Os contrasinais non son nada divertidos. Crear un novo contrasinal é un fastidio e recordar máis dun contrasinal é un tanto complicado. Entón… como fas para recordar cada un dos contrasinais para cada un dos servizos que usas? É máis: como os fas máis seguros?

Nesta entrada vou:

O método de autenticación por excelencia

Comecemos polo principio: por que usamos os contrasinais? O contrasinal é o método de autenticación máis típico que moitos servizos usan para verificar a identidade online de alguén. Antes de que preguntes: si, hai outros métodos de autenticación, como os certificados dixitais (como explico nesta entrada), a túa pegada ou chaves de seguridade físicas.

Iconos de seguridade e privacidade

Creado por rawpixel.com - www.freepik.es

Como funcionan os contrasinais? Funcións hash

O punto dos contrasinais é que “só” tes que recordalos. Se os mantés secretos, deberían ser unha proba de que ti eres a identidade detrás dun servizo de login. Entón a pregunta é: como fai Facebook para comprobar o meu contrasinal se son a única persoa que o sabe?

É unha boa pregunta, non? Ben, eu non sei como fai Facebook para gardar os datos :D pero normalmente o que fan servizos como Facebook é usar funcións hash. Unha función hash é unha forma de traducir o teu contrasinal noutro texto (nós chamámolo string) que non ten nada que ver co teu contrasinal.

O divertido das funcións hash é que non son reversibles, pero son deterministas: producen a mesma saída para a mesma entrada. Por isto, podemos usalas deste xeito:

  1. Dislle a Facebook o teu contrasinal contrasinal-seguro
  2. Facebook calcula o hash: bcrypt('contrasinal-seguro') = $2a$10$U.6S1TYS.HFIqt94BBPko.JP8TZPOTRg7p70EzxscG2T59wIF4PZO
  3. Facebook garda o hash $2a$10$U.6S1TYS...
  4. Vas á páxina de login e volves a introducir o teu contrasinal-seguro
  5. Facebook calcula o hash e compara o hash gardado e este novo hash
  6. Se son o mesmo, estás dentro!
Código hash python

Imaxe: Código Python como exemplo dunha autenticación baseada en hashes de contrasinais.

Como de seguro é o meu contrasinal?

Espera. Só tes un contrasinal? Ter o mesmo contrasinal para diferentes servizos ten un risco: se un dos servizos é comprometido, o contrasinal pode ser filtrado e inmediatamente todos os teus servizos volveranse inseguros.

A primeira regra é ter, polo menos, máis dun contrasinal.

Creando contrasinais seguros: fai frases

Quedamos en que as funcións hash non son reversibles. De feito, ninguén pode conseguir os teus contrasinais dun hash, pero os malos da película poden intentar adiviñalas. Como?

O ataque máis famoso para adiviñar un contrasinal a partir dun hash é usando ataques de dicionario. Un atacante ten un dicionario con diferentes combinacións de caracteres e símbolos. Con este, pode calcular o hash de cada palabra incluída no dicionario e comparala ao hash do teu contrasinal. Se son o mesmo, teñen o teu contrasinal.

Entón, un contrasinal seguro é aquel que é menos probable que un atacante vaia probar nun período de tempo razoable. Obviamente, unha única palabra ou a túa data de nacemento non son contrasinais seguros.

Aquí o meu consello sobre como crear contrasinais seguros: fai frases. Por exemplo, un contrasinal seguro é: nonteno!NINIDEA!defacer10Contrasinais ou 2020foiO-PEOR-ANOdahistoria:D.

Como de seguro é un contrasinal

Imaxe: Como de seguro é o contrasinal ihave!NOIDEA!building10Passwords.

Cambiando o teu contrasinal con frecuencia

Imos imaxinar que o teu contrasinal de Facebook foi comprometido pero non o sabes. Primeiro, tamén imos asumir que es un usuario intelixente e non vas usar o mesmo contrasinal para Facebook e para a túa conta de correo vinculada.

O problema é que este contrasinal vai ser válido ata que o cambies. Calquera que teña o teu contrasinal vai ser capaz de acceder á túa conta de Facebook durante este período de tempo. Se tes unha política para rotar os contrasinais, o tempo que o atacante ten acceso á túa conta será limitado.

Xestores de contrasinais: necesítalos

Necesitas xestores de contrasinais pero non sabías que existían. Rotar contrasinais frecuentemente, crear e recordar máis dun contrasinal seguro é difícil. Que tal un sistema seguro que che axude con isto? Aquí mostrarei dúas opcións que creo que son as máis adecuadas para a maioría de usuarias, ambos Código Aberto.

Estas aplicacións gardan todos os teus contrasinais nun sitio, para que non teñas que recordar cada un dos servizos e contrasinais que usas. É máis, estes poden crear contrasinais seguros e establecer unha política de renovación. Como protexen os teus contrasinais? Ben… con outro contrasinal.

TL;DR: Os xestores de contrasinais gardan todos os teus contrasinais para que só teñas que recordar 1 contrasinal.

Online: Bitwarden

Bitwarden é unha aplicación web e de escritorio de Código Aberto. Cal é o beneficio de ter un xestor de contrasinais online? Simple: ter tódolos teus contrasinais dende calquera lugar, para que poidas acceder dende calquera dispositivo e que sigan sincronizados.

Panel de control de Bitwarden

Imaxe: Panel de control de Bitwarden https://bitwarden.com/.

Podes crear unha conta e descargar o software da súa páxina web: https://bitwarden.com/. Despois, podes usar a súa aplicación web ou as súas solucións para escritorio, dispoñibles na súa páxina. Bitwarden permite crear cartafoles, usar códigos de dobre-factor de autenticación e engadir anexos ás túas entradas. Ademais, podes compartir con alguén os contrasinais que queiras creando unha organización.

Editar un contrasinal en Bitwarden

Imaxe: Editar un contrasinal en Bitwarden https://bitwarden.com/.

Alternativas online a Bitwarden:

Manteno no teu ordenador: KeePassXC

Aínda que ter os contrasinais en tódolos sitios e de sincronizados pode ser útil, non é a forma máis segura de usar un xestor de contrasinais. KeePassXC é un xestor de contrasinais offline que garda toda a base de datos de contrasinais nun arquivo gardado no teu ordenador.

Abrir base de datos de KeePassXC

Imaxe: Abrindo a base de datos de KeePassXC (https://keepassxc.org/).

Por suposto, este arquivo está encriptado e só pode abrirse cun contrasinal seguro que tes que recordar. O maior beneficio disto é que tes un control total sobre os teus contrasinais. É máis, KeePassXC tamén che permite asegurar máis a túa base de datos usando tokens hardware ou un certificado dixital. Para usalo, só tes que abrir o arquivo coa aplicación de escritorio e o teu contrasinal mestro.

Opcións de encripado de KeePassXC

Imaxe: Opcións de encripado do arquivo da base de datos (https://keepassxc.org/).

KeePassXC ten moitas funcionalidades, dende usar códigos TOTP a servir como almacén de claves SSH. Porén, dúas das opcións máis interesantes son a funcionalidade de Auto Type e as Extensións de navegador. Estas permiten evitar copiar o usuario e contrasinal no portapapeis. Aínda que KeePassXC limpa o portapapeis nun período curto de tempo, é máis seguro que KeePassXC execute pulsacións de teclado para escribir o teu contrasinal no formulario de login.

Base de datos KeePassXC

Imaxe: Os teus contrasinais en KeePassXC (https://keepassxc.org/).

Extensións de navegador:

Conclusión: de que vai todo isto?

Os contrasinais non son divertidos pero necesitámolos, polo menos por agora. O meu consello é empezar a usar un xestor de contrasinais.

A mellor opción é usar un xestor de contrasinais offline como KeePassXC (o meu preferido).

As vantaxes principais son:

  • Contrasinais longos, fortes e seguros.
  • Saber cada conta que tes.
  • Non che vai importar cambiar un contrasinal: non tes que acordarte del.
  • Só tes que recordar un único contrasinal seguro.

Obri! Espero que aprendeses como manter os teus contrasinais seguros de agora en diante :D