Contrasenyes - Josep Maria Solanes

Paraula maleïda per a molts, les contrasenyes serveixen per identificar-nos i “protegir” la nostra informació privada. Des del PIN del telèfon mòbil, les targetes de crèdit, el compte del banc, de Facebook, Twitter, correu electrònic i un llarg etc…, les contrasenyes formen part de la nostra vida digital.

Fent el símil a la vida real, les contrasenyes equivaldrien a les portes i panys. Ens permeten disposar, d’una manera o altre, d’espais virtuals “nostres” on en podem controlar certs nivells d’accés, qui entra o en surt.

No és gens recomanable disposar d’una única contrasenya per a tots els comptes.

A l’igual que a casa nostra disposem de la clau de l’entrada, la porta del pis, el garatge, l’armari on guardem els nostres secrets, o bé la porta del menjador, cuina, habitació, etc… i en permetem l’accés a altres persones segons els nostres criteris; les contrasenyes realitzen la mateixa funció en el món virtual. Però no tot s’acaba aquí. A l’igual que en l’entorn físic altres “indesitjables” cerquen la manera d’entrar i prendre allò que més estimem o ens ha costat tant aconseguir, en el món virtual passa el mateix, hi ha “indesitjables” que intenten prendre el que tens. Quan parles d’aquests temes moltes persones diuen que: ja poden entrar, a qui els interessa el que pugui tenir, això només passa a les pel·lícules, no tinc res a amagar, no trobaran res d’interessant… Molt lluny la realitat, no per obviar-ho no passa.

Reflexionem una mica, des de la meva experiència a la província de Tarragona (no a EEUU o qualsevol altre lloc imaginable, que també passa) i no a “grans” empreses (Movistar, Endesa, la Caixa, la NASA, etc….). La majoria de les grans empreses estan molt conscienciades i ja s’ocupen d’invertir i tenir cura de la seguretat i els accessos amb polítiques restrictives, programari, auditories, etc… Precisament els que ho han patit/pateixen més, són els particulars i les pimes; pel desconeixement, per l’argument anterior que a mi mai em passarà, etc… Exemples del què passa perquè ho he viscut a la pròpia pell:

El més “tonto”, basat en la picardia de l’escolar. Quants han copiat en un examen del veí del costat? O han fotocopiat el treball del company? Què fàcil és agafar la clau USB o accedir al compte de correu del company per copiar aquesta feina… I poder copiar l’examen de la setmana vinent que porta el professor en el seu llapis USB?
Espionatge industrial. Un client estava desenvolupant la seva ISO 9000 des de feia 2 anys. No una empresa gran, sinó una pime d’uns 30 treballadors com la majoria que hi ha a la zona. A l’estiu entra un becari a fer tasques de suport. Al cap d’uns dies l’informàtic detecta molta lentitud en l’accés a Internet i al correu electrònic. Investigant s’arriba al compte del becari, que resulta es passa el dia enviant correus electrònics al seu compte personal. Fins aquí encara es podria entendre, si no fos perquè en els correus electrònics hi anaven adjunts tots els arxius de la ISO 9000 i que va resultar que els passava a l’empresa de la competència. Senyors, això és un DELICTE, si. Però el mal ja està fet.
Robatori de la propietat intel·lectual. Empresa de disseny industrial, del tipus pime d’uns 40 treballadors. Registre de patents! Sabeu el valor que té una patent?
Un altre de robatori, empresa de 15 treballadors. Un treballador descontent copia la base de dades de clients amb les seves dades de compres i estadístiques. S’acomiada, no sense abans manipular les dades reals de la base de dades i se’n va a la competència a fer el mateix i trucar als mateixos clients amb una millor oferta!
Reputació de les persones. Apoderar-se del compte del Director d’Operacions, per enviar correus electrònics a treballadors posant verd el Director de Recursos Humans. Aquí ens falten, a més, valors com a persones.
Assabentar-se de secrets. Quantes persones pregunten com es pot fer per entrar al compte de correu electrònic de tal, o accedir al seu Whatsapp, …
Prestigi. Ja sigui empresarial o personal. Casos de ciberassetjament, robatori de fotografies del telèfon, suplantació al Facebook, el cas de les noies de Vaquèira, etc… (la marca empresarial i la marca personal).

Només la imaginació té el límit. I com a molts cops passa, la realitat supera la ficció. Només quan és massa tard ens lamentem de no haver pres mesures preventives abans.

Tinc unes regles bàsiques en matèria de seguretat – privacitat de la informació:

Primera. No hi ha res segur al 100%, el que podem fer és acostar-s’hi, però mai arribar. M’agrada posar en una banda de la balança el valor de la informació i en l’altre les mesures que es poden adoptar, perquè tot estigui equilibrat, ni més ni menys i sempre respectant uns mínims.
Segona. Respectar la Llei Orgànica de Protecció de Dades (LOPD). Són uns mínims de seguretat de la informació. A banda, és Llei en aquest país i, tingueu present, que el desconeixement de la Llei no eximeix el seu compliment. Des del meu punt de vista és increïble haver de posar unes normes tant bàsiques en una Llei. Les mesures descrites a la Llei a aplicar no són res de l’altre món, no són pel Pentàgon, la NASA, els bancs o el què us vingui en aquests moments al cap, simplement és una mica de sentit comú. I ep, la Llei no és només per les empreses, sinó per a qualsevol que reculli o emmagatzemi dades personals.
Tercera. Ser conscient del què faig. Tenir clar que, el que surt pel cable de la línia ADSL, deixa de ser meu o privat. Per moltes contrasenyes que arribi a posar, per molt xifratge que apliqui en un moment o altre aquestes dades poden ser públiques. Si no vull que es conegui o sigui pública alguna cosa, no surt de casa; vaja com tota la vida, la roba bruta es renta a casa.

Bé, després de situar-nos una mica, entrem en matèria.

Què puc fer per minimitzar o eliminar aquests riscs?

El primer que es pot fer és posar una contrasenya DIFERENT i FORTA per a cada servei (Facebook, Twitter, correu, banc, telèfon…) que s’utilitza. Divideix i venceràs. No serveix disposar d’una única contrasenya per a tot, per molt forta que sigui. El simple fet de “robar” la contrasenya permet accedir a tot arreu.

Com recordo una contrasenya per a cada servei i a més a més que sigui FORTA? Què vol dir que sigui FORTA, que va al gimnàs cada dia? Això és massa complicat!

És cert, una persona normal recorda com a molt unes 4 contrasenyes. Contrasenya forta vol dir que és costosa de trobar per una màquina. La millor manera és barrejant lletres minúscules, majúscules, números, símbols i com més llarga millor.

Per a contrasenyes que s’han d’escriure cada vegada el més òptim és substituir les lletres normals per números i símbols. M’explico. Una bona opció és definir un inici de contrasenya llarg afegint a la cua el nom del servei.

Comencem amb la lletra de la cançó preferida, en el meu cas el Boig per tu de Sau, que ja dóna certa longitud:

“En la terra humida, escric, nena estic boig per tu”

Primer, eliminem els espais, mantenim els símbols:

enlaterrahumida,escric,nenaesticboigpertu

Substituïm alguna lletra per números, per exemple la a per un 4 i la i per un 1.

enl4terr4hum1d4,escr1c,nen4est1cbo1gpertu

Posem alguna lletra en majúscula a l’inici de paraula i final. En aquest cas, per no complicar el teclejar, substitueixo la , per un ; i així no he de deixar la tecla de majúscules:

Enl4terr4hum1d4;escr1C;Nen4est1cBo1gperTu

Substituïm alguna lletra per algun símbol, per exemple la l (lletra) amb el símbol | i la t minúscula amb la /

En|4/err4hum1d4,escr1C;Nen4es/1cBo1gperTu

Acabem de generar una contrasenya de 213 bits, això és força gran, és de les FORTES. Per tenir una idea, la contrasenya: “google12” és de 22 bits. Però encara no hem acabat, hem d’associar una contrasenya per a cada servei. Tenint la base, la contrasenya anterior, podem afegir el nom del servei al final separat per una @ o qualsevol altre símbol. Per exemple:

Per a Facebook: En|4/err4hum1d4,escr1C;Nen4es/1cBo1gperTu@F4ceb00k (equival a 262 bits)
Per a Twitter: En|4/err4hum1d4,escr1C;Nen4es/1cBo1gperTu@Tw1//er (equival a 235 bits)
Per a Flickr: En|4/err4hum1d4,escr1C;Nen4es/1cBo1gperTu@F|1ckr (equival a 251 bits)

En alguns llocs, noms llargs (més de 15 caràcters) potser no es permeten i toca buscar noms més curts, però sempre amb la barreja. Agafant l’exemple de “google12”, es pot afegir el nom “contra” al davant seguint la norma anterior:

C0n/r4@G00gle12 (equival a 104 bits en comptes del 22 bits anteriors)

Per a nosaltres ens és relativament fàcil recordar-la, però per un “indesitjable” almenys li costarà trobar-la. Per cert, aquestes no són pas les meves contrasenyes. Una altre regla de sentit comú, NO deixeu les contrasenyes apuntades, almenys en llocs públics i visibles (post-its al costat del monitor).

Ara bé, si el que vull és no haver de recordar les contrasenyes, el millor és utilitzar un gestor de contrasenyes. A partir d’una o més contrasenyes d’entrada (memoritzades seguint el mètode anterior, per exemple) es té accés a tota la resta. Aquesta és la opció que personalment utilitzo i que recomano. Té els seus pros, al posar totes les contrasenyes al mateix lloc, però si tenim cura (no pengem l’arxiu a Internet, fem còpies de seguretat, controlem qui té accés a l’arxiu, té una contrasenya forta i l’arxiu està més o menys xifrat) és el mètode més efectiu per ús personal i per equips de treball.

Per acabar aquesta entrada deixo dues aplicacions, una per a Microsoft Windows i l’altre per a Apple Mac, que utilitzo i fan aquesta funció de forma satisfactòria:

Windows: Keepass. Es distribueix amb llicència GNU v2. I sí, el seu ús és gratuït, però no per això deixa de ser molt valuosa.
Més info a: http://www.keepass.info
Mac: 1Password. Aquesta té un cost, també disposa de versió per Windows, iOS i Android.
Més info a: http://agilebits.com

T’ha agradat l’article? El pots compartir a les xarxes socials, també pots deixar la teva opinió o comentari.
Gràcies!

Què puc fer per minimitzar o eliminar aquests riscs?

Similar Posts by The Author:

Compartir: