Tot just el 13 de maig deia que a l’Internauta hem parlat moltes vegades de les contrasenyes i, cada cert temps surten notícies que parlen de la gran quantitat, normalment milions, de contrasenyes robades, aquests dies es parla que un hacker rus n’ha aconseguit més de 272 milions, notícia a Computerwolrd, i que venia per 1 $, doncs bé, aquesta setmana s’ha sabut que els de Yahoo van patir una infiltració fa dos anys en la que els hi van robar més de 500 milions de comptes d’usuari i contrasenyes.
Si hem de fer cas del que ara diuen els de Yahoo, els hi han robat noms, adreces de correu, números de telèfon, dates de naixement, contrasenyes encriptades i, en alguns casos, preguntes de seguretat.
Avui intentarem parlar de com gestionar les nostres contrasenyes, no, no hi ha solució si al proveïdor a qui li heu donat la vostra li prenen, però intentarem que no se us oblidin i que si us les prenen, minimitzeu els danys, i molt abans, parlaré de com fer servir els serveis de ‘verificació en 2 passos’ que ens protegeix quan algú sap la nostra contrasenya.
A més, intentarem fer bondat i tenir unes contrasenyes que compleixin totes els requeriments que alguns llocs posen, encara que, si fem cas als tècnics de seguretat, i de vegades val la pena fer-los cas, el millor seria tenir una contrasenya diferent per cada lloc a on ens volem connectar, però això seria demanar massa.
I, finalment, encara que sembli contradictori, us explicaré com compartir la vostra contrasenya!
Verificació en 2 passos
La millor protecció de les nostres contrasenyes és la verificació en 2 passos, una mica empipadora i un extra de treball, però que lliga la identificació a un lloc web amb algun dispositiu personal que portem a sobre, normalment el telèfon.
Per explicar com funciona la verificació en 2 passos faré servir Gmail, un dels serveis amb més opcions per la segona opció.
Per activar-la, aneu a la configuració del vostre compte quan esteu connectats a gmail.com, feu clic a la vostra icona, i veureu un gran botó blau que diu ‘El meu compte’ i, sota la configuració del vostre compte trobareu ‘Inici de sessió i seguretat’:
Aquí trobareu, a més de l’opció de ‘Verificació en 2 passos’ una opció de ‘Comprovació de seguretat’ que us farà una repassada general de les vostres opcions de seguretat, que us recomano que utilitzeu.
Us podeu trobar que està desactivada:
o bé activada:
si decidiu activar-la, bé això és el que voleu fer, oi?, us trobareu aquesta pantalla:
El primer que haureu d’introduir és el vostre número de telèfon per rebre un SMS o bé una trucada com a segon pas de verificació de la vostra identitat.
Això vol dir que quan us identifiqueu amb el vostre codi d’usuari i contrasenya, us demanarà en codi que rebreu per SMS.
Si en aquell moment no teniu el telèfon a mà, podeu configurar mètodes alternatius, que podeu decidir fer servir en el moment que us demana l’entrada del codi del segon pas, com per exemple:
- Codi de seguretat: unes contrasenyes d’un sol ús que podeu portar i que només us serviran una sola vegada.
- Authenticator, una app de Google que, per cada aplicació que tingui registrada us dóna un codi que dura 30 segons, el codi va lligat a l’aplicació registrada i és diferent per a cada app. Aquesta app funciona amb el que es coneix Time-based One-time Passwor Algorithm (TOTP), un algorisme que calcula una contrasenya d’un sol ús a partir de l’hora i una clau secreta per a cada aplicació registrada.
Com podeu veure amb aquests sistemes el que estem fent és enfortir el nostre sistema de seguretat, però li afegim una mica més de complexitat, recordeu que ser més segur gairebé sempre significa una mica més de feina, per això a can Google podeu especificar quins dispositius són de confiança, dispositius que sempre podeu revocar.
Reviseu les configuracions de les aplicacions que feu servir normalment per activar la verificació en 2 passos i, sempre que es pugui, activeu-la, alguns programes costa de trobar, però us aconsello que busqueu.
Els d’Apple, també li diuen ‘verificació en dos passos’ i afirmen que és diferent de l’autenticació en 2 passos, i per activar-ho a iCloud, està a Configuració, i ‘Gestionar’ sota ID d’Apple
abans de continuar us explica com funciona i perquè l’heu de fer servir, per exemple, que us facin servir el compte per fer compres a l’iTines o l’App Store
també us faciliten una clau de recuperació per si de cas perdeu el telèfon:
i us recomanen, evidentment, que NO la guardeu en el vostre ordinador, el millor és que feu una impressió i guardeu la còpia impresa lluny de l’ordinador.
A aquesta web de twofactorauth.org trobareu una llarga llista de serveix i us informa de qui fa servir i qui no el sistema de dos pasos i us dóna l’opció d’enviar-los un tweet per demanar que ho facin servir, per exemple a Whatsapp:
Com compartir una contrasenya
No, no és una contrdicció amb el que estava dient, poden haver casos en els que necessiteu compartir una contrasenya amb algú, per exemple qui us està ajudant a mantenir el web, accedir al vostre compte de facebook o twitter, sou els qui creue comptes per l’empresa i heu d’enviar el codi d’usuari i la contrasenya, fer-ho en un mateix mail és la pitjor manera de fer-ho, pot ser vist mentre viatja pels routers, es pot veure en un ordinador desprotegit o enviat sense voler a un usuari incorrecte.
El millor que es pot fer és enviar el codi d’usuari per correu i fer servir un servei per amagar la contrasenya d’un sol ús com els de onetimesecret.com. En aquest web entreu la contrasenya i us dóna un link que dura set dies, com aquest:
al que el receptor pot accedir per llegir la contrasenya, UNA SOLA VEGADA, així que si el receptor veu un missatge que li diu que el link no existeix i sabrà immediatament que algú el té i que s’ha de canviar immediatament:
si us registreu, gratuït, podreu fer servir una frase que el receptor l’haurà d’escriure, els secrets duren fins a 14 dies i també us donaran el servei d’enviament de mails als receptors en nom vostre.
Si no us voleu registrar penseu en enviar el link que ensenya la contrasenya per un sistema diferent del que heu fet servir, per exemple per whatsapp o missatges
Un sistema alternatiu és els de d-note.
Estratègia per les contrasenyes
Això que ve a continuació és un resum de l’article complet del 13 de maig del 2016, Com gestionar les contrasenyes, perquè encara que les tingueu protegides amb doble pas, si li prenen a algun proveïdor les poden fer servir a llocs no protegits amb el sistema de doble pas, i és per això que és molt important que NO feu servir la mateixa contrasenya a dos llocs.
Jo he fet quatre categories de contrasenyes, segons les vostres necessitats podeu reduir-les a tres, però això i què hi poseu a cada categoria ja és molt personalitzable, preneu aquesta estratègia com a una idea segur que millorable.
Contrasenyes d’estar per casa
Són les que posem a llocs que no poden fer-nos malbé ni la nostra reputació ni ens poden deixar sense diners, per exemple el codi d’usuari de la subscripció a Vilaweb, el de Netflix, el de la companyia de telefonia, d’aigua o de gas o electricitat, els llocs a on heu comprat un programa i us han obligat a donar les vostres dades, vaja tots aquests llocs que us demanen un codi d’usuari i una contrasenya però que si us la prenen no passarà res greu.
…
Per aquest tipus de contrasenya penseu que heu d’inventar una de 8 caràcters com a mínim, perquè a molts llocs ja us demanen això com a mínim, i que tingui una lletra majúscula i 4 o 6 dígits numèrics, per exemple el número del carrer a on vau viure de solters repetit per arribar als sis dígits, i no, no poseu el pin de la targeta!, hem dit que era una contrasenya que si us la prenen, no us han de fer cap mal!
…
Contrasenyes serioses
Si seguiu la sistemàtica anterior, només haureu d’ampliar el nombre de dígits, penseu en alguna paraula i desendreceu-la, i busqueu algun número que us recordi alguna cosa, no, no valen els vuit dígits de la vostra data de naixement 😃
Dins aquesta categoria hi podeu posar llocs de la web social, com Twitter, Facebook, llocs de compra física, és a dir, que heu d’anar vosaltres a recollir la compra, com un restaurant, són contrasenyes serioses però no crítiques, perquè suposo que vosaltres no sou polítics i ningú voldrà posar res al twitter en nom vostre per deixar-vos malament i si sou polítics, teniu l’excusa perfecta 🙂
Contrasenyes molt importants
Què hi posarem com a molt importants? Cadascú ha de posar en aquesta categoria el que més li importi, però com a exemple jo posaria la contrasenya del Dropbox, a on teniu còpies dels vostres arxius, el compte de Gmail o iCloud segons sigui el vostre dispositiu mòbil, llocs a on compreu coses com Amazon, eBay, o similars i que si us la prenen, poden fer compres i rebre-les a una adreça que no sigui la vostra.
Penseu en una frase a on podeu intercalar números i signes, i penseu com afegir majúscules, per exemple a la darrera lletra de cada paraula.
…
Contrasenyes de diners
Bé, ja sabeu què vol dir això, les contrasenyes dels vostres comptes als bancs i aquí, jo no jugaria, li deixaria a un programa de gestió de contrasenyes que se les inventi i, sobretot, que les recordi, una contrasenya que no tingui cap sentit ni que, fàcilment, un programa pugui endevinar-la, per exemple GfhuhEP8[+j9Wiq8 que l’ha creat automàticament un programa seguint la norma de 16 caràcters amb 3 números i 2 símbols que li he donat jo.
Programes
I ara, com gestionem totes aquestes contrasenyes?, no, no és un bon sistema enviar el pin de la teva targeta bancària per SMS per així tenir-la sempre a mà, el millor és fer servir un programa de gestió de contrasenyes que … tindrà una nova contrasenya que haureu de pensar i recordar 😃
…
És una aplicació que us heu de descarregar al vostre ordinador, tauleta o telèfon. En el vostre ordinador instal·la una extensió al navegador que intercepta quan vosaltres entreu un codi d’usuari i contrasenya mira la vostra base de dades per veure si l’ha d’afegir o bé, si li demaneu, fa servir les dades que té per omplir el formulari d’identificació.
…
Es sincronitza via Dropbox, iCloud, una carpeta en xarxa o via iTunes
Tenen la versió gratuïta, la versió de subscripció ( 5 $ al mes per família ) o la versió de compra d’una sola vegada (64,99 $ però trobareu moltes ofertes per 20-30 $)
És molt similar a 1Password, però no existeix una aplicació d’escriptori, són extensions pel vostre navegador en el cas dels pcs o macs, i apps per dispositius mòbils, les dades estan ben protegides al núvol, és gratuït per un dispositiu però costa 12 $ / any si voleu que se sincronitzi a més d’un dispositiu.
…
Les dades de les vostres contrasenyes es creen i s’encripten a escala local, no als servidors de LogMein, les dades que es guarden ja estan encriptades i ells no hi tenen accés.
No puc deixar de parlar dels programes de software lliure, i el més conegut és KeePass per windows, amb ports per altres plataformes.
Us encoratjo a què proveu una de les opcions, en tot cas és molt més segura que apuntar contrasenyes a una llibreteta, penseu que podeu afegir les contrasenyes per iniciar el mòbil, tauleta, ordinador etc. és molt més corrent del que sembla davant d’un mòbil apagat quedar-se totalment en blanc a l’hora d’escriure la contrasenya o anar a la botiga de telefonia mòbil més propera a què us el desbloquegin, ja sabeu allò dels tres intents!, val la pena invertir uns minuts en la vostra seguretat digital.
