Volta de clau a la seguretat digital

El mètode més habitual per securitzar una web, una aplicació o un ordinador acostumen a ser els passwords. És el mètode de seguretat digital nadiu per defecte: es basa en alguna cosa que sabem, en el coneixement. Però per més que els guardem encriptats i en fitxers protegits o es donin consells per crear-los molt segurs, els passwords son la baula més dèbil de la cadena de la seguretat: la gent acostuma a fer-ne servir els mateixos, o no vigila gaire on els posa (phising o tècniques d’enginyeria social per aconseguir-los).

Per intentar solucionar aquests problemes la seguretat evoluciona: el reconeixement òptic, les empremtes per securitzar un dispositiu, els certificats digitals o els mètodes de login en dos passos (enviant un identificador al mòbil que després s’ha d’entrar a la web, per exemple). L’usuari (el seu comportament) no és fiable, com és, el que té, o forçar-lo a fixar l’atenció (dos passos) ja ho és més.

Ara Google, Yahoo o Microsoft comencen a provar mètodes d’identificació sense login i en un sol pas, derivant la identificació directament cap al nostre mòbil: volem entrar en un lloc, aquest ens avisa en el nostre mòbil (mitjançant una app) que validem l’entrada i ale-hop!, ja estem dins de la web al dispositiu inicial. Fàcil, molt fàcil, sembla. I segurament, a nivell general, incrementaran la seguretat (nota: un altre motiu per incrementar la seguretat dels nostres mòbils).

Ara bé,: aquests nous mètodes i dispositius no seran accessibles per tothom, només per aquells que tinguin smartphones capaços d’executar les aplicacions. La resta, o qui ho vulgui, podrà seguir fent servir la identificació amb el password tradicional (fins i tot en la identificació amb doble pas no calia tenir un smartphone, només havies de poder un sms amb el pin).

El temps ens confirmarà la utilitat i la fiabilitat d’aquests mètodes.

Però es constata una tendència a basar la seguretat no en allò que sabem (els passwords), sinó en allò que som (retina, empremta dactilar) o, cada vegada més, en allò que tenim.

Una curiosa volta de clau a la seguretat digital: basar-la cada vegada més en allò que tenim, com en la seguretat de tota la vida: qui no té la clau, no entra – només que la clau sembla, cada vegada més, un smartphone.

Contrasenyes i mandra

Mantenir una paraula de pas per cada servei de la web on ets és una murga, en això estem tots d’acord.

Ni tenim memòria per recordar-ho tot, ni apuntar-ho en un post-it a la cartera és el millor, i com que som ganduls de mena i sembla que tot és segur, anem arreu amb una o dues paraules… després passa que tots tenim cada vegada més coses al núvol, ens en refiem més, i quan et crackejen un servei dels importants ja t’agafa mal de ventre… això, és clar, quan te n’assabentes.

Potser cal no ser tan mandrós i començar a ser una mica seriós amb la seguretat informàtica, o és que tenim la mateixa clau pel cotxe, a la feina, a l’escala i a casa? De fet, quan es parla d’aquests afers es sempre s’esmenten els hackers, la criptografia, tècniques d’enginyeria social, phising i més coses… quan una de les coses que més ajuden és la natural tendència al mínim esforç de l’ésser humà.

Jo començo ja a posar diferents claus a cada lloc. I no, no tinc memòria d’elefant, ni ho apuntaré a un post-it… el més fàcil és usar-ne dos o tres i afegir-hi alguna informació mitjançant una regla… que només coneguis tu.

Més que res, per no fer un bot cada vegada que es crackeja algun lloc gran, pensant quan em tocarà a mi…