lunes, julio 20, 2015

De claves, llaves, ganzúas, passwords y seguridad.


Ultimamente tengo que llevar un montón de llaves en el llavero. La puerta de casa, casa de mi madre, el coche, el despacho, el otro despacho, la sala de impresoras, la sala de reuniones, el estudio audiovisual, el candado de la bici… todo ello atado en un mosquetón que hago colgar de una de las anillas para el cinturón porque abulta demasiado para llevar confortablemente en el bolsillo y que los hombres lleven bolso es cosa de los 90’s. 

Por otra parte puedo acceder a algunos espacios de la universidad con un chip que hay en el carné - una llave o dos menos… Viva!!  Pero, ¿no sería maravilloso que con una única llave pudiera acceder a todas mis puertas ?

Los magos de Google, Apple y demás empresas interesadas en domótica ( y nuevos palabros como “Internet de las cosas” - Internet of things - Smart home, smart workplace, Smart patata … ) nos dicen que con NFC ( Near Field Comunication) - como el que están viendo estas últimas semanas en EEUU con Apple Pay y Google Wallet, o las nuevas tarjetas contac-less que nos quieren vender en el Banco - pronto vamos a poder acceder a todo con nuestro smartphone o smartwatch (argh más smarts!!) Para ello tendremos que adaptar nuestros hogares y sitios de trabajo a nuevas tecnologías y confiar en los magos y los unicornios que harán que todo vaya como la seda: O sea, que no nos quedemos tirados en la calle y los cacos no se nos metan en casa. 

Y confiar, confiaremos por supuesto. 

Ahora que en los móviles se ha llegado a un punto donde hay poca diferencia en usabilidad, cámara, pantalla, velocidad …. se abren nuevos frentes en los que diferenciar un producto de otro. Que sean sumergibles, que no se doblen, que sean mágicos y revolucionarios (eso siempre cuenta!), pero seguramente el nuevo campo de batalla va a ser la seguridad. Y para muestra Apple está metiendo en todos sus iParatos  su lector de huellas TouchID, que parece que está unos años por delante de sus competidores. - Si soy un poco fanboy, que le voy a hacer. 

Pero si nos paramos a pensar: estamos pensando en solucionar el acceso a unos pocos espacios físicos y unos pocos medios de pago, cuando el autentico problema es como gestionamos el acceso a docenas y docenas de cuentas de usuario que tenemos esparcidas por internet. Cómo gestionamos nuestras cuentas y passwords, y como los mantenemos seguros cuando sabemos que organizaciones gubernamentales como la NSA, hackers de la mafia rusa, el gobierno chino. ACME y Darth Vader están continuamente intentando acceder ilegítimamente a nuestros datos y equipos.

Hace unos años los administradores de algunos sistemas web se volvieron paternalistas (y toca-huevos) obligando-nos a poner passwords de al menos 8 caracteres incluyendo al menos una mayúscula, una minúscula, una cifra y un chirimbolo. Así pues seguro que todos tenemos passwords tan creativos como “p3Pino?”. 

Si nos paramos a pensar esta política tiene su sentido ya que desactiva los ataques basados en diccionarios. O sea: pruebas sistemáticas usando listas de palabras frecuentemente usadas o probables… (cosas como “ladygaga” “cookiemontser” o “mohinosescocios”). Además obligando a usar todo tipo de caracteres ponemos la combinatoria de nuestra parte. 

Permítanme ahora aburrirles con un poco de matemáticas recreativas :  

Las letras en minúsculas en el alfabeto inglés son 26. Si contamos que vamos a meter passwords de al menos 8 caracteres tenemos 26 elevado a 8 nos da 1,08 seguido de 11 ceros. Mientras que  si podemos usar cualquier carácter ASCII - 127 menos alguna carácter de control, digamos 120 caracteres posibles - elevado a 8 tenemos 4,2 seguido de 16 ceros. 

16 ceros es más que 11 ceros. ¿No? (Si en realidad mis números no son correctos, porque al forzar un elemento en minúsculas, mayusculas, cifras y chirimbolos el cálculo es más complicado y seguro que un par de ceros se caen… pero no vamos a aburrirnos TANTO con matemáticas! )

Pero en realidad lo que sucede es que los diccionarios para hacer ataques incorporan variantes de listillo como mi “p3Pino?” y 4,2 seguido de 16 ceros no es un número de combinaciones lo bastante grande como para ser considerado seguro en criptografía.

En cambio un password como “cadaobejaconsupareha”, fruto de juntar la frase “cada oveja con su pareja” introduciendo 2 faltas de ortografía - ¿las ven? :-) -. O sea !MUY FACIL DE RECORDAR!  Pese a ser una permutación de minúsculas, o sea 26 posibles símbolos no 120… al ser 20 caracteres - y fáciles de recordar, no lo olvidemos … joder!  - no dan tantas posibles combinaciones como 1,6 seguido de 21 ceros. 
O sea, usando un password fácil de recordar solo en minúsculas, simplemente porque es largo es un millón de veces más seguro que una mierda de password como los que tengo que usar en algunos sitios con políticas de seguridad paternalistas. ¿Se lo comentan a su administrador de sistemas favorito un día de estos con un cafe por en medio?  Gracias. 

ps. Si quieren seguir mi recomendación usen un gestor de passwords que les genere auténticos passwords seguros para ir por el mundo. Software como Keepass - que es Open source , cosa realmente importante cuando hablamos de seguridad - o soluciones propietarias como Lastpass o 1Password pueden ser grandes aliados para gestionar vuestras cuentas de forma segura a través de todos vuestros dispositivos. 
Si estas cosas os interesan y deseas saber más sabed que en todo el mundo se organizan cosas llamadas CryptoParys que son eventos en los que expertos en seguridad - no como yo - cuentan a gente inexperta como proteger su identidad digital y todo lo que va con ella. Son eventos gratuitos y se hacen periódicamente. Para saber más http://cryptoparty.in o http://cryptoparty.cat 

No hay comentarios:

Publicar un comentario