Este artículo apareció originalmente en Business Age. En un comentario proporcionado a Business Age, dije abiertamente que las contraseñas son una mala solución para autenticar a los usuarios, pero ninguna de las alternativas tampoco es muy buena. Las opciones disponibles para nosotros son, en el mejor de los casos, pobres. Ahora soy víctima de una pregunta de seguimiento 🙂 ¿Qué uso? Aprende más rápido. Excavar más hondo. Ver más lejos. Desafortunadamente, “qué uso” no es realmente una elección que pueda hacer; la mayoría de las veces, estás atrapado con las elecciones de las personas que crearon los sitios que usas. Así que lo mejor que puedes hacer es asegurarte de tener una buena contraseña. Una buena contraseña es una larga cadena de letras, números y signos de puntuación aleatorios. Hay algunas formas de generarlos. La más sencilla es dejar que Google Chrome genere una contraseña por usted. (Firefox también puede generar contraseñas seguras). Si bien se desconfía mucho de Google, creo que esa desconfianza está fuera de lugar. Google no ha sido víctima de violaciones de seguridad importantes (a diferencia de algunos administradores de contraseñas conocidos) y realmente no tienen ningún interés en vender mis contraseñas a otras partes. Sí, los exploits de día cero y las frecuentes actualizaciones de seguridad de Chrome significan que hay vulnerabilidades, pero también significa que las vulnerabilidades se detectan y reparan. Todos deberíamos estar mucho más preocupados por el software que no se actualiza con frecuencia. Crear su propia contraseña buena es sólo un poco más difícil que dejar que su navegador lo haga por usted y, francamente, más fácil que crear una contraseña incorrecta (aunque no más fácil de recordar). Abro una ventana de texto y escribo aleatoriamente en mi teclado durante unos segundos, lo que produce algo como esto: oe8h;org’pr/sajidj. (Son 18 caracteres, generados en un par de segundos). Lo copio y lo pego en una aplicación que necesita una contraseña. Si me pide puntuación, un dígito o una letra mayúscula, vuelvo a la ventana de texto, agrego algo que parece aleatorio y luego copio y pego nuevamente. El proceso de copiar y pegar le permite completar el campo «volver a escribir la nueva contraseña» sin errores. (Si no se permite pegar, me pregunto si quiero usar ese servicio). Nuevamente, dejo que mi navegador guarde la contraseña. Se sincronizará en todos mis dispositivos, lo que significa que no necesito mantener una lista de contraseñas. ¿Y qué pasa con la autenticación de dos factores (2FA)? Sí, definitivamente, úselo siempre que sea posible. Un mensaje de texto a mi teléfono celular no es lo ideal, pero es adecuado y preferible a enviar un código por correo electrónico. Hay formas de atacar un SMS a tu teléfono, pero no es fácil. Pero tenga cuidado: una vez tuve una aplicación que me permitía enviar mensajes de texto desde mi computadora portátil. Si alguien me enviara un mensaje de texto, mostraría el texto en una ventana emergente en la computadora portátil, lo que anula el propósito de 2FA. En general, deseas recibir el código de seguridad en un dispositivo diferente al que estás utilizando para iniciar sesión. Eso es un problema si estás usando un teléfono; No tengo una buena solución. ¿Rotación de contraseñas? Me resisto a eso, aunque un proveedor de autenticación que tengo que usar lo requiere. La comunidad de seguridad sabe desde hace mucho tiempo que obligar a los usuarios a cambiar sus contraseñas periódicamente es una mala práctica. Alienta a los usuarios a elegir contraseñas fáciles de recordar, y eso es lo contrario de lo que queremos. Piénselo: si una contraseña aleatoria no ha sido forzada de forma bruta en los últimos 3 meses, ¿por qué creemos que es más probable que lo sea en los próximos 3 meses? Lo entiendo: las empresas tienen que tratar con las aseguradoras, y tal vez obligar a los usuarios que nunca encontrarán buenas contraseñas a cambiarlas con regularidad sea una victoria. No quiero pensar en esas estadísticas. Pero una buena contraseña es infinitamente mejor que una mala contraseña que se cambia periódicamente. Entonces, eso es lo que hago. No es elegante y no afirme que representa ninguna «mejor práctica». Pero ese no es realmente el punto. Lo que decida hacer es irrelevante, porque estoy a merced de las personas que crean los sitios que uso. Y sus prácticas pueden ser sorprendentemente malas. He aquí un ejemplo real. Pago las facturas médicas de un familiar anciano. Dejemos que esto se asimile: estamos hablando de una de las industrias más conscientes de la privacidad y más reguladas del mundo. Recientemente, recibí una solicitud legítima para pagar una factura, con un enlace a un sitio donde puedo verla y pagar. El correo electrónico me dice que el número de cuenta, el nombre de usuario y la contraseña son TODOS IGUALES. Y el número de cuenta está contenido en el correo electrónico. (Y fácilmente adivinable). Eso es más que horrendo. Es lamentable que no existan más soluciones buenas y que soluciones como las llaves de seguridad físicas no se utilicen más ampliamente. Había esperanza de que las claves de acceso hicieran desaparecer las contraseñas, pero esa esperanza se está desvaneciendo. ¿Biometría? Si mi teléfono Pixel pudiera identificar mejor mi huella digital o reconocer mi rostro cuando me quito las gafas, podríamos hablar de esa alternativa. Sin embargo, desear tener una solución mejor no resolverá el problema. Las contraseñas aleatorias (independientemente de cómo las generes) y la autenticación de dos factores son las mejores soluciones que tenemos ahora.