Hace mucho que tenía ganas de encarar el tema de las contraseñas, ese mar de caracteres con los que nos topamos en nuestro día a día en internet cada vez que necesitamos utilizar algún servicio online. Muchas cosas han cambiado. Si creías que todavía son seguras, sigue leyendo, hay mucho que contar.

No es una novedad que las contraseñas ya no son un elemento de seguridad 100% efectivo para protegernos. El avance de la tecnología, y su correspondiente implementación en internet, hace que debamos adaptarnos rápidamente a los cambios que van surgiendo en el uso del mismo. Pero esta no parece ser la historia con las contraseñas.

El año pasado fue muy comentada la noticia de cómo hackeaban la cuenta del periodista Mat Honan (de Wired y Gizmodo). El caso estaba más relacionado a cómo los hackers utilizaron los servicios técnicos de empresas como Amazon y Apple para abrirse paso hacia la cuenta de Honan, que a la falta de seguridad en sus contraseñas per se, pero deja en claro que el sólo utilizar contraseñas como barreras de defensa ya no es suficiente; incluso las noticias de filtraciones y hackeo a servidores de importantes servicios online (ya sean redes sociales por ejemplo, el último caso siendo el de Twitter) abundan en estos días. Lo que nos lleva a la conclusión de que incluso grandes empresas tienen problemas de seguridad, y con sus propios servidores.

El mes de Enero, Google salió a comentar sobre esto mismo. Las contraseñas y los simples tokens ya no son suficientes para mantener a los usuarios seguros. Por lo que ellos proponen una nueva manera de conectar al usuario con su cuenta; están probando utilizar llaves USB (como sería el caso de YubiKey que les comentaré más adelante) en Chrome, pero esto sería sólo el principio ya que quieren lograr que la experiencia de usuario sea más rápida y sencilla, por lo que ellos proponen una especie de anillo, lo que implicaría sólo un toque del mismo contra la pc para loguearse.

Esta semana, un grupo de empresas (específicamente Lenovo, PayPal, Nok Nok Labs y Validity Lead) dió vida a FIDO (Fast IDentity Online) Alliance. La propuesta es simple. Se busca poder generar un estándar en lo que a seguridad y autenticación respecta.
El grupo experimentará con varias tecnologías, entre las que encontraremos biometría, NFC, reconocimiento facial y vocal, contraseñas de un uso y tokens USB. En la práctica, el usuario tendrá uno de dos tipos de Autenticadores FIDO: ID Tokens y Authentication Tokens.

Los ID Tokens son identificadores únicos, los cuales conectan al usuario con su cuenta. Los tokes de autenticación pedirán al usuario realizar una determinada acción para probar su identidad, ahí es cuando entra en juego la biometría por ejemplo, ya que estos utilizarían la verificación de dos pasos, en la cual se necesita de una acción o un hardware específico en conjunto de una contraseña o PIN (o algún otro elemento que implementen) para conseguir entrar en la cuenta.

Si bien el proyecto recién comienza, es bueno ver que las compañías ya ponen manos a la obra en buscar una solución a un problema para el cual todavía hay tiempo -poco, pero hay- para recomponer, y más aún sabiendo que se busca implementar un estándar, en el cuál me gustaría ver no sólo a grandes empresas, sino también a desarrolladores independientes, quienes a veces cuentan con ideas geniales y frescas para aportar.

Dejando un poco las noticias de lado, quería comentarles qué pueden hacer ustedes, en este preciso momento, por su seguridad online.

El primer tip va para los usarios de los servicios de Google, desde el simple usuario de Android, hasta el heavy-user de Gmail, Drive, sí también de Reader, nunca se puede ser lo suficientemente precavido. Es fundamental para nosotros utilizar la verificación de 2 pasos. Para ello, irán hasta Configuración, Cuentas, clickean en Configuración de la cuenta de Google y luego en Seguridad, en donde deberán hacer click en el botón Editar, al lado de verificación en dos pasos, luego es cuestión de seguir las instrucciones.

Una vez hecho esto, lo recomendable es bajar Google Authenticator, la aplicación que funcionará como token cuando quieran iniciar sesión en sus cuentas, con versiones tanto para Android, iOS, Windows Phone y Blackberry. Deben tener en cuenta que de ahora en más, para las aplicaciones móviles (por ejemplo si tienen instalado Gtalk en su pc), deberán utilizar «contraseñas específicas de aplicación«, las cuales podrán administrar desde la configuración de su cuenta de Google.

Lo genial de la verificación de dos pasos es que no sólo sirve para los servicios de Google. Otros sitios cuentan con su implementación, como son: LastPass, Dropbox y Amazon. También podremos utilizar la aplicación de Google para asegurar nuestro sitio de WordPress con un simple plug-in, e incluso un servidor con linux. Hay otros sitios que ofrecen su propio sistema de verificación, como es el caso de Microsoft, Yahoo!, Facebook o Battle.net.

Luego tenemos los servicios para administrar contraseñas, como son: 1Password, LastPass, KeePass o RoboForm (hay otro centenar disponible, pero estos son los más conocidos y utilizados). Esto ya va a un plano bastante personal. Hay quienes consideran que almacenar todas sus contraseñas en un sólo servicio y bajo una llave maestra es una locura; personalmente utilizo LastPass y lo combino con Google Authenticator, y sabiendo que LastPass encripta todo de manera local en mi pc y lo guarda encriptado en sus servidores me quedo tranquilo, y la contraseña maestra está respaldada por Authenticator.

Si quieren tomarse verdaderamente en serio el tema de la segurida y no les molesta invertir algunos dólares, la mejor opción es Yubikey (la cuál mencione más arriba); esta es una empresa que se dedica a vender tokens usb, los cuales permiten llevar la verificación en dos pasos a otro nivel. Hay muchas aplicaciones prácticas, desde protección a Acceso Remoto y VPN, administración de contraseñas (se puede implementar en conjunto con LastPass o KeePass por ejemplo), inicio de sesión en tu pc (Windows, Linux y Mac), encriptación de discos duros, hasta utilizarlo con PayPal o tu Email.

Es importante aclarar que aún poniendo todas y cada una de estas herramientas en práctica, no se convertirán en un búnker ultraseguro. Pero lo cierto es que no será tan fácil para el hacker tratar de acceder a sus datos. Ahora es su turno. Que opinan del futuro de las contraseñas? Han utilizado o utilizan actualmente alguno de estos servicios que les menciono? Ya saben que, como siempre, si tienen dificultades pueden consultar tranquilamente en los comentarios del blog.