¿Qué es eso del doble factor de seguridad? ¿No tengo ya bastante con la contraseña?

Empecé mi segunda entrada (a efectos prácticos la primera) con un tema que consideré básico, pero creo que hay otro más básico todavía. ¿Para qué queremos contraseñas?

Aunque este tema parezca obvio, me gustaría incidir dada la importancia que tiene.

Lo que sale en la imagen es Kali linux. Una distribución de linux para hacking.

Básicamente tiene todo lo que cualquier hacker que se precie, desde script kiddies hasta verdaderos profesionales, puede necesitar para hacer su trabajo, sea para el bien o para el mal. Insisto en esta última parte por un buen motivo. Mucha gente empieza aprendiendo Linux con otras distribuciones, por curiosidad y diversión juega con este tipo de distribuciones y acaban convirtiéndose en verdaderos hackers de sombrero blanco (los buenos), y no nos engañemos, necesitamos hackers buenos. Hoy en día tenemos auténticas organizaciones con hackers de sombrero negro (los malos) trabajando 24 horas al día para romper sistemas de seguridad. Literalmente. Esta web recibe al día cientos de ataques intentando romper las contraseñas de administrador (y no soy nadie, esta web no me da ingresos y no quiero tener más gastos, y desde luego no van a sacar las claves del Pentágono accediendo a esta web).

Todo esto nos lleva al tema original. ¿Qué tienen que ver en esto las contraseñas? ¿Y eso del doble factor?

Las contraseñas son nuestra primera línea de defensa frente a ataques. Una contraseña débil, predecible, corta… es una invitación a malhechores. Y sacarán de nosotros información para hacernos chantaje, desacreditarnos, acceder a nuestros datos bancarios y vaciarnos la cuenta…

El doble factor, en pocas palabras, se basa en un principio de la ciberseguridad. El control de acceso se debe hacer mediante:

  • Algo que yo sé (mi contraseña «sólo» la sé yo)
  • Algo que yo soy (huellas dactilares, escáner de retina…)
  • Algo que yo tengo (una llave de seguridad, mi móvil…)

El doble factor se basa en que debo usar al menos 2 de estos conceptos para acceder a mis sistemas. Por ejemplo, en el móvil, una contraseña (el pin, algo que yo sé) y el escáner de huellas dactilares (algo que yo soy). Siendo muy cautos, cada vez que lo queramos usar deberíamos emplear ambos métodos, pero al final por comodidad sólo se suele emplear uno. Pero por ejemplo, en el banco online suelen requerir doble factor para transacciones de alto valor, pidiendo que se introduzca el pin y además la huella dactilar.

Ahora a lo importante. Como ya hemos dicho, la contraseña es el primer paso. Deberá tener estas características:

  • Tener más de 15 caracteres
  • Incluir mayúsculas
  • Incluir minúsculas
  • Incluir números
  • Incluir símbolos, como el signo de interrogación, el de porcentaje, etc.
  • No ser predecible (tu fecha de nacimiento, tu ciudad de trabajo…)
  • Que no salga de un diccionario, aunque puede ser una frase que no tenga ningún sentido (no copiéis las tres primeras líneas del Quijote, inventaos una frase graciosa o absurda que no hayáis leído en ningún lado) mezclada con números y símbolos
  • No repetir contraseñas en nuestras distintas cuentas

Lo que me dirá todo el mundo es «sí sí, claro… entre pines, pones, contraseña del banco, del correo electrónico, la del ordenador, la del trabajo… bastante tengo con acordarme de lo que desayuné esta mañana como para recordar 40 contraseñas con una longitud semejante al contrato de la hipoteca».

Bueno… sí y no.

Puedes tener una libreta donde apuntas las contraseñas. Lo malo es que esas suelen ser predecibles, porque si tienes que meter 15 caracteres para entrar al banco y tienes que mirarlos uno a uno, para cuando te entras no te hace falta ya.

Por suerte, existen gestores de contraseñas. Estos programas son el equivalente informático a una caja fuerte donde guardar mi libreta.

Básicamente es un programa que te crea un archivo de texto. Una hoja en word de toda la vida. Pero lo que escribamos está encriptado. Google, firefox, edge… nuestro explorador de internet suele tener uno incorporado, pero si no te fías puedes usar un programa externo, como lastpass, keepass, bitwarden, etc.

Estos programas crean un archivo donde vamos a guardar nuestras contraseñas, como si fuera nuestra libreta, y este archivo lo encriptará con uno o varios factores de seguridad. En general siempre pedirán una contraseña, y esa contraseña debe ser fuerte. Lo bueno es que sólo tendremos que recordar una contraseña, no 40, una para cada servicio.

  • Arrancamos el programa
  • Nos pedirá la contraseña maestra para abrir nuestro archivo de contraseñas
  • Vamos a crear una cuenta de correo nueva, así que le pedimos que nos cree una entrada nueva en la lista de contraseñas
  • Le metemos el usuario que emplearemos en el correo
  • Le pedimos que nos genere una contraseña aleatoriamente (ni nos molestaremos en mirarla, le daremos a copiar y pegar)
  • Creamos la cuenta de correo con esa contraseña y ese usuario
  • Guardamos
  • Y ya estaría. Cada vez que queramos entrar en esa cuenta de correo, basta que abramos el programa y le demos a copiar y pegar la contraseña

Os dejo el link de varios de estos programas:

Dejo también un par de imágenes de keepass, para que veáis cómo es:

Esta es la interfaz de usuario. Lo que se ve nada más desbloquear el archivo donde guardamos las contraseñas.

Y aquí vemos qué pasa si abrimos una de las entradas. Vemos que tiene un campo para el nombre de usuario (Michael321) y la contraseña generada automáticamente. 32 caracteres mezclando de todo. Realmente difícil de romper. Salvo que guardéis en esa cuenta las claves del tío Gilito, nadie va a perder más de 5 minutos intentando descifrar esa clave.

Lo dicho. Siempre que podáis usad doble factor de seguridad. No lo he dicho, pero a ser posible que no sea un SMS. Mejor biometría. Huella dactilar o de retina es lo más fiable (o si tenéis un Iphone relativamente nuevo escáner facial). Las contraseñas de un solo uso para otro episodio.

Las contraseñas usad un gestor de contraseñas. Usad una contraseña muy complicada que sea fácil de teclear y recordar, para encriptar el archivo, pero que cumpla los estándares dichos antes. Luego cada vez que creéis una cuenta nueva (o para refrescar las de toda la vida) guardáis aquí las contraseñas como he explicado arriba.

Hasta la próxima entrada.