Una de les queixes reiterades per part de pràcticament tots els usuaris són els problemes que els implica la gestió de les seues múltiples contrasenyes, ja que ara necessitem una per a quasi tot. Hauria sigut necessari explicar més i millor, no sols per què es decideixen aquestes qüestions, sinó també mostrar els riscos que comporta un mal ús de la gestió de les contrasenyes, així com intentar ajudar a crear contrasenyes perquè no siga un problema més en el nostre dia a dia. És complicat, però ho intentarem.
Hi ha qüestions que són conegudes, com la necessitat d’usar-les quan accedim als nostres serveis, ja que les contrasenyes són la primera barrera de seguretat per a protegir els nostres comptes i la informació que contenen. Però mentre això és obvi, és més complicat entendre per què és necessari ser molt estrictes en el seu ús.
Alguns riscos que correm en facilitar, encara que siga de manera involuntària, el robatori de les nostres credencials poden ser:
- Robatori d’identitat: si algú obté la teua contrasenya, pot accedir als teus comptes i robar la teua identitat, la qual cosa pot portar a fraus financers i altres problemes legals. Imagina que escriu a algú conegut, simulant ser tu. En poder accedir al teu correu, pot saber la forma en la qual et dirigeixes a aquesta persona, contestar a un correu, etc, per la qual cosa pot guanyar-se la seua confiança i aconseguir accés a més informació o fins i tot dades financeres.
- Accés no autoritzat: una contrasenya compromesa pot permetre que un atacant accedisca a informació sensible, com a correus electrònics, documents personals i dades financeres. Això passaria més en un compte de treball, ja que qualsevol persona, en el seu compte institucional, té informació sensible que pot ser utilitzada per tercers.
- Atacs de força bruta: els atacants poden usar programes automatitzats per a endevinar contrasenyes. Les contrasenyes simples i comunes són especialment vulnerables a aquests atacs. Imagineu amb els ordinadors actuals, quant podria tardar a resoldre una contrasenya basada en dates, noms de mascotes, ciutat i any de naixement… les clàssiques.
- Compromís de múltiples comptes: si reutilitzes contrasenyes, un atacant que obtinga una de les teues contrasenyes pot accedir a diverses dels teus comptes, augmentant el mal potencial. Aquest és un risc que es veu sovint. Tenim un compte institucional que considerem segura, però utilitzem comptes gratuïts i utilitzem aquesta mateixa contrasenya, per comoditat. Aquestes webs poden ser molt segures… o no. Quan els ciberdelinqüents, aconsegueixen aquest tipus de contrasenyes el que fan és cercar altres comptes i provar. I moltes vegades tenen sort.
- Pèrdua de dades: l’accés no autoritzat als teus comptes pot resultar en la pèrdua o alteració de dades importants, la qual cosa pot ser devastador tant a nivell personal com professional. Les persones que puguen aconseguir a algun compte teu, a vegades, el que volen és simplement diners per les teues dades, però també poden fer mal i eliminar informació que puga ser important.
Per a evitar tots aquests riscos potencials, podem prendre una sèrie de senzilles mesures, per a evitar el robatori de les nostres credencials. Vegem alguns:
No compartisques MAI les teues contrasenyes
1. Amb amics, companys de treball o familiars: fins i tot persones pròximes podrien posar en risc la teua informació. Ningú sap si la persona que avui ens adora demà ens vulga fer mal. Els nostres comptes són únicament nostres i MAI cal compartir-les amb NINGÚ. I remarquem això de MAI i a NINGÚ.
2. Amb desconeguts o correus electrònics sospitosos: podrien ser intents d’estafa o phishing. Si no hem de compartir-ho amb gent en la qual confiem, és normal que a gent que no tenim relació, menys.
3. Amb aplicacions o llocs web no verificats: podrien ser fraudulents, i això és molt IMPORTANT. A vegades ens donem d’alta en webs de dubtosa reputació o fins i tot una normal, per la qual cosa si compartim contrasenya, hi ha la possibilitat que els propietaris d’aquestes webs o ciberdelinqüents que puguen accedir a aquestes webs, roben les nostres credencials. Un bon consell és SEMPRE utilitzar un compte gratuït per a aquesta mena d’altes en webs externes, i no usar-la mai de compte de recuperació, etc. Només és per a altes en aquesta mena de webs o serveis.
4. En xats públics o xarxes socials: aquests entorns no són segurs per a compartir informació confidencial. Podríem aplicar tot l’anterior a aquest punt.
5. En xarxes Wi-Fi públiques o poc fiables: els teus inicis de sessió podrien ser interceptats, i aquest és un altre dels errors comuns, ja que hi ha xarxes Wi-Fi gratuïtes i totalment legals, però són molt fàcilment suplantades per unes altres que el que desitgen és robar-te totes les teues credencials. És tan senzill de suplantar aquestes Wi-Fi, fins i tot en els llocs originals, que davant el dubte, el millor és no utilitzar-les.
Vist l’anterior, vegem quines altres precaucions podem prendre:
- No uses credencials corporatives en plataformes no autoritzades. Pot exposar el teu compte a atacs de phishing i altres formes de robatori d’identitat. Els atacants poden obtenir accés a informació sensible de l’empresa, la qual cosa pot resultar en pèrdues financeres i danys a la reputació.
- Canvia les contrasenyes per defecte: els dispositius i programes solen venir amb contrasenyes predeterminades que han de ser canviades (encaminadors, dispositius connectats a internet, etc.).
- Tanca sessió en aplicacions web: especialment en dispositius compartits. Hi ha eines que permeten mostrar les contrasenyes usades si s’aconsegueix l’accés físic a l’equip, per la qual cosa si no estem davant de l’ordinador, sempre cal tancar les aplicacions.
- Responsabilitza’t de les teues contrasenyes: Sé conscient de la seua importància i custòdia.
- Usa contrasenyes diferents per a cada servei: evita que una bretxa comprometa múltiples comptes, sobretot, no uses les mateixes contrasenyes per a tasques personals i professionals.
- Utilitza generadors de contrasenyes: els gestors de contrasenyes poden generar i emmagatzemar contrasenyes segures per a tu, evitant la necessitat de recordar-les totes. Aquesta és una solució per a aquelles persones que tenim massa comptes i una certa edat.
- Canvia la contrasenya immediatament si sospites que ha sigut compromesa: aquesta mesura hauria de ser el primer que faces, simplement si tens una lleugera sospita que alguna cosa ha pogut passar.
- Canvia les contrasenyes periòdicament: i evita el truc d’utilitzar sempre la mateixa i canviar l’últim caràcter per un número. Pensem que som els més llestos del món, però és el primer que proven els ciberdelinqüents quan veuen un número al final en la contrasenya.
- Evita usar informació personal: no utilitzes noms, dates de naixement o paraules comunes. Aquestes són fàcils d’endevinar per als atacants. Hi ha sistemes que utilitzen diccionaris d’hackeo i aquest tipus de contrasenyes són les primeres que provaran.
- No uses opcions de recordatori de contrasenyes en navegadors web: és molt còmode, és veritat, però per al qual no ho sàpia, no us imagineu l’amables que són els navegadors a mostrar-nos les contrasenyes desades si accedim a l’ordinador.
- No apuntes les teues contrasenyes en papers o post-its visibles: i més d’una persona s’estarà rient en llegir això, perquè succeeix. Escriure la contrasenya davall del teclat també és una cosa freqüent. Això és especialment perillós en entorns de treball compartits o públics.
- No reutilitzes contrasenyes antigues: si una contrasenya antiga es veu compromesa, reutilitzar-la en el futur pot posar en risc els teus comptes novament. Els atacants sovint proven contrasenyes antigues en nous comptes per a veure si continuen sent vàlides.
Ara com ara, només hem posat pegues, però no hem donat solucions a aquests problemes. Per tant, explicarem com es poden crear contrasenyes complicades d’esbrinar però fàcils de recordar.
Com crear una contrasenya robusta
Com més llarga siga la contrasenya, més difícil serà d’endevinar. Usa almenys 8 caràcters si no s’indica el contrari. #Ací tens alguns exemples i tècniques:
1. Pensa en una frase o diverses paraules:
o Exemple: “MiGatoNegroEsFeliz2024!”
2. Inclou majúscules i minúscules:
o Exemple: “aLiCaNTe#123”
3. Afig alguns números:
o Exemple: “Fi_Verano2024*”
4. Personalitza les teues contrasenyes segons el servei:
o Exemple: “UA_Cloud#2024”
Regles Mnemotècniques
1. Usa una frase com a base i canvia lletres per números:
o Exemple: “M1G4t0N3gr0EsF3l1z!”
2. Mescla dues paraules i inclou números:
o Exemple: “Soc_Enginyera#24”
3. Combina informació coneguda per tu:
o Exemple: “Correu_UA!2.0.2.4”
I, sobretot, si l’eina ho permet (l’ideal és provar si ho accepta) és utilitzar la lletra ñ i la ç en la contrasenya. Si els ciberdelinqüents són estrangers, no tindran aquests caràcters en el seu teclat. A més, com són considerats com a caràcters especials, aconsegueixen que la contrasenya siga més robusta.
Miguel Ángel Alcaraz
Servei d’Informàtica