lunes, marzo 13, 2006

El problema de las contraseñas (y su solucion)

Tengo muchas contraseñas...

Apuesto que tu tambien tienes ese problema...

Login+pass para tu banco, login+pass para tu foro favorito, pass para tu ordenador, para la configuracion de tu router, para la encriptacion de tu wifi, etc, etc...

Demasiadas contraseñas para recordar, y tan poca memoria, a veces pienso si el KGB tenia que mantener tantas contraseñas como yo... Tambien como dice un buen amigo mio: 'Mas vale un lapiz chico que una memoria grande', asi que al final acabo escribiendo en papel algunas contraseñas, con todo el riesgo de seguridad que eso conlleva.

Me viene a la memoria el sistema 'Passport .NET'. Realmente era una buena idea... lastima que Microsoft no sea buena manteniendo la seguridad de sus servicios. El sistema propuesto por MS para 'Passport .NET' era que tu te sacabas una cuenta .NET (normalmente te la daban gratis al tener una cuenta hotmail, o registrabas tu cuenta de correo electronico como cuenta .NET) y esa misma cuenta te valia para registrarte en cualquier sitio. Un unico inicio de sesion. Una unica cuenta a recordar. El servicio passport generaria un codigo aleatorio que te representaria en cualquier foro, mas que nada para que ese foro pudiera llevar la contabilidad de sus cuentas de usuario. De hecho lo que MS proponia era que tu primera pagina a visitar debia ser www.passport.net (aun funciona, pero para poco mas que sacarse una cuenta messenger con cualquier cuenta de correo), logearte, y asi tener acceso a todos los foros y paginas que solieras visitar, puesto que estas paginas verificaban tu cuenta contra los servidores passport.

Una buena idea, propuesta por la multinacional equivocada...

En el horizonte aparecia DotGNU, como metodo libre y comunitario para sustituir a passport.net, pero como casi todas las cosas libres y por la comunidad, no tuvo jamas mucha repercusion...
Puede ser que Google intente hacer la jugada de nuevo, usando todas cuentas de gmail en plan 'passport'. Si se diera el caso que empezara a usarse, sabed que quien primero quiso hacerlo era MS...

Pero ese no era el punto, vengo a hablar de la solucion de las contraseñas y como gestionar una contraseña unica.

Una contraseña unica tiene la ventaja clara que solo tienes una contraseña a recordar y solo tienes que hacer un unico login. Pero claro, el mayor problema de las contraseñas es 'la suplantacion de la personalidad'. Tu tienes una contraseña para evitar que alguien que no sea tu pueda hacer algo en tu nombre. el problema de la contraseña es que solo se suele basar en uno de los siguientes conceptos: Algo que se sabe, algo que se tiene o algo que se es.

Algo que se sabe: Obviamente es una palabra clave memorizada. La debilidad de la clave memorizada es de facil ruptura. Aparte de la fragilidad o la fortaleza de la palabra clave, quien te vea escribiendola, la tiene.

Algo que se tiene: Una tarjeta magnetica o RFID. Son habituales aun hoy dia encontrar puestos de trabajo en los cuales para entrar en ciertas areas restringidas se necesita pasar la tarjeta magnetica por un tarjetero. O bien pasar por un arco para que detecte tu tarjeta RFID. Las tarjetas son sensibles a robo, aunque un robo de una tarjeta fisica es mas sencillo de detectar que el robo de una contraseña, puesto que lo que desaparece es algo fisico.

Algo que se es: En pocas palabras, sensores biometricos. Desde la huella dactilar al iris del ojo pasando por las facciones faciales. Es imposible de robar, y garantiza al usuario.

La contraseña definitiva deberia combinar dos o tres metodos de deteccion. una tarjeta RFID, junto con un lector de huellas digitales en el raton y una palabra clave me parece un sistema fenomenal de identificacion. Aunque quizas la mejor manera de quitar de una vez las passwords sean las identificaciones temporales, a traves de tarjetas RFID y la password de revocacion. (una tarjeta de identificacion es valida hasta que sea revocada por una palabra clave.)

4 comentarios:

ObiJuan dijo...

Pero que razón tienes!!! Anda que no hay que recordar contraseñas...
Sabes cual es el mayor problema? Que tendemos a usar la misma. Para que no se nos olvide, para no liarnos, por comodidad...
Y quien tiene un login+pass de otra persona, ya puede tener por seguro que no solo tiene uno...
Yo intento siempre tener varias contraseñas, y recordarlas. Suelen ser palabras inventadas (tan ilógicas que sería dificil dar con ellas). E incluso tengo varios nombres de usuario. Debo reconocer que no por seguridad, si no porque en algunos sitios "ObiJuan" ya estaba cogido.
Espero ansioso tu próximo post. Siempre me parecen bastante interesantes.

Anónimo dijo...

Probad http://www.truecrypt.org/
En un archivo de texto ponéis todas vuestras contraseñas y luego lo encriptáis con una única contraseña asociada.

Saludos, bueno el artículo.

Carlos GD dijo...

Acabo de redescubrir tu blog. xD

A lo que iba. Efectivamente el tema de las contraseñas es muy coñazo... yo puede que entre tarjetas bancaras, PIN del movil, cuentas de correo y sitios web... puede que tenga como 30 o 40 recursos diferentes con clave.

el truco? tan sencillo como utilizar para todos las mismas claves, yo tengo 3: una para las claves numericas de 4 cifras, otra para las claves numericas de 8 cifras y otro para las claves de "nombre de usuario y contraseña" de los sitios web, correos, etc, que se basa en usar la misma estructura para todas las contraseñas. Probablemente no es el mejor metodo, pero a no ser que concurra alguna cosa extraña, se da la circunstancia de que recuerdo todas las contraseñas de los sitios, y no las he tenido que cambiar desde que ingrese... y no son pocas: hotmail, google mail, blogger, EOL, telefonicaonline, etc...

por cierto... si no te importa, voy a enlazar tu blog en el mio. mi blog esta en gxydomain.blogspot.com

Un cordial saludo

Anónimo dijo...

Tienes toda la razón sobre el tema de las contraseñas y su problemática...y coincido contigo en la solución biométrica. Esta empresa tiene justo una solución que combina huella, voz y cara, tiene buena pinta : www.semarket.com en http://www.semarket.com/es/soluciones/acceso.so/index.php?lang=es