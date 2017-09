Ayer leí el enésimo artículo sobre la necesidad de eliminar las contraseñas como sistema de autenticación, un tema del que se viene hablando desde hace muchísimo tiempo, pero que no termina de pasar. Mientras, la mayor parte de los usuarios que conozco siguen haciendo las cosas mal: utilizando una sola contraseña que reutilizan en todas partes, usando contraseñas absurdamente simples y fáciles de adivinar por cualquiera que dedique un mínimo esfuerzo a ello, o apuntándolas en un post it que pegan detrás de la pantalla.

Nuestra relación con las contraseñas ha ido evolucionando a lo largo de los tiempos. Ahora sabemos, por ejemplo, que consejos como el que cambiemos nuestra contraseña cada cierto tiempo o el de que escojamos contraseñas que contengan mayúsculas, minúsculas, números, caracteres especiales y sonidos guturales emitidos por conejos en celo, que tantas molestias e incomodidades nos han generado en tantas ocasiones, son erróneos, absurdos y no contribuyen significativamente a nuestra seguridad, o incluso la debilitan. Compañías como Apple, con la inclusión del lector de huella en todos los iPhone posteriores al 5S y recientemente en algunos de sus ordenadores portátiles, han conseguido que muchos de los elementos de nuestra seguridad cotidiana pasen de la incómoda contraseña a una huella dactilar que exige ataques indudablemente más profesionales y complejos, no al alcance de todo el mundo, o que, como hacen Google y otros, podamos utilizar un terminal físico como segundo factor de autenticación. Y cada vez más, la popularización de gestores de contraseñas como LastPass, 1Password, NoMorePass y otras, que bien utilizadas, suponen un notable incremento de la seguridad.

Mi secuencia personal ha sido precisamente esa: actualmente, las únicas contraseñas que no gestiono con un gestor, en mi caso LastPass, son aquellas en las que tengo sistemas de autenticación de dos factores, como es el caso de Google. Todo el resto de mis contraseñas, sencillamente, no me las sé. Ni siquiera las conozco. A partir del momento en que adopté LastPass, me planteé la rutina de empezar a sustituir gradualmente todas las contraseñas que tenía en todas partes con otras generadas mediante la aplicación, cadenas de caracteres sin ningún sentido ni significado que resultarían prácticamente imposibles de memorizar. Lo que buscaba era precisamente eso: dejar de memorizar contraseñas, y empezar a autenticarme mediante el plugin o la app correspondiente. En mi caso, además del interés por mejorar mis políticas personales de seguridad, había una razón adicional: son muchas las ocasiones, en clase, en las que tengo que introducir una contraseña para acceder a alguno de los servicios que utilizo, y lo hago habitualmente en una pantalla que está siendo proyectada a mis alumnos. Una de las grandes ventajas de LastPass es que puedo entrar en mi caja fuerte a la vista de todo el mundo sin que se revele absolutamente nada que no deba ser revelado, entrar en los servicios que utilizo desde ahí sin necesidad de que estén en ningún momento a la vista, y transmitiendo además mi información a través de un canal seguro.

Comencé a utilizar LastPass hace ya mucho tiempo. La aplicación fue pasando de ser gratuita para el uso en dispositivos móviles, a serlo para todos los dispositivos, y finalmente, a incrementar el precio de su tramo premium, que pago a gusto desde el principio porque me parece una opción que proporciona un buen valor a cambio de poco dinero. Lo utilizo incluso para los datos de acceso a mis bancos y los de mis tarjetas de crédito. Viví también el momento en que LastPass fue hackeado, y comprobé que esa supuesta situación apocalíptica de tener “todos los huevos en la misma cesta” al que algunos se referían como “el problema de los gestores de contraseñas” no era tal, sino que se reducía a cambiar la contraseña primaria y a ver cómo el robusto cifrado de la aplicación se encargaba de todo lo demás. Si tu gestor de contraseñas es suficientemente bueno, que sea objeto de un ataque no tiene por qué suponer ningún problema.

En la red de hoy, utilizar un gestor de contraseñas es, sin duda, una buena idea. Una manera de cambiar nuestra relación con la seguridad, de plantearnos las contraseñas de otra manera, y de reforzar de una manera clara nuestras buenas prácticas en ese sentido. Seguramente, el porcentaje de lectores en una página como esta que utilizan un gestor de contraseñas es sensiblemente más elevado que en la población general, pero si no lo estás haciendo aún, no es mal momento para empezar.

This post is also available in English in my Medium page, “Forget your passwords”