Contraseñas: un mal necesario, pero no para siempre

Las contraseñas tienen mucho poder en nuestras vidas, pero no son todo lo robustas que deberían ser. ¿Hay alternativas? Sí, pero todavía les cuesta despegar.

En una civilización como la nuestra, que se fundamenta sobre la propiedad, la privacidad y el secreto, identificarse es un principio de seguridad básico. Si no demuestras ser quien dices que eres, no deberías tener acceso a según qué cosas. La llave con la que abres la puerta del coche es en sí un mecanismo de identificación; el número PIN de la tarjeta de crédito, también. Nuestra vida rebosa de llaves y objetos que certifican nuestra identidad y propiedades. No es ni bueno ni malo: así son las cosas.

Contraseñas: una herencia del pasado

En informática, el problema de la identificación y la pertenencia a un grupo virtual empezó a existir en cuanto aparecieron los primeros sistemas multiusuario, grandes máquinas en las que decenas de personas podían conectarse al mismo tiempo desde un terminal y compartir los recursos de computación. Sin contraseñas, un usuario podría hacerse pasar por otro y acceder a datos que no le pertenecen, algo impensable en un entorno académico o profesional (y no hablemos ya de los sistemas militares).

La invención de las contraseñas informáticas se atribuye a Fernando Corbató (fuente)

La causa por la que hoy en día usamos contraseñas de texto es que durante muchos años los sistemas informáticos solo admitieron casi exclusivamente texto introducido con teclados: una clave solo podía ser una serie de caracteres más o menos larga (y no demasiado larga, puesto que los recursos a disposición eran muy limitados). El auge de los grandes sistemas UNIX hicieron el resto: las tecnologías universitarias sobre las que se construyó Internet a principios de los noventa adoptaron las contraseñas sin rechistar.

Contraseñas: económicas, pero problemáticas

Las contraseñas son un sistema de identificación muy conveniente y fácil de aplicar a cualquier sistema informático, ya que la entrada de textos a través de un teclado es prácticamente omnipresente: por un lado, son pocos los ordenadores que no disponen de un teclado o no lo admiten; por el otro, los sistemas operativos tienen una gran facilidad para almacenar y manipular cadenas de texto como las usadas por las contraseñas. La tecnología que hay detrás de las contraseñas de texto, en suma, no solo es sencilla, sino que también es fiable y conocida por todos.

John the Ripper puede probar miles de claves cada segundo (fuente)

Pero la contraseña de texto es también una medida débil. Gran parte de su debilidad no depende de los sistemas que las gestionan, sino del ser humano: a nuestros cerebros les cuesta recordar largas cadenas de letras y números. En consecuencia, tendemos a generar contraseñas débiles y fáciles de recordar o asociarla con cosas que ya sabemos. Y así acabamos por escribir claves como “pepe”, “123456” o “micasabonita”.  ¿Su problema? Que al ser tan breves, adivinarlas u obtenerlas a través de programas especiales es un asunto sencillo. Si además esas claves dan acceso a cuentas como las de Facebook o Twitter, usadas para identificarse en cada vez más servicios, el desastre está servido en bandeja.

Los muchos intentos para concienciar al público

Años de concienciación sobre la calidad de las contraseñas no han servido de mucho. Seguimos escribiendo contraseñas débiles, incluso cuando se nos indica lo endebles que son. Y cuando una página web o una aplicación nos obligan a seguir unos estándares mínimos de longitud y variedad (mayúsculas, números, caracteres especiales), acabamos por repetir la misma contraseña “segura” que hemos usado en otros sitios, lo que permite a un hacker ganar acceso a muchas cuentas de golpe. Todo eso porque anteponemos la comodidad a la seguridad. Es normal.

El sitio web How Secure is My Password te dice cuántos años hacen falta para adivinarla

Los expertos en seguridad y los psicólogos recomiendan usar reglas mnemotécnicas –técnicas para facilitar el recuerdo- consistentes en usar variantes de una misma clave segura, en asociar cada carácter a una palabra o usar frases de canciones o poemas a modo de contraseña larga. Otra forma de evitar dificultades es emplear un gestor de contraseñas como DashLane, que además de recordar por ti las claves a cambio de introducir una clave maestra, permiten generar contraseñas muy fuertes al instante y asociarlas a las cuentas que usas.

Las alternativas ya existen, pero no despegan

Los problemas asociados a las contraseñas de texto se descubrieron muy pronto, y los sistemas de identificación alternativos no tardaron en presentarse. A día de hoy hay una gran variedad de sistemas que se emplean como sustitutos o complementos de las contraseñas. Se dividen en cuatro grandes categorías: cosas que sabes, cosas que tienes (tokens), cosas que eres (biometría) y cosas que haces.

Claves que se conocen (“algo que sabes”)

Las contraseñas son un tipo básico de clave cognitiva: son algo que sabemos de memoria. Pero la memoria no solo se limita a las palabras. De hecho, podemos recordar caras, patrones geométricos, dibujos y hechos vitales con igual o mayor facilidad, puesto que resultan más significativos para nuestro cerebro. Al asociarse con recuerdos y emociones, estas claves se recuerdan casi sin esfuerzo.

En Windows 8 puedes crear una contraseña de imagen fácilmente

Los patrones de seguridad de Android y los dibujos trazados sobre fotos de Windows 8 son dos ejemplos de claves cognitivas más fáciles de recordar que las clásicas contraseñas, y más robustas frente a intentos de robo. Por otro lado, las clásicas preguntas personales (“¿Cómo se llamaba tu primer perro?”) son fuertes solo en la medida en que su respuesta no es obvia o muy frecuente.

Claves que se poseen (“algo que tienes”)

La llave de tu casa es un tipo de contraseña física que llevas contigo a todas partes.Tu tarjeta de crédito también es una llave, puesto que da acceso a tus reservas de dinero. La ventaja de un sistema de identificación así es que no necesitas recordar una clave compleja, ya que la que llevas contigo es lo bastante compleja como para poner a salvo tus propiedades, ya sean datos u objetos. Eso sí, hay que protegerla.

En informática, las claves físicas se han usado tradicionalmente como sistema de protección anticopia (los dongles USB para utilidades costosas), pero ahora, gracias a los teléfonos móviles, se usan como complemento de seguridad en lo que viene a llamarse “verificación en dos pasos“, esto es, el uso conjunto de una contraseña tradicional junto con un código enviado al teléfono.

Claves biométricas (“algo que eres”)

Tu cuerpo es único. Tus huellas dactilares, ojos, voz y cara solo te pertenecen a ti. Y nadie te los puede quitar con la misma facilidad con que se roba una llave. Lo que te hace reconocible para los demás, también puede hacerte reconocible para cualquier ordenador debidamente equipado con sensores biométricos. Android, con su reconocimiento facial, y iOS 7, con su lectura de huellas, son dos ejemplos destacados.

Sobre el papel, los sistemas de identificación biométricos parecen tenerlo todo para sustituir las contraseñas: no implican recordar nada, no se pueden robar, generan claves complejas… En la práctica, sin embargo, estos sistemas tienen pegas importantes: a mayor precisión, menor posibilidad de simulación, pero también menor fiabilidad a la hora de “escanear” tu cuerpo. Y ya se sabe que los humanos somos muy comodones.

Claves de conducta (“algo que haces”)

El lugar en el que estés, lo que estés haciendo o tu reputación son fragmentos de información que pueden servir para complementar los sistemas de identificación clásicos. Muchos de estos mecanismos son automáticos: por ejemplo, una página puede impedir el acceso con contraseña si detecta que se está efectuando desde un lugar poco habitual o desde una dirección de reputación baja.

La popularidad de este tipo de identificación, sin embargo, sigue siendo baja, quizá por el escaso control que el usuario puede ejercer sobre la misma. Es un inconveniente psicológico: si no “tenemos” con nosotros una clave, sentimos que la seguridad es menor.

¿La máxima seguridad? Combinar tipos de llave

Ninguno de estos sistemas ofrece una seguridad total por sí solo. La mejor manera de aumentarla es usar más de un factor de identificación (dos, tres o cuatro). La protección que se consigue de esta forma es muchísimo más robusta, puesto que el éxito de un ataque solo compromete parte de la clave total.

Los cuatro factores de autenticación y algunos ejemplos (fuente)

La autenticación multi-factor presenta sin embargo problemas de implementación difíciles de superar a corto plazo. Solo las grandes compañías de software y los grandes sitios web pueden permitirse la aplicación de sistemas similares, sobre todo si implican el uso de sensores biométricos o llaves físicas. Y a los usuarios nos ha resultado mucho más sencillo lidiar con un solo sistema… hasta ahora.

Y es que la popularización de los sistemas de verificación en dos pasos por parte de Google, Facebook y Twitter, así como el reciente impulso dado a la biometría por parte de Apple, son señales muy prometedoras para la superación de la contraseña como sistema de identificación informática. Quizá en el futuro asistamos a una verdadera explosión de la identificación de múltiples factores. Sería algo muy bueno para todos.

¿Crees que seguiremos usando contraseñas para siempre?

Sígueme en Twitter: @remoquete

Cargando comentarios

Últimos artículos