El segundo factor de autenticación es el único sistema seguro

doble factor

No voy a descubrir la pólvora en este artículo, pero es algo que lleva rondándome la cabeza todo este tiempo.

Hasta el punto que últimamente ha cobrado más importancia que la paranoia habitual que me forzaba a rendirme ante sistemas cada vez más complejos.

Tres han sido los detonantes de esta maquiavélica erudición. O han sido la causa que buscara una excusa para mi cambio de pensar (es difícil saber qué fue antes…). ¿Será que me estoy volviendo viejo y vago? ¿Será que empiezo a anteponer la comodidad a la seguridad?

A ver qué opina usted.

Patrón de desbloqueo frente a contraseñas alfanuméricas

El primero, hace un par de días. Mi Samsung Galaxy Note 2 iba cada vez peor. Un lag que me ponía de los nervios. Cada vez que quería hacer algo, tocaba esperar a que el cacharrito cargara. Y esto era un problema cuando además, para desbloquearlo, necesitaba ingresar una contraseña alfanumérica.

Antes de tener el Note 2, fui un orgulloso usuario de un S II (en serio, pedazo de móvil), y precisamente el cambio a una pantalla más grande (con el aumento de líneas disponibles para el teclado, que ahora incluía a simple vista también los números) me permitió dar por fin el paso que esperaba.

Cifré tanto el disco interno como la SD del dispositivo. Y al hacerlo, esto me obligaba a pasar de la contraseña por patrón que por aquel entonces tenía, a una alfanumérica.

El tener el dispositivo cifrado te obliga a que cada vez que lo reinicias le tengas que meter esa contraseña. Es un paso anterior a la carga del sistema, lo que hace que se vuelva a reiniciar para ya cargar todos sus componentes. Pero sobre todo, meter una contraseña alfanumérica cada vez que tienes que desbloquearlo es muy muy molesto. Más cuando el terminal ya no responde igual que al principio, y acabas por encontrarte en situaciones donde encima te confundes o el móvil no responde correctamente y metes varias veces mal el pass, teniendo que esperar 1 minuto de castigo para seguir intentándolo.

¿Qué ha pasado hace dos días? Que he acabado por resetear a fábrica el chisme. Tanto disco interno como SD, previa copia de seguridad (imágenes, porque el resto no me importaba perderlo).

Y al hacerlo, he descubierto dos cosas:

  • Primero, que Google ha trabajado mucho en facilitar el cambio de terminal a un usuario: Ha sido meter mi cuenta (activar el doble factor de autenticación previa llamada a mi madre, que la pobre estaba durmiendo), y él solito se ha puesto a descargar algunas de las aplicaciones que ya tenía instaladas anteriormente. No todas, pero muchas, lo cual se agradece. Con un repaso al historial de Google Play, y alguna otra que tengo instalada fuera del market (lo sé, vivo al límite 🙂), unas cuantas configuraciones de rigor, y corregir algunos ajustes puntuales que solo ves después de uno o dos días de uso, en cuestión de media mañana ya tenía el Note 2 como nuevo. Y de paso he descubierto algunas actualizaciones de apps que ya no usaba (Calendar, Docs,…) que me han hecho volver a depender aún más de Google.
  • Segundo, que de repente, tanto cifrar el dispositivo como instalarle una aplicación externa de anti-theft, ya no tiene tanto sentido: Es decir, sabedores de que la seguridad del cifrado y reseteo de disco está estos días en entredicho (EN), y que Google y Samsung han habilitado su propio sistema de monitorización en caso de pérdida, ¿me voy a molestar en hacer estos pasos? ¿Tengo que sufrir las inclemencias de una contraseña alfanumérica cuando de media, insertar el patrón me lleva 8 veces menos de tiempo?

¿Es más seguro el patrón de desbloqueo que la contraseña alfanumérica? No, pero es que a día de hoy la industria del crimen tiene herramientas de alto rendimiento que funcionan como servicio y que se saltan prácticamente cualquier contraseña en cuestión de muy muy poco tiempo. Y con poco tiempo hablamos a veces de hasta segundos.

Que si alguien me roba el terminal, y es un cibercriminal, le va a dar igual que tenga una contraseña alfanumérica o un patrón de desbloqueo. Que si alguien me roba el terminal y no tiene ni idea de seguridad informática, le va a dar igual que tenga una contraseña alfanumérica o un patrón de desbloqueo. Punto.

El patrón de desbloqueo no es más seguro, pero al menos es muchísimo más cómodo para el día a día, y si pongo actualmente en la balanza esa diferencia frente a la enorme comodidad que me ofrece, la respuesta es obvia.

Y esto me ha pasado con el smartphone, y también con mi flamante HP Spectre x360. Ha sido pasar de portátil a ultrabook con pantalla táctil, y me he olvidado de volver a meter contraseña de desbloqueo.

Con un teclado delante (suponiendo que lo esté usando como portátil y no como tablet o como expositor), aquí las diferencias en rapidez son mínimas, pero ¿y lo molón que queda trazar cuatro garabatos encima de tu foto (¡egocéntrico!) para desbloquearlo?

Eso, nuevamente, no tiene precio.

Mantener las contraseñas “seguras” se hace por momentos insostenible

Es la realidad del entorno tecnológico donde nos movemos. No basta con tener una contraseña larga, compleja y sin sentido aparente. Encima hay que cambiarla cada X tiempo.

Y esto, cuando en nuestro día a día usábamos tres o cuatro contraseñas, cuando el mundo digital no estaba tan conectado, pues era fácil. ¿Pero ahora?

Me toca cambiar la contraseña de Google. Muy bien.

  • Entro desde mi portátil a la página de Google, y la cambio.
  • Me toca ahora actualizar el perfil de Chrome del portátil.
  • Sin olvidarnos de aquellos servicios que se loguean con la cuenta de Google.
  • También la cuenta de Google del sistema operativo (por eso de la sincronización con Drive, Calendar y CIA).
  • Ahora vamos al smartphone, y más de lo mismo (cuenta del SO más cuenta de cada una de las apps).
  • Ahora vamos a la tablet, y repetimos el proceso.
  • Y todavía nos queda el ordenador de casa, y el ordenador de casa de los padres, y el del vecino, y el de…

¿Hemos terminado? No, solo hemos cambiado la cuenta de Google. Ahora póngase a repetir el proceso con la de Facebook, con la de Twitter, con la de Amazon, con la de Microsoft, con la de Apple, con la de… Y esto por favor me lo repita cada mes.

¿Estamos locos?

Sistemas biométricos

Si me hubieran preguntado hace un año sobre mis impresiones con los sistemas de autenticación biométrica, hubiera dicho lo esperable: Ni por todo el dinero del mundo delego la seguridad de mi información en un sistema que tiene una debilidad tan acentuada.

Y entonces llega Apple Pay, y demuestra que aunque esa vulnerabilidad sigue y seguirá estando presente, una gestión acertada y dual de la identidad en local y un token generado en el momento (y no identificativo) en los servidores de la compañía, puede minimizar los problemas de robo de patrón biométrico.

La comodidad vuelve a ganar enteros. Porque poner el dedo en un lector es incluso más cómodo que dibujar un patrón en una pantalla.

Y la seguridad, prácticamente, vuelve a ser la misma.

Tanto que seguramente mi próximo terminal vendrá con lector de huellas dactilar. Me estoy haciendo viejo…

Autenticación en dos pasos

Así llego al quid de la cuestión. Años peleándome con la generación de un patrón semi-aleatorio (soy humano, y necesito algo en lo que basarme para no olvidar la infinidad de contraseñas que tengo) para que ahora caiga en la consideración que conforme más avanza la tecnología, más expuestos estamos a que los sistemas de seguridad basados en el conocimiento sean “fácilmente” explotables. 

Y esto es solo la punta del iceberg de lo que nos espera. Me comentaba muy acertadamente en una charla el otro día con un profesional del sector que todo el paradigma de seguridad que tenemos ahora montado se irá al cuerno tan pronto los primeros ordenadores cuánticos entren en el juego. Y al paso que vamos, llegarán dentro de poco.

Así pues, “que me quiten lo bailao“. El único método que de verdad me da seguridad hoy en día es la doble autenticación, y de ahí que la tenga activa en cuantos servicios me lo permiten. Que sí, que soy consciente que algunos de estos servicios (Google, Facebook, Twitter,…) la están usando como nexo de unión entre mi identidad física y mi identidad digital, pero mire, si tengo que además preocuparme porque los cuatro grandes (falta Amazon para ver la ecuación al completo) me estén espiando en pleno 2015, apague y vayámonos.

Autenticación en dos pasos, y luego patrón, o huella dactilar o lo que le sea más cómodo. Así al menos tienen que hackearle y robarle físicamente el terminal. O hackearle dos veces… O encontrar alguna vulnerabilidad en el sistema…

De algo hay que morir :).