El cerebro de la mayoría de nosotros está mal equipado para enfrentarse a las demandas que nuestra vida digital nos impone en lo que a la Seguridad se refiere, concretamente con relación a la gestión de las contraseñas.
Idealmente, en cada servicio en el que nos demos de alta deberíamos utilizar una contraseña distinta. Además, deberíamos cumplir con las recomendaciones habituales encaminadas a fortalecer dicha contraseña: utilizar combinaciones aleatorias de letras, mayúsculas y minúsculas, con números. Cuanto más largas, mejor.
Estas características recomendadas no hacen más que dificultar la tarea de recordar decenas [si tienes una vida digital especialmente activa serán más de una docena con toda seguridad] de contraseñas distintas. Es bastante habitual que alguien se encuentre con la sorpresa, a la hora de entrar en un servicio web que no utiliza habitualmente, de que la contraseña y/o el nombre de usuario que está utilizando no es el correcto.
Por supuesto, existen algunas soluciones para este problema, por ejemplo aplicaciones que te permiten controlar todas tus contraseñas con una "contraseña maestra", pero es una solución que personalmente rechazo, porque vuelve a colocarte en una situación de vulnerabilidad potencialmente desastrosa.
A la espera de que la biometría sea ubicua e infalible, la forma de escapar de este dilema [porque esto es un dilema, que modelé con una nube, hace muchos años y evaporé a mi manera] es sencilla: necesitas un sistema que, siendo siempre el mismo, te proporcione en cada caso una contraseña distinta para cada servicio y que te permita, a su vez, reconstruir fácilmente esa contraseña. De esta forma, no necesitas recordar cada una de las contraseñas, sólo el método que utilizas para llegar a ellas. En otras palabras, necesitas un algoritmo para generar y reconstruir contraseñas. Algoritmo que, sobra decirlo, sea fácil de recordar.
Ese algoritmo debe trabajar con los siguientes elementos:
- Una parte fija, fácil de recordar, preferentemente numérica, que debería resultaros familiar. Por ejemplo, el prefijo de vuestro número de teléfono móvil, el mes y el año de vuestro nacimiento o las dos primeras cifras de vuestro Pasaporte.
- Una parte variable, directamente relacionada con el nombre o URL del servicio. Por ejemplo, el nombre entero del mismo, o las tres primeras letras, o las tres últimas letras. Si es Google, podría tratarse de "goo" o de "gle".
- Al menos una de esas letras debería ser una mayúscula. Por ejemplo, la primera letra o la última.
En la diapositiva que os adjunto encontraréis varios ejemplos [ninguno de los cuales se parece ni remotamente a mi propio algoritmo - o tal vez sí].
Construid vuestro propio algoritmo. Sed creativos.
Nota final
Me he decidido a escribir esta entrada porque en menos de dos semanas he mantenido conversaciones con profesionales del mundo de las TIC que me solicitaron expresamente que lo hiciera. El último, un buen amigo, hace menos de media hora, es un especialista en Seguridad de la Información. El anterior, Director General de Sistemas de un importante grupo industrial. Personalmente creo que esto es una tontería, pero ¿Quién soy yo para discutirles? Además, ya he hablado de esto mismo en otros foros.
Recent Comments