El lado humano de las contraseñas
No utilices una palabra conocida, ni el nombre de tu mascota, aun menos tu fecha de nacimiento.
No, tampoco vale el PIN del banco, nunca debes utilizar la misma contraseña en dos servicios diferentes. Recuerda, hay que combinar letras y números, si puedes meter algún carácter especial mejor, y su longitud no debe ser inferior a ocho. Por cierto, recuerda también que el sistema te obligará a cambiar la contraseña todos los meses, y procura que cada vez sea distinta. Eso es todo.
Más de uno nos reconoceremos en esas palabras, para nosotros es pura rutina, de una lógica aplastante. Debemos de intentar mitigar los ataques por diccionario, los ataques por fuerza bruta, prevenir la expansión de la influencia a otros servicios si una contraseña es comprometida, etc.
Pese a que han pasado bastantes meses, aun guardo en la retina aquella imagen. Estaba viendo los informativos en televisión, no recuerdo el canal, ni prestaba mucha atención. Tras las últimas elecciones en España los ministros cumplían con el protocolo del intercambio de carteras ministeriales. El periodista recalcaba lo previsora que había sido la ministra saliente, que incluso había recordado facilitarle el acceso al ordenador a la ministra entrante. Fue en ese instante cuando el cámara activó el zoom. En un primer plano del teclado, allí estaba, un post-it pegado en el que se podía leer la contraseña.
No se si me causó más impresión el hecho en sí, o la naturalidad y el tono de aprobación con que el periodista narraba la anécdota.
Lo cierto es que si miramos a nuestro alrededor, en cualquier empresa, con casi total seguridad podremos encontrarnos situaciones muy similares. ¿Quién no conoce a un compañero de trabajo que tiene la contraseña en un post-it pegado en el monitor? Vale, tal vez no, puede que tus compañeros sean más precavidos y la guarden bajo el teclado, o en la agenda del primer cajón de su escritorio.
Para ellos también es pura rutina, de una lógica aplastante. ¿Quién es capaz de recordar tantas contraseñas y tan raras?. Encima si falla tres veces seguidas el sistema se la bloquea, y debe pedir a informática que le den una nueva contraseña. La última vez tardó varias horas en poder acceder al sistema, y encima tuvo que aguantar la guasa del administrador de sistemas. Desde que las apunta por escrito no ha vuelto a tener problemas.
En el otro extremo tienes a los que no apuntan nada, lo deben tener todo memorizado, como debe ser, la contraseña sólo debe estar en la cabeza de cada usuario. Vaya, menos mal, con ellos se puede contar.
O eso creías, hasta que en una auditoría ves que sus contraseñas son las primeras que aparecen, casi de forma instantánea, al realizar un ataque básico al archivo de passwords. Parece ser que no te hicieron mucho caso cuando explicastes como debían construir una contraseña segura.
Existe una máxima en seguridad de las TI que viene a decir que “la seguridad es como una cadena, siempre se rompe por el eslabón más débil”. A la que habría que añadirle que el eslabón más débil suele ser el factor humano.
Tal vez debamos tenerlo en cuenta la próxima vez que expliquemos como construir una contraseña segura y, además de soltar el párrafo inicial, aquél de la longitud y la composición, dedicar cinco minutos más para explicar los ataques que se intentan prevenir, algunas sencillas reglas mnemotécnicas para construir y recordar fácilmente claves seguras, recomendar algún gestor de contraseñas, o advertir del peligro de ir apuntándolas por cualquier sitio.