Cada día nacen nuevos sitios y servicios en los cuales nos gustaría participar. Para ello es casi seguro que necesitas crear una cuenta de usuario y recordar una contraseña. ¿Que haces cuando tienes más usuarios y contraseñas de las que realmente puedes memorizar?
Internet ya no es el mismo de aquellos días en los que tener una cuenta de correo, estar en IRC o algún salón de chat y perder el tiempo intentando llegar al sitio correcto desde los pseudo-buscadores era todo útil lo que podías hacer. Ahora hay muchas opciones para compartir fotos, videos o incluso para transmitir en vivo.
Tendrás una cuenta de correo personal y otra para los negocios (hay quienes tienen una para el spam), participarás en alguna comunidad para resolver tus dudas o ayudar a otros, realizar compras en linea, comprar dominios y alquilar algún servidor web donde hospedar tu sitio… que se yo, hay tantas opciones hoy por hoy que hasta si eres un amante del crochet puedes participar en una red social enfocada a esto.
No uses la misma contraseña
Creo que todos hemos pasado por la etapa en la cual buscamos registrarnos usando el misma combinación usuario y contraseña, con tal de facilitarnos la vida. Si bien hay sitios muy populaes que en los que podemos confiar, no podríamos confiar ciegamente en el sitio de una startup con poco tiempo de vida. ¿Que garantía hay de que sigan las mejores prácticas en cuanto al almacenamiento de contraseñas? ¿Y si guardan las contraseñas en texto plano?
Te imaginas si alguien de cierta forma consigue tu usuario, contraseña y dirección de email de cierto sitio en el que registraste, ¿y si esa contraseña es la misma que usas para tu correo? Si eso pasara estarías en problemas y todo por un descuido: usar la misma contraseña que la de tu cuenta de email.
Algo que me ha funcionado es usar patrones de contraseñas según el tipo sitio en el cual la use, un patrón donde mantengo una parte constante usando letras, números y simbolos, y el resto varía en base a algún elemento del sitio. Los patrones los he divido por ejemplo en:
- Cuentas de correo
- Servidores y paneles de hosting
- Redes sociales
- Blogs
- Transacciones en linea
- Sitios que solo voy a probar, y quizás no los use por mucho.
De estos últimos casi siempre uso la misma contraseña que es fácil de recordar y si empiezo a usar mucho mas dicho sitio, veo de cambiarla a una más segura. En el caso de la contraseña de mi cuenta de banco es una que incluso me es difícil recordar y tengo que recurrir a mi gestor de contraseñas (luego veremos esto). Si son cuentas que voy a compartir con otras personas (como el accesso root a un servidor) prefiero usar una contraseña aleatoria autogenerada. Un nuevo tipo de contraseñas que me he visto en la necesidad de 
Usa un Gestor de Contraseñas
Cuando compartes contraseñas con otras personas ¿Quién no ha usado los post-it, una hoja cualquier o incluso un archivo de texto en el escritorio para anotar/recordar la contraseña? Resulta muy practico pero es exponer tus accesos a cualquiera que pueda llegar a tu escritorio.
Hay servicios que te ofrecen almacenar tus contraseñas de «forma segura» ¿pero confiar nuestros accesos en un tercero, incluso si le pagamos? Yo no lo haría, es tanto como tener un draft donde almacenamos nuestras contraseñas en alguna cuenta de correo.
En gestores de contraseñas hay muchas opciones, pero la mejor que he visto es KeePass, un programa libre y gratuito que hace bien su trabajo. Entre las características de este que puedo mencionar están:
- La base de datos de contraseñas está cifrada usando AES o Twofish, y la llave maestra pasa por un hash usando SHA-256
- Además de usar una llave maestra para cifrar toda la base de datos, se puede usar un archivo llave (o ambos incluso) que sin este no se puede leer el archivo.
- Es portable: corre en Windows, Linux y Mac OSX; y existe una versión que no requiere instalación.
- ¿Mencioné que soporta plugins?
- Es realmente ligero consume solo lo necesario en memoria ram, y los archivos que genera no pasan de unos cuantos KB que hasta cabría en una de esas memorias SD de pocos MBs de espacio
¿Por qué pagar por un gestor de contraseñas «bonito»? cuando con uno sencillo y gratuito puedes administrar todos tus accesos. Lo que me gusta de KeePass es que corra en varios sistemas operativos, así solo guardo la base de datos en una USB y cuando lo necesito se que está a la mano.
Usar un gestor de contraseñas requiere bastante disciplina al estarlo alimentando, pero una vez tengas la costumbre será mucho más sencillo. Una ventaja, por así decirlo, es que el día que ya no estés vivo, puedes delegar todos tu accesos a la persona de manera más sencilla: solo necesitas compartirle la llave maestra y el lugar donde encontrar el archivo con las contraseñas.
¿Por qué no OpenID?
OpenID es una tecnología de que que hemos hablado en Maestros del Web, en resumidas cuentas OpenID intenta simplificar el proceso de autenticación por medio una identidad universal de la cual dependerá nuestro acceso a sitios de terceros. Grandes empresas como Google o Yahoo están apostando por OpenID.
Lo cool de OpenID es que solo tenemos que recordar un solo usuario y contraseña, y en los sitios que soporten OpenID solo tenemos que especificar el URI de nuestro proveedor. El gran problema de OpenID es que es tan fuerte como el sistema de DNSs, si en cierto momento tu proveedor falla o desaparece, existe un ataque en los DNSs, o ya no tienes el control de tu URI perderás el control de todas tus cuentas.
Y es que cada sitio implementa OpenID como se le da la gana no hay un estándar/modelo mínimo requerido, ojalá todos siguieran el ejemplo de SourceForge donde puedes usar tu cuenta como proveedor o delegarla a un servidor externo, así como iniciar sesión desde varios proveedores y sin perder el acceso con tu usuario y contraseña de siempre.
La idea de OpenID me agrada, pero la forma en que funciona no. Y si mencionamos el hecho de que todos accesos quedan a merced de una empresa ajena y tu privacidad podría ser expuesta… pues deja de ser aún menos atractivo.
¿Se me escapa algo o tienes algo que añadir? Comentalo!
Excelente!
Creo que no podría ser más completo.
Estoy totalmente de acuerdo contigo con lo de separar varias contraseñas en diferentes patrones.
Con el paso de los años parece que la comnputación va siendo más y más compleja, cuando otras industrias tienden a la simplicidad. Tal vez los Geeks lo vean como la octava maravilla del mundo moderno, pero de entrada, yo opinaría que no es necesario registrarse en un sitio sólo para ver una mugrosa foto o para emitir opiniones. ¿no que internet era un lugar libre, con libertad de expresiones? se le censura a China el no permitir que entre Yahoo, por ejemplo, pero nadie dice nada por el hecho de que para todo haya que registrarse. Muchos foros de ayuda son lugares a los que nunca voy a regresar, así que ¿para qué rayos me registro? ¿a ellos qué les interesa mi dirección de correo (porque casi todos estos servicios los tienes que activar desde un mensaje que te mandan, y que muchas veces no llega ni a la carpeta de Spam) si lo que yo quiero recibir, y tal vez dar, es soporte técnico, intercambiar información?
Dicen que es para prevenir registros automáticos, y yo me pregunto, ¿nadie es capaz de desarrollar algoritmos que vayan depurando las cuentas creadas por robots o lo que sea? ¿por qué enfocarse en programas que permitan administrar contraseñas, cuando la solución es dejar de pedir tantas hasta por entrar a un sitio? (En noviembre de 2000, una empresa mexicana llamada Grupo Editorial VID hacía eso, y es una práctica que ya abandonó).
En algunos caso se justifica, como el correo electrónico, quizá el ejemplo más obvio, pero ¿los foros? Si Web 2.0 va a estar lleno de formularios de registro me quedo como estoy, sinceramente, ya estoy cansado de estar anotando siempre casi los mismos datos, y si me cambio el nombre por un juego de palabras nadie me dice nada; creo que sólo les interesa verificar que uno sea mayor de edad para evitar problemas legales, y la dirección de correo electrónico para mandar publicidad, aunque sea esporádicamente.
@AlbertoPGT, comparto tu sentimiento. Me molesta mucho que me pidan registrarme si tan solo voy a consultar algo; pero les doy la razón si mi intención ya es participar dentro del sitio. Por ejemplo en los comentarios de un blog, donde puedes usar el nombre que quieras, no estas seguro si el ‘funalito de tal’ es el mismo que te comento la semana pasada. Pero en un foro (o cualquiero otro sitio), donde tu interés es tomar propiedad de cierta identidad (el nickname), pues el registro se vuelve inevitable.
Personalmente no soy amante de registrarme en demasiados sitios, la mayoría de las aplicaciones 2.0 carecen de un uso real (al menos no uno que yo les pueda dar :P), aunque si por alguna razón debo registrarme en algún sitio al que sé que no volveré utilizo un correo que tengo exclusivo para esos casos. Por otro lado, tal vez intente el gestor de contraseñas que recomiendas, porque si es cierto que con tanta contraseña es dificil recordarlas todas.
la mejor opcion para todo esto es el open id ya que no tendrias que tener tantos passwords para acceder a todos los lugares
Excelente articulo, muy claro y preciso. Gracias por las recomendaciones.
Creo que OpenId es una buena opcion aunque aun le falta que crezca mas aun. Lo de KeePass si es una genialidad.
soy un re gay
[…] importante conocer algunas reglas básicas para la creación de passwords, que todos deberíamos saber, pero a las que realmente no hacemos caso y podríamos estar poniendo […]
[…] mi uso diario con la Mini 1000, siempre está corriendo Firefox, Pidgin, mi cliente SSH, mi administrador de contraseñas y ocasionalmente […]
es cierto yo aveses no logro inspcrivirme en algunas paginas y me doy por vencido.
estoy un poco molesta por aveses no poderme unirme en algunas paginas y si quieren mi correo es [email protected]
esta muy bueno las recomendaciones tambien esta muy bueno javier
crear hola para mi correo por favor
como poder registrarme
Buenisimo, gracias x la info.
porque no se muestra el programa de chateo con amigos
sin nimgun problema es todo mi comentario
estoy hasta las narices de que para poder bajar algo de muica tengas que registrarte en un foro,empezando por el puteo al que te someten repitiendo una y otra vez tus datos total para no dejar que te registresyhacerte perder tiempo que para mi ae lo mas importante. un saludo y gracias
holaa como te llama love you
Hay otros programas muy buenos de generar y guardar contraseñas, pero son de pago, tal es el caso de RoboForm.