El pasado fin de semana, Evernote vio comprometida la seguridad del servicio tras detectar una intrusión que habría tenido acceso a nuestros nombres de usuario, correos electrónicos y también a las contraseñas aunque, afortunadamente, éstas estaban cifradas. Como medida cautelar, Evernote decidió forzar el reseteo de las contraseñas de todos los usuarios del servicio y, entre las recomendaciones que hicieron, comentaron la importancia de no usar la misma clave en todos los servicios en los que nos registremos. Para muchos usuarios, no tener que recordar un amplio número de contraseñas es importante, máxime cuando cada vez son más los servicios disponibles en la red; sin embargo, a pesar de que nos facilitaría mucho las cosas ¿por qué no debemos usar la misma contraseña en todos los servicios que usamos?
Para muchos usuarios, seguramente, la respuesta a esta pregunta es más que evidente y no necesiten ningún tipo de explicación; sin embargo, existe un buen número de usuarios que repiten y repiten la misma contraseña en Facebook, Twitter, Evernote, Gmail y cualquier servicio disponible en la red que se nos ocurra. De hecho, para complicar aún más el escenario, tampoco es raro que la misma dirección de correo personal que usamos sea el login para muchos de estos servicios; un panorama que es mucho más habitual que lo que podríamos llegar a imaginar y que nos pone en riesgo, por ejemplo, ante un posible robo de identidad o la usurpación de nuestra cuenta.
No es la primera vez que hablamos de seguridad en Bitelia y, en alguna que otra ocasión, hemos hablado de consejos para generar contraseñas seguras o, directamente, crearlas a partir de servicios disponibles en la red. Sin embargo, de poco nos sirve una contraseña segura si es la misma que usamos en todos los servicios en los que estamos registrados porque la probabilidad de ser víctimas de cualquier tipo de ataque es mucho mayor.
Quizás pueda parece que estoy exagerando pero, si tomamos como referencia el caso de Evernote, en el hipotético caso que alguien lograse descifrar las contraseñas tendría un listado de pares cuenta de correo-contraseña con la que probar, por ejemplo, en Facebook, Twitter, LinkedIn, Gmail y cualquier servicio que se nos ocurra. Si la contraseña es la misma en todos ellos, un atacante con no muy buenas intenciones tendría "barra libre" para acceder a toda nuestra información personal o realizar publicaciones en nuestro nombre.
A lo mejor el caso de Evernote es demasiado rebuscado pero hace algo más de seis meses que robaron un buen número de contraseñas de LinkedIn y, de camino, también podrían haber tenido acceso a las cuentas de otros servicios. Otro escenario que podemos encontrar es el uso de aplicaciones que usan conexiones no cifradas (el correo, por ejemplo) en redes Wi-Fi abiertas y enviar, por dicho canal, nuestro usuario y contraseña para que un tercero con malas intenciones lo intercepte e intente usarlo en otros servicios o, incluso, que alguien intercepte lo que escribimos en un ordenador de uso público (con un keylogger) y pruebe la contraseña interceptada en otros servicios.
Como podemos observar, los escenarios en los que nuestros datos se pueden ver comprometidos están ahí y en nuestra mano está evitar que se hagan una realidad que nos haga pasar un mal rato. ¿Y qué debemos hacer? ¿Cómo podemos adoptar prácticas seguras sin tener que recurrir a una libreta en la que apuntar todas las contraseñas? ¿Tenemos que depender de nuestra memoria?
Lo ideal sería recordar las contraseñas, no tenerlas que apuntar en ninguna parte y que siguieran patrones seguros pero, si no tenemos buena memoria, siempre podemos recurrir a algunas reglas que nos ayuden a llegar a un equilibrio entre nuestra memoria y algo seguro; por ejemplo, podemos usar patrón y, sobre éste, introducir variaciones.
Cada vez son más habituales los intentos de robo de información y suplantación de identidad, un hecho para el que la mejor defensa somos nosotros mismos y la adopción de buenas prácticas de uso.
un truco para acordarse es si tu pass es @1oDOS puedes poner fb@1oDOS para fb , otra tw@1oDOS para twitter .
Eso es lo mismo que poner la misma contraseña, porque puedo deducir el resto de tus contraseñas sólo pillándote una de ellas.
Complicándolo un poco creo que es lo más seguro: en vez de fb o tw, usar solo la 1ª vocal, o la siguiente letra del alfabeto, o... Y por supuesto que el patrón fijo sea aleatorio, variado, largo, etc.
Lo q se deberia implementar es el "usuario universal" o simil, algo asi como lo q quisieron hacer con Passport. Un unico usuario para todo. Por suerte ahora muchas t dejan loguearte con facebook.
Eso ya existe: OAuth y OpenID.
Luego sólo es cuestión que los servicios que necesitan control de acceso lo usen.
Con esta app (http://www.skiba.com.ar/psw) se puede recordar una sola clave, pero usar una diferente para cada sitio
la pregunta es porque sitios siguen solicitando contraseñas habiendo tanto servicios para iniciar sesión con credenciales de otros servicios. las contraseñas únicas de google son el camino a seguir
Es lógico el uso de una contraseña en cada lugar por el simple hecho de la seguridad. En el caso en que encuentren un fallo en OpenId y servicios similares común a todos los usuarios, adiós a la privacidad de miles de personas. Lo que es interesante es el uso de passphrases, de modo que tengan más problemas en descubrir la contraseña debido a su longitud y es más sencillo tener diferentes ya que recordarlos es más sencillo. De todos modos parece que se va a derivar hacia dispositivos específicos, de modo que sea más seguro, ya que ese dispositivo lo tendría una sola persona.
Para recordar nuestras claves y generar contraseñas seguras existe la aplicación keepassx, disponible para windows y linux. Almacena todas las claves en un fichero encriptado protegido por contraseña