jueves, octubre 21, 2010

Reutilización de contraseñas

En una de las listas de correo que monitorizo por RSS sobre seguridad web se montó un buen debate recientemente a raíz de la tira XKCD que ironizaba sobre lo fácil que es conquistar el mundo a partir de la incapacidad de los usuarios de recordar passwords nuevas o passwords distintas.

La idea es que muchos usuarios, especialmente los menos avezados técnicamente, en muchos servicios, especialmente en aquellos en los que se solicita un correo electrónico como usuario, introducen contraseñas que son:

a) Predecibles: Como el famoso fuck.facebook, fuck.twitter, fuck.gmail del no menos famoso Dan Kaminsky.

b) Reutilizadas: Que ya se ha usado en otro servicio o en otra cuenta. Es un single sign-on creado por el propio usuario.

c) La del correo: Algunos usuarios, especialmente en los servicios que usan la dirección de correo como usuario, al solicitar la página de creación de cuenta el correo electronico y la contraseña, asumen que la contraseña que deben poner es la de su correo y la ponen.

La tira xkcd explicaba como ser el amo del mundo a base de estos fallos. La idea es tan tonta como crear algún servicio molón en el que se pida usuario y contraseña. Símplemente, probando estas contraseñas en los servicios más populares podrías conseguir acceder a un montón de identidades. Un robo, sencillo pero eficaz.



A evitar este problema no ayudan, para nada, todas esas herramientas 2.0 que conectan tu twitter con tu facebook con tu linkedin con tu granja de animales con tu club de fans en el periodico de tu barrido, donde "realmente" se pide tu contraseña.

La alternativa que se ofrece a esto es el uso de sistemas Single-sign on con sistemas centralizados de autenticación. Y a mí esto me acojona también un poco ya que, basta con perder la contraseña de tu cuenta de Google y cae todo lo asociado a ella pero no lo de Windows Live. Pero si usamos una password que autentique en Google, Windows Live, correo corporativo, etc... Alguien te la roba... y adiós identidad en Internet. Además,... ¿estamos seguros de que los sistemas de autenticación descentralizados en Internet ofrecen suficientes garantías a la privacidad de mis cuentas o cuando alguien se enfade en las altas esferas perderé mi "avatar"?

Al final, a día de hoy, en la gestión de la identidad, y con la proliferación de servicios en Internet que tenemos, estamos jodidos....

Saludos Malignos!

12 comentarios:

  1. Interesantisima reflexión. Ya me mando un colega la viñeta en cuestión y tengo que reconocer que a raiz de ella cambié alguna de mis passwords y le di algunas vueltas al tema, pero como tu dices creo que estamos jodidos.

    Por que claro, con TODO lo que se gestiona hoy por Inet, el correo, los bancos, las facturas (teléfono, luz, gas, ...), más paypal, amazon, los nmil foros, ... pues no se tener una contraseña dirente para cada cosa, que ademas sean complejas, es misión imposible, porque o bien tienes memoria de elefante o bien las apuntas en algún sitio, y a mí esto ultimo me parece LO PEOR.

    Mi "solución" personal es manejar cuatro o cinco contraseñas, una para los temas txorras, y luego ya otras para los más serios, Vamos que no creo que sea lo mejor, pero a mi tampoco se me a ocurrido nada mejor.

    Venga, a seguir con este blog tan kojonudo.

    ResponderEliminar
  2. Solo una nota, no es lo mismo un single sign-on que una unificación de contraseñas.

    En uno sólo te autenticas una vez y en el otro te autenticas en cada servicio que lo requiera, eso si, con la misma contraseña (aunque no tiene xq ser el mismo userid ).

    Saludos.

    ResponderEliminar
  3. Por cierto, se me olvidaba, el SSO es más seguro para los usuarios q usan las técnicas q cuentas en tu post, ya q al tener q recordar sólo 1 contraseña puedes requerir más complejidad con menor riesgo de olvido/quejas, o incluso requerir autenticación fuerte.

    Sin embargo creo q es más seguro (q no tiene xq ser lo mejor) usar distintos usuarios y contraseñas complejas para cada servicio (o autenticación fuerte).

    Saludos.

    ResponderEliminar
  4. Personalmente opino que lo mejor es usar un gestor de contraseñas. Yo utilizo keepass. Eso si, como olvides la contraseña maestra estás jodido

    ResponderEliminar
  5. En mi opinión lo mejor siempre va a ser tirar de un generador de claves aleatorias que hay muchos por ahí ya, y almacenar todo con KeePassx que recientemente ha sacado una versión para móviles, así que siempre lo puedes llevar encima.

    Otra técnica común que he visto en muchos casos es utilizar la misma contraseña pero al revés.

    ResponderEliminar
  6. Otra posible solución sería utilizar un protocolo de autenticación distribuida como OpenID, con un proveedor de identidad basado en autenticación fuerte, como por ejemplo el DNIe.

    Aunque no sería una solución ideal para todo. No creo que a los conspiranoicos les haga mucha gracia ir por ahí logueándose con su identidad del Mundo Real en cualquier sitio...

    ResponderEliminar
  7. Este tema me parece interesante.
    Hace tiempo me comentaron sobre un plugin para el navegador que se llama lastpass y la verdad es que resulta muy util pero claro...

    ¿Crees que son suficientemente seguros?
    ¿Que credibilidad podemos darles?

    Un saludo!

    ResponderEliminar
  8. Maligno, como ha salido "Windows Live", me he acordado de una dudilla que me surgio el otro dia.

    Charlando con diferentes personas, he comprovado que en la ultima version de Live Messenger, automaticamente te crea enlaces de algunas palabras a busquedas por ejemplo de imagenes de Bing. ¿Significa eso que Microsoft lee mis conversaciones como hace Google con mis correos? ¡Gracias de antemano!

    ResponderEliminar
  9. @anónimo, lo acabo de instalar y te lee las palábras en local para hacer vínculos a búsquedas de bing.

    Saludos!

    ResponderEliminar
  10. Muy interesante, me ha hecho gracia el apartado c) , puedo confirmar que hay muchos usuarios que entregan sus contraseñas alegremente cuando se las piden amablemente :)

    Pero como ya han comentado no se puede mezclar la inseguridad de dejar la misma password en mil sitios con un SSO, sí, es una única llave que abre muchas puertas, pero está controlada y sabes donde gestionarla o pedir que te creen una nueva si te la roban, cambias todas las cerraduras de un plumazo y recuperada tu identidad ;), diferente a mil llaves idénticas por ahí desperdigadas, no?.

    Si esta llave del SSO, se integra en una federación de identidades y se ofrece autenticación distribuida OpenID (a los proveedores de servicio solo le llegará un identificador opaco del usuario) sí evita un montón de registros.

    Y para las cuentas estúpidas que te obligan a crear y que no vas a volver a usar (yo hoy por ejemplo en oracle para bajar el jdk) pues es inevitable alguna password patodo. Me gusta mas tu método con la foca, recoges el mail pero no obligas a que se creen una cuenta, muy bien :)

    ResponderEliminar
  11. ... pero has perdido tu oportunidad de ser el amo del mundo XD

    ResponderEliminar
  12. Los sistemas tipo OpenID no salvan el problema fundamental de centrar tu identidad en una sola pareja usuario/contraseña, pero al menos evita que tengas que desvelar la información en cada servicio. Eso me parece que es un compromiso interesante, no es la solución final, pero pienso que ayuda bastante.

    ResponderEliminar