lunes, marzo 20, 2006

'Stay Tuned'...

Voy a postear un articulo sobre burbuja inmobiliaria y prestamos hipotecarios bastante interesante e instructivo... Se va a salir un poco del tema del blog, pero les advierto que va a ser MUY interesante para el publico 'joven' que supongo sera el visitante habitual de este blog.

Esten atentos, sera en 1 o 2 dias...

Tambien voy a publicar una entrada sobre un MEGABUG en el player de flash... espero que tambien les resulte interesante...

Y no, no les tengo abandonados...

lunes, marzo 13, 2006

El problema de las contraseñas (y su solucion)

Tengo muchas contraseñas...

Apuesto que tu tambien tienes ese problema...

Login+pass para tu banco, login+pass para tu foro favorito, pass para tu ordenador, para la configuracion de tu router, para la encriptacion de tu wifi, etc, etc...

Demasiadas contraseñas para recordar, y tan poca memoria, a veces pienso si el KGB tenia que mantener tantas contraseñas como yo... Tambien como dice un buen amigo mio: 'Mas vale un lapiz chico que una memoria grande', asi que al final acabo escribiendo en papel algunas contraseñas, con todo el riesgo de seguridad que eso conlleva.

Me viene a la memoria el sistema 'Passport .NET'. Realmente era una buena idea... lastima que Microsoft no sea buena manteniendo la seguridad de sus servicios. El sistema propuesto por MS para 'Passport .NET' era que tu te sacabas una cuenta .NET (normalmente te la daban gratis al tener una cuenta hotmail, o registrabas tu cuenta de correo electronico como cuenta .NET) y esa misma cuenta te valia para registrarte en cualquier sitio. Un unico inicio de sesion. Una unica cuenta a recordar. El servicio passport generaria un codigo aleatorio que te representaria en cualquier foro, mas que nada para que ese foro pudiera llevar la contabilidad de sus cuentas de usuario. De hecho lo que MS proponia era que tu primera pagina a visitar debia ser www.passport.net (aun funciona, pero para poco mas que sacarse una cuenta messenger con cualquier cuenta de correo), logearte, y asi tener acceso a todos los foros y paginas que solieras visitar, puesto que estas paginas verificaban tu cuenta contra los servidores passport.

Una buena idea, propuesta por la multinacional equivocada...

En el horizonte aparecia DotGNU, como metodo libre y comunitario para sustituir a passport.net, pero como casi todas las cosas libres y por la comunidad, no tuvo jamas mucha repercusion...
Puede ser que Google intente hacer la jugada de nuevo, usando todas cuentas de gmail en plan 'passport'. Si se diera el caso que empezara a usarse, sabed que quien primero quiso hacerlo era MS...

Pero ese no era el punto, vengo a hablar de la solucion de las contraseñas y como gestionar una contraseña unica.

Una contraseña unica tiene la ventaja clara que solo tienes una contraseña a recordar y solo tienes que hacer un unico login. Pero claro, el mayor problema de las contraseñas es 'la suplantacion de la personalidad'. Tu tienes una contraseña para evitar que alguien que no sea tu pueda hacer algo en tu nombre. el problema de la contraseña es que solo se suele basar en uno de los siguientes conceptos: Algo que se sabe, algo que se tiene o algo que se es.

Algo que se sabe: Obviamente es una palabra clave memorizada. La debilidad de la clave memorizada es de facil ruptura. Aparte de la fragilidad o la fortaleza de la palabra clave, quien te vea escribiendola, la tiene.

Algo que se tiene: Una tarjeta magnetica o RFID. Son habituales aun hoy dia encontrar puestos de trabajo en los cuales para entrar en ciertas areas restringidas se necesita pasar la tarjeta magnetica por un tarjetero. O bien pasar por un arco para que detecte tu tarjeta RFID. Las tarjetas son sensibles a robo, aunque un robo de una tarjeta fisica es mas sencillo de detectar que el robo de una contraseña, puesto que lo que desaparece es algo fisico.

Algo que se es: En pocas palabras, sensores biometricos. Desde la huella dactilar al iris del ojo pasando por las facciones faciales. Es imposible de robar, y garantiza al usuario.

La contraseña definitiva deberia combinar dos o tres metodos de deteccion. una tarjeta RFID, junto con un lector de huellas digitales en el raton y una palabra clave me parece un sistema fenomenal de identificacion. Aunque quizas la mejor manera de quitar de una vez las passwords sean las identificaciones temporales, a traves de tarjetas RFID y la password de revocacion. (una tarjeta de identificacion es valida hasta que sea revocada por una palabra clave.)