Tu política personal de contraseñas
Hace un par de meses, la masiva filtración de tres millones de datos de usuarios de Adobe volvió a poner de manifiesto una máxima que nunca hemos de olvidar: el usuario común no es consciente de los elevados riesgos que corre usando contraseñas simples.
Ni siquiera cuando confías tu contraseña a una empresa aparentemente seria, como Adobe, puedes estar seguro de que la vayan a tratar con la diligencia debida. Por eso, es fundamental contar con una política personal de contraseñas que sea tan práctica como robusta.
De nuestra política de contraseñas pueden depender cosas tan variadas, pero tan valiosas, como nuestra identidad en las redes sociales, nuestros documentos más importantes y, no olvidemos, el acceso a nuestras cuentas corrientes y tarjetas de crédito.
Mi propuesta siempre ha sido la misma: un esquema de tres capas, con contraseñas seguras en todos los casos pero buscando la practicidad:
En el nivel superior, se encuentra la contraseña de nuestra cuenta de correo electrónico principal. Esta es la cuenta que usamos habitualmente y a la que están vinculados nuestros servicios principales. Esta contraseña ha de ser muy robusta, pero suficientemente fácil como para que la podamos recordar y teclear a menudo. Hemos de hacer el esfuerzo de memorizarla, porque podemos necesitarla en circunstancias y ubicaciones de lo más diverso pero, aun así, debe ser compleja: no menos de ocho caracteres (cuantos más, mejor) con símbolos, números, mayúsculas, minúsculas y ninguna relación con nuestros datos básicos ni con términos de uso común. Debe ser aleatoria, no basada en patrones. Además, debes cambiarla a menudo y nunca, repito, nunca usarla en ningún otro sitio. Cámbiala tras introducirla en algún ordenador o red en el que no puedas confiar plenamente. Es la llave de tus más preciados secretos y, posiblemente, de tu caja de caudales, así que tómatelo en serio.
Si hay una serie de sitios a los que realmente puedes necesitar acceder a menudo y desde sitios diversos, sin tener a mano tu gestor de contraseñas (del que hablo más abajo), puedes tener una misma contraseña para varios de ellos. Por ejemplo, para las dos o tres redes sociales que uses más a menudo. Compartir contraseñas entre ellos no es lo ideal, pero hay que buscar el equilibrio con lo práctico. Eso sí, igual que con tu contraseña principal, ha de ser robusta, debes actualizarla a menudo y cambiarla cada vez que la uses en un entorno en el que no confíes plenamente. Si tu memoria te permite usar una distinta para cada uno de esos sitios, mejor para ti.
Finalmente, para el resto de sitios y servicios que utilices, debes usar una contraseña robusta distinta para cada uno de ellos. Sí, una distinta. No confíes en que los administradores de cualquier sitio en el que te des de alta van a proteger tu información. De hecho, no sabes si han creado ese sitio web sólo para recopilar contraseñas de incautos. Como la inmensa mayoría de nosotros no podemos recordar tantas contraseñas complejas, lo ideal es que confíes en un programa como Password Safe (mi favorito) o KeePass (otra buena opción). Son programas gratuitos y de código abierto. Password Safe fue iniciado por Bruce Schneier, reconocido experto en seguridad. Estos gestores de contraseñas te permiten crear una nueva cadena aleatoria para cada servicio en el que te des de alta y almacenarlas en un archivo cifrado al que accedes con una contraseña maestra (que, obviamente, ha de ser robusta y secreta) o con un archivo de claves.
Este esquema de tres capas supone un equilibrio razonable entre seguridad y practicidad. Puedes mejorarlo aún más si, para los sitios del tercer nivel, usas además una cuenta de correo electrónico distinta de la tuya principal y que sólo uses para ese propósito. También, si en todos los lugares donde sea posible habilitas la autentificación en dos pasos.
Finalmente, huye de las "preguntas de seguridad": no las uses. Si te ves obligado, rellena la respuesta con una cadena larguísima de caracteres aleatorios. Son mucho menos robustas que una contraseña segura y cualquiera puede saber la respuesta de muchas de ellas como, por ejemplo, una ex-pareja despechada o alguien que te siga en las redes sociales desde hace tiempo.
Personalmente, uso Password Safe desde hace muchos años. Ahora lo uso en conjunto con pwSafe, un port para iOS que me permite tener sincronizado el archivo de contraseñas entre varios dispositivos a través de DropBox. Como el archivo está encriptado, teóricamente no importa que ande dando vueltas por el ciberespacio.
Si quieres comprobar si tu contraseña es suficientemente robusta, hay muchos servicios gratuitos que te ayudarán. Este de Comparitech es sencillo y eficaz.
Con esta política de contraseñas personal no vas a estar 100% protegido contra las múltiples amenazas a tu privacidad y tu dinero que nos acechan a diario pero, al menos, estarás mucho más protegido que el 99% de los usuarios a tu alrededor.