Dígits i andròmines

Contrasenyes més segures

Contrasenyes més segures
i Albert Cuesta
28/01/2012
3 min

Com més es digitalitza la nostra vida, més importants són les contrasenyes que fem servir per accedir als serveis. Abans en teníem prou amb el PIN del caixer automàtic, però ara tenim banca per internet, bústies de correu electrònic amb informació personal i financera, arxius al núvol, xarxes socials que representen la nostra identitat al món digital... I, com que el món no és cap conte de fades, pot ser que algú vulgui suplantar-nos, ja sigui per fer-nos quedar malament o per buidar-nos el compte corrent.

Les tècniques per robar contrasenyes són conegudes: els atacs anomenats de força bruta, en què l'atacant va provant combinacions de lletres i números amb l'esperança d'encertar la nostra, i la seva variant de l'atac de diccionari, que ho prova amb paraules de l'idioma de l'atacat, confiant que aquest no s'hagi molestat a inventar res. En aquests casos, l'única manera de sobreviure és que la contrasenya sigui prou complicada perquè a l'atacant no li compensi entretenir-se provant-ho: es considera que cap hacker dedicarà més d'un dia a infiltrar-se en els comptes d'un particular, però la CIA o la NASA han de preveure que algú hi dediqui els recursos necessaris durant més d'un any, si cal.

Però els dos mitjans més efectius per aconseguir la contrasenya d'algú són, encara que sembli increïble, demanar-l'hi directament i endevinar-la. En el primer cas, hi ha qui no té inconvenient a facilitar les seves claus d'accés a un familiar o un company de feina. En el segon, qui fa servir el nom del gos, la matrícula del cotxe o la seva data de naixement està convidant a qualsevol que el conegui superficialment.

També hi ha les imprudències: contrasenyes escrites en un post-it enganxat a la pantalla o al calaix. Per no parlar de les que són molt previsibles: una anàlisi de 200.000 contrasenyes d'iPhone va revelar que les més populars són 1234, 0000, 2580 (la fila central del teclat), 1111 i 5555. L'única de les habituals que no respon a un patró és 5683, que és la representació numèrica de la paraula love . Res fa pensar que variem el costum amb altres codis de quatre xifres, com el del caixer o el de l' smartphone -on, a més, podem tenir a la vista les contrasenyes d'altres llocs: segons la firma de seguretat informàtica Symantec, el 70% d'usuaris de mòbil no fan servir cap protecció de les dades de l'aparell.

Un altre factor que afecta la seguretat de les dades és la mandra: marcar la casella de "Recorda'm" per no haver de tornar a escriure la contrasenya un altre dia. Una recomanació bàsica és renovar sovint les contrasenyes, però en la pràctica només ho fem quan el sistema ens ho exigeix, i això només acostuma a passar en les xarxes corporatives. Esclar que també hi ha empreses imprudents: el 2009, un de cada quatre treballadors dels EUA encara podia accedir normalment a la xarxa de la seva empresa anterior, ningú l'havia donat de baixa.

També per mandra no es respecta un altre principi bàsic de prudència: usar claus d'accés diferents per a cada servei. L'excusa és que no podríem recordar-les totes, però cal tenir present que no tots els administradors de servidors són necessàriament uns sants i algú pot tenir temptacions de provar en altres serveis les contrasenyes dels seus propis usuaris. Les empreses serioses xifren internament aquestes dades, de manera que ni elles poden accedir-hi, però no totes les webs ho practiquen. El remei per a la mandra són els programes gestors de contrasenyes, caixes fortes virtuals que s'obren amb una clau mestra, l'única que cal recordar.

Una bona contrasenya és la que no té relació evident amb el seu usuari. Alguns experts recomanen pensar en frases, no en paraules, i construir la clau amb les inicials de cada paraula, canviant algunes lletres per símbols: així, el guardiolenc si ens aixequem ben d'hora, ben d'hora podria donar lloc a s3abd#_bd#. En tot cas, quan hagueu triat una clau, mesureu-ne el grau de robustesa a Password Meter (www.passwordmeter.com/), on també podeu experimentar com varia l'índex de seguretat amb cada petit canvi: una majúscula per una minúscula o afegir-hi un símbol.

stats