector d’empremta digital– i que si no la connectem no funcionarà cap contrasenya. També genera un codi aleatori cada cop que volem entrar a qualsevol servei com a segon factor de seguretat. El funcionament al mòbil és semblant, amb l’avantatge que els telèfons intel·ligents ja porten lectors biomètrics.
Tots els mòbils i alguns navegadors, com Chrome o Edge, tenen un gestor de contrasenyes bastant pràctic, però poc segur. Encara que podem afegir l’empremta digital, també permet accedir a totes les nostres claus amb una sola contrasenya. Per això, es recomana fer servir un gestor més competent, amb funcions com el del xifratge de la informació, el sistema AFM i, sobretot, la contrasenya mestra que evitarà qualsevol risc.