En 2008 escribí un artículo dedicado a la seguridad en el que se delineaban una serie de políticas a seguir sobre la seguridd de nuestros datos cuando permitimos que alguien de forma física tenga acceso a nuestro ordenador: Tu seguridad no sirve para nada si me dejas sentarme delante de tu Mac.
Hoy lo revisitamos de nuevo porque este es el mayor agujero de seguridad, mas allá del software y de los posibles ataques de terceros: que una persona con ciertos conocimientos se pueda sentar delante de nuestro Mac y obtener datos sensibles, como por ejemplo, las contraseñas de nuestro navegador con apenas cuatro clicks y por supuesto, sin nuestro permiso.
Todos los usuarios tenemos la mala costumbre de guardar las contraseñas de los formularios web de los diferentes sitios que visitamos. Esto es muy cómodo, ya que si por las circunstancias que sean, casi siempre, porque la cookie expira, al entrar en el sitio web los datos de usuario y contraseña se preeescriben en los correspondientes campos de forma que solo tenemos que hacer click en el botón de identificación para pasar a estar identificados.
Safari, de forma específica, aborda este tipo de identificación colocando directamente estos datos en los campos del formulario, dejando visible el nombre de usuario y colocando, como hacen todos los programas, una serie de “bolas” en el campo de la contraseña (••••••••••).
Una persona no autorizada que tiene acceso “temporal” delante de nuestro Mac puede en ese momento identificarse y suplantar nuestra identidad en cualquier sitio en internet al menos durante los minutos que tiene acceso a nuestro Mac, pero todos pensamos que para obtener esa contraseña se requiere pasar por “Acceso a Llaveros”.
En ese caso, si alguien quiere obtener alguna de las contraseñas, requiere por parte de la aplicación el uso de la contraseña del administrador. Hasta ahí parece seguro … pero ¿qué os parece si nos saltamos esa protección para los formularios web?: pongamos un ejemplo en Safari.
Abre una web en la que puedas reproducir este entorno típico: por ejemplo, la de Twitter, aunque casi cualquiera vale. parecerán pre-introducidos los datos de usuario y contraseña:
type="password"password y sustitúyela por text¡¡Ups!! En el cuadro de diálogo aparecerá visible la contraseña lista para ser copiada por cualquiera.
Este comportamiento no es un agujero de seguridad y de hecho todos los navegadores se comportan igual ya que el enmascaramiento de la contraseña es algo trivial. Pero es un hecho que usando este método, se puede acceder casi a cualquier contraseña web sin la necesidad de pasar por Acceso a Llaveros y por supuesto, sin conocer la contraseña del administrador para poder acceder a ese dato sensible.
Resulta evidente la medida de seguridad, especialmente en ordenadores no controlados a los que diferentes personas tienen acceso: no guardar las contraseñas de los formularios web y almacenarlas de forma segura en la mejor caja de seguridad existente: nuestra cabeza.
Índice
Mejorando la seguridad de nuestras contraseñas almacenándolas de forma sencilla en nuestra cabeza
En internet hay cantidad de artículos que nos enseñan la importancia de generar contraseñas complejas para nuestros ordenadores y servicios. Generalmente, para generar una contraseña segura se requieren cadenas texto de letras y cifras aleatorias, mayúsculas y minúsculas, además de si es posible, símbolos no habituales.
El problema de todos estos excelentes artículos es que a la hora de la verdad, es muy difícil recordar contraseñas como esta “AsEff45%$~sQ”. No todo el mundo tiene un cerebro con la capacidad para recordar este tipo de contraseñas, y más cuando son muchas, todas diferentes (todos recomiendan que no se debe usar una única contraseña para todo) el problema se magnifica aún mas. ¿Cómo, entonces, generar y recordar contraseñas complejas?.
En el mundo de las contraseñas, cuanto mas complejas, mejor. Una contraseña compleja nos permite un nivel de seguridad adecuado que evita que otros invadan (o nos roben) nuestra privacidad, o peor, nuestras cuentas de banco.
Pero es un hecho que resulta difícil para un gran abanico de personas recordar este tipo de contraseñas. Apple usa un sistema de recordatorio de contraseñas almacenadas en el Acceso a Llaveros, y otros sistemas operativos usan técnicas parecidas para que no las olvidemos y tenerlas almacenadas en un “armario de seguridad” a la espera de que podamos recuperarlas en el caso de que las necesitemos. Pero no siempre disponemos de esta cámara acorazada cuando la necesitamos, así que al final, debemos tener la suficientemente memoria para recordar al menos media docena de ellas.
Otra aproximación: Pictogramas
Recordar una cadena de texto compleja es muy difícil pra algunas personas: su cerebro está organizado para recordar elementos mas visuales que de texto y su memoria, aunque excelente, le resulta complejo almacenar ese tipo de datos.
Es el momento de usar pictogramas.
Un pictograma es un signo que representa esquemáticamente un símbolo, objeto real o figura.
Es el nombre con el que se denomina a los signos de los sistemas alfabéticos basados en dibujos significativos. Por ejemplo, en la civilización Maya, los dibujos que están representados en las pirámides son pictográficos: la mazorca de maíz no sólo se representa a sí misma sino que también representa la fertilidad.
“Un pictograma debería ser enteramente comprensible con sólo tres miradas”
“En el diseño de un pictograma deberían suprimirse todos los detalles superfluos” (Arntz, Tschinkel y Bernath. Años 30).
En la actualidad es entendido como un signo claro y esquemático que sintetiza un mensaje sobrepasando la barrera del lenguaje; con el objetivo de informar y/o señalizar.
Podemos diferenciar entre los pictogramas lineales hechos a partir de la geometría y los pictogramas gestuales hecho a través de trazos gestuales. [Wikipedia]
Los teclados, sin embargo, no cuentan con pictogramas. Pero si podemos almacenarlos con mas facilidad en nuestro cerebro.
Imaginemos por ejemplo este símbolo:
Si trasladamos este pictograma al pad numérico de un ordenador (o de un teclado de un cajero, por ejemplo), se traduce en una cadena de números:831279.
En el caso de usar un pictograma para recordar una cadena de guarismos, solo es necesario recordar, además de la imagen, el punto desde donde debemos empezar a teclear (sencillo de recordar) y la dirección de giro de la cadena (a favor o en contra de las agujas de reloj si aún lo queremos hacer mas difícil).
Visualmente, es posible generar gran cantidad de pictogramas contra el Pad numérico, por ejemplo, líneas que se cruzan, líneas paralelas o perpendiculares.
Complicando un poco las cosas
Para mejorar la calidad de nuestra contraseña, puedes usar dos pictogramas (mas sencillos de recordar) enganchados por una cadena de texto de dos caracteres especiales que también resultan mas sencillos de recordar si se usan siempre los mismos.
Por ejemplo, usando dos pictogramas como:
Dispondremos de una contraseña mas larga, mas compleja y mas difícil de averiguar, pero que resulta mas sencilla de recordar para nosotros: 78963214$%7415963
Esta técnica mnemotécnica, una vez sistematizada, es decir, establecidos los parámetros que vamos a usar por defecto como el punto de inicio del dibujo del pictograma y la dirección del dibujo (a favor o en contras de las agujas del reloj) nos va a permitir recordar series complejas de números de forma mucho mas sencilla y ser capaces, además, de genera contraseñas únicas para cada ordenador o servicio recordando simplemente un dibujo, que , incluso y en el caso de que sigamos siendo unos desmemoriados, podemos llevar apuntado sin que sea referente a que pertenece y para que se utiliza.
“Todos los usuarios tenemos la mala costumbre de guardar las contraseñas de los formularios web de los diferentes sitios que visitamos”
No generlizes eso yo nunca lo he hecho ni cuando empeze a usar el ordenador por primera vez ni siquiera ahora que mi MBP no lo toca nadie 😛
Fuera de eso me parece muy interesante el post, el fallo de seguridad que comentas hasta da verguenza de lo simple que es, el tip de los pictogramas me ha gustado, he visto otros tips que son muy obvios y a mi parecer poco recomendables como usar letras relacionadas con la página pues eso hace que a partir de una contraseña puedas decifrar todas las demás, en cambio con pictogramas es mucho más difícil encontrar el “algoritmo”
En lo personal no uso nigún metodo particular, no me considero de memoria privilegiada ni mucho menos de hecho en los test de memoria que he hecho salgo muy mal, pero las contraseñas me las invento al momento y tengo un par de más de 20 caracteres incluyendo letras números y signos para las cosas importantes. Creo que las series de números no son tan difíciles de aprender si se leen de la manera adecuada y no me refiero a leerlas como letras sino a leer los números en grupos de 2 o 3 digitos.
Muy bueno. Pero que mucho, mucho.
Muy buen articulo. La verdad es que el 99% de los usuarios si por ellos fuera creo que tendrian la contraseña en blanco para ir más rapido. Y cuando les dices que es por seguridad te dicen que quien va a entrar. Luego para que se lo coman con patatas.
Chapeau. Estos articulos son los que merecen la pena
Gilbert
Es verdad, he usado ese problemita de velocidad alguna vez, para recordad rápidamente alguna contraseña en ordenatas de colegas y etc, claro que también es un problema si estamos en un sitio donde por un descuido alguien puede colarse en nuestro mac, yo por lo pronto lo que hago es cada vez que tengo que ausentarme del ordenador bloquear el usuario y así, me quedo mas tranquilo.
claro, renunciar a guardar las contraseñas, es también una solución, pero yo es que soy muy cómodo. jeje
Quizás yo sea mu tonto, pero estais aconsejando que cada vez que entramos en un foro tengamos que escribir el usuario y contraseña?… por muy fácil que sea es un auténtico coñazo… si yo suelo entrar a diario en 10 foros, no me veo escribiendo todos los días 10 veces el usuario y contraseña, más cuando se entra varias veces a cada foro… si esto es un fallo que lo arreglen, y si no es un fallo que lo arreglen también joeee.
Gracias por el artículo, he aprendido que mi ordenador no lo toca ni dios…
Acabo de probar lo de inspeccionar y solo ocurre con Chrome y Safari, en cambio con Firefox e IE no
Gilbert
Firefox-opciones-seguridad-contraseñas guardadas.
Jaque mate.
Firefox -> Preferencias -> Seguridad -> Contraseñas -> Usar contraseña maestra.
¿Anti Jaque mate?
Interesante lo de los pictogramas. Aunque, inconveniente lo de usar el pad numérico. Puede que en alguna ocasión no puedas contar con él.
Yo añadiría una sana práctica. Crear un llavero adicional al llavero de la cuenta de usuario (el que se desbloquea al entrar, en nuestra cuenta de usuario, ya sea manualmente o de forma automática en el arranque). Y que éste sea el llavero por defecto, con tiempo limitado para que se bloquee automáticamente. De modo que, incluso arrancando automáticamente el ordenador y entrando automáticamente en nuestra cuenta de usuario, haya que desbloquear otro más para acceder a la información “sensible”. Yo incluso tengo otro adicional, para proteger acceso a .dmg encriptadas donde guardo datos que requieren un mayor nivel de confidencialidad.
Esta es una solución adicional que no está de más implementar. No obstante, parece que olvidamos la existencia de software específico, como 1Password, que facilita mucho el acceso a los sitios, además de no ofrecer lugar alguno en que alguien pueda “rebuscar”