Un contrasinal para dominalos a todos
Os casos de ciberataques e roubos de información persoal están á orde do día. Os datos dos usuarios son a nova moeda de cambio no ciberespazo e non hai compañía, grande ou pequena, que estea libre de ser obxectivo dos delincuentes. Isto é debido a que, ano tras ano, as estatísticas dos contrasinais máis utilizados amosan un importante deixamento dos usuarios. A cantidade de servizos online aos que nos subscribimos fai que moitos opten por claves como 12345 ou 00000 para recordalas facilmente. Ou o que é igual de perigoso, utilizan a mesma en todas elas e un delincuente só tería que probar a mesma combinación de usuario/correo electrónico noutros servizos e tomar o control da conta de calquera usuario e de todos os datos que hai nela.
A inmensa maioría dos servizos contan xa con funcións que nos dirán xa se estamos utilizando un contrasinal forte ou débil. Pero non está de máis coñecer os factores que determinan a súa seguridade.
- Fortaleza e lonxitude. Hai que crear claves que conteñan maiúsculas, minúsculas, números e símbolos especiais. Ademais de ser o máis longas posibles cun mínimo de 12 caracteres.
- Caducidade. Temos que ser conscientes de que non podemos usar as mesmas para sempre, hai que cambialas, polo menos, anualmente.
- Non repetilas. Non deberiamos ter dous ou tres contrasinais e ir cambiándoos.
- Non usar termos relacionados cos nosos datos. Tampouco hai que utilizar patróns recoñecibles como poden ser nomes familiares, a rúa do noso enderezo, o ano… Isto fai que por simple combinatoria, de filtrarse eses datos (ou moitas veces témolos públicos, como nas redes sociais) poidan chegar a dar coas nosas claves.
- Non confiar só nelas. Existen sistemas de autenticación de múltiples factores (AFM) que permiten que, aínda que teñamos o contrasinal perfecto, se nolo rouban, que non o poidan utilizar.
A seguridade nunha chave mestra
É neste momento onde entran en xogo unhas aplicacións moi útiles e case imprescindibles actualmente: os xestores de contrasinais. Estes servizos xestionan e almacenan todas as nosas claves online, como a que nos dá acceso ao noso correo electrónico, ás redes sociais ou plataformas de streaming. Son aplicacións multiplataforma, polo que funcionan igual tanto no móbil como no ordenador. E todas teñen unha característica común, crean unha clave mestra que protexerá todos os nosos contrasinais.
Pero por que un contrasinal mestre é máis seguro que ter o mesmo para todo? Primeiro, polas medidas de seguridade que protexen esta clave, como cifrados de nivel militar ou sistemas AFM (Autenticación Multi-Factor, autenticación de múltiples factores). E segundo, porque esta é simplemente a chave, non abre ningún dos servizos, senón que xestiona os contrasinais que logo utilizaremos de xeito seguro.
Non hai que confundir esta chave mestra coa que utilizamos para acceder a estes xestores. É unha diferente e necesaria tanto para ver e xestionar os contrasinais dentro da aplicación como á hora de ingresar en calquera web. É tan segura que, se a esquecemos, non podemos cambiala co sistema clásico de restablecer contrasinais mediante un enlace ao noso correo. Integra certos códigos de recuperación que, se os perdemos, teremos que formatar toda a nosa conta, porque os propios servizos de xestión de claves –polo menos os recomendados– non son capaces de acceder a este dato, impedindo así que calquera ataque puidese vulneralas.
As vantaxes deste sistema son evidentes. Podemos xerar unha clave segura independente e diferente para cada un dos servizos nos que estamos rexistrados sen ter que lembrarnos delas e, sobre todo, sen que sexan repetidas. E no improbable caso de que alguén nos roubase esta clave mestra, se configuramos correctamente os axustes AFM, precisaremos un código aleatorio, un arquivo, chave USB ou dato biométrico que só nós coñecemos para poder entrar en calquera das nosas contas.
Os xestores de contrasinais, a pesar do seu nome, agochan moitas máis funcións que son esenciais para a seguridade das nosas claves en internet. E isto é algo que aplica tanto para o ordenador como para o móbil, porque calquera cambio é sincronizado con todos e todos os servizos pódense utilizar desde calquera deles. As funcionalidades que hai que buscar son:
- Xerador de contrasinais seguros. Dado que non teremos que lembrar cada un, podemos usar estas funcións nas que os propios sistemas xeran unha clave aleatoria con factores como a lonxitude de caracteres que queiramos (ou varias palabras), mesturando maiúsculas, minúsculas, símbolos e díxitos, o que os fará imposibles de adiviñar.
- Comprobador de saúde/fortaleza de contrasinais. Este servizo adoita ser o primeiro que debemos usar ao instalar un xestor para levar o susto de ver todas as claves que temos que son débiles ou están repetidas.
- Alerta de filtración de contrasinais. É unha funcionalidade que debemos revisar cada certo tempo, aínda que o propio xestor nos avisa se hai unha incidencia. As inmensas bases de datos de filtrado son percorridas polo xestor para ver se algunhas das nosas claves están nelas e se debemos cambialas rapidamente. É todo un seguro para que, no peor dos casos, poidamos actuar a tempo.
- Contrasinais compartidos seguros. Se dámos acceso a outra persoa a algunha das nosas contas (a máis típica, a de Netflix e semellantes) hai que compartir os nosos datos con esa persoa. Isto é algo moi inseguro. Esta función, dalgúns xestores, permite dar acceso a unha persoa á nosa conta sen darlle os contrasinais. En realidade, o que damos é un acceso único e específico a unha das nosas claves, que podemos controlar e coa que nunca saberá o contrasinal, xa que é o noso xestor o que a cubrirá no seu dispositivo.
- Control de datos de tarxetas de crédito. Hai servizos como Google Pay que só con coñecer o noso CVC (os tres díxitos da nosa tarxeta de crédito) xa completan todos os datos de pago. Podemos utilizar os xestores de contrasinais para controlar esta información.
Unha capa máis de seguridade: AFM
A AFM ou autenticación de múltiples factores funciona de xeito semellante, pero non está regulado da mesma forma que o 2FA (2 Factor Autentication) do comercio electrónico. Coa AFM, os xestores de contrasinais permítennos asociar o seu funcionamento a plataformas como Google Autenticator, Microsoft Autenticator ou Authy. Isto fai que, no caso dos ordenadores, podamos utilizar unha chave USB –que pode levar lector de pegada dixital– e que se non a temos conectada ao PC non funcionará ningún contrasinal. Tamén xera un código aleatorio cada vez que queiramos entrar en calquera servizo como segundo factor de seguridade ademais da clave. O funcionamento no móbil é semellante, coa vantaxe de que os smartphones xa levan lectores biométricos incorporados. Todos os móbiles e algúns navegadores, como Chrome ou Edge, contan cun xestor de contrasinais bastante práctico, pero pouco seguro. Aínda que podemos engadir a pegada dixital, tamén permite acceder a todas as nosas claves con só un contrasinal. Por iso, recoméndase utilizar un xestor máis competente, con funcións como o do cifrado da información, o sistema AFM e, sobre todo, o contrasinal mestre que evitará calquera risco.