Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.


Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

Seguridad

He empezado ya con el horario de verano, y por tanto, con esa mentalidad ZEN que me está quemando por dentro, jajaj.

Y puesto que entre todos los temas chulos de la semana solo puedo hacerme eco de uno (he intentado meteros el resto por la newsletter del jueves y la de ayer), he preferido hacerlo con uno que seguramente se te habrá pasado desapercibido.

La cuestión es que recientemente Microsoft anunciaba que tenía como objetivo hacer nuestros dispositivos «Passwordless», es decir, libres de contraseñas.

Por supuesto la alternativa que a muchos se nos viene a la mente es pasar a utilizar Windows Hello y sus sistemas de identificación basados en la biometría, y claro está que buena parte de la noticia va por ese hilo.


Pero lo que me lleva a escribir esta pieza es el vídeo en el que Microsoft explica por qué su PIN es más seguro que cualquier contraseña, contradiciendo precisamente aquella guía de sistemas de identificación que publicaba hace tiempo.

¿Tiene sentido considerar un PIN más seguro que una contraseña alfanumérica?

Partiendo de la base de que un PIN no deja de ser una contraseña numérica, y que para colmo suele tener 4 dígitos, a priori parece algo absurdo. Es más, la mayoría de PINs se pueden descubrir por fuerza bruta (en sistemas desprotegidos, claro) en apenas unos minutos, como explicaba recientemente.

Sin embargo Microsoft agrega un matiz, y es que su PIN se gestiona únicamente en local.

El sistema de login tradicional está asociado a nuestra cuenta de Microsoft, que por supuesto está sincronizada con la nube… y a cuyos permisos probablemente en algún momento hemos dado acceso a algún servicio externo.

Es decir, que al final ese sistema de identificación, pese a ser más robusto frente a ataques puramente locales, es mucho más inseguro para ataques masivos (hackeo a una compañía que tenga acceso a nuestra cuenta exponiendo los datos de millones de usuarios, por ejemplo).

Y sin embargo, el PIN de Windows Hello se gestiona únicamente en local (depende de cada dispositivo), sin compartirse con ninguna nube y sin estar asociado a nuestra cuenta.

Ergo, pese a ser más débil per sé frente a ataques de fuerza bruta, en la práctica es más seguro que el sistema de contraseñas tradicional. Y esto es menor riesgo real.


Por la sencilla razón, y aquí viene la guinda del pastel, de que resulta más sencillo exponer tu cuenta mediante el hackeo de millones de cuentas que hacerlo específicamente atacándote a ti.

Y aunque así fuera, ahí está el propio sistema (Windows Hello) para limitar el alcance de los ataques de fuerza bruta (bloqueos temporales, ya sabes).

En fin, que el paradigma me ha parecido la mar de interesante. Tanto como para que lo haya habilitado en mi ordenador, de hecho :).

Y por cierto, que aún con todo es posible generar PINs en Windows Hello alfanuméricos.Así que al final podemos tener una contraseña la mar de segura pero solo almacenada en local.

Lo mejor de ambos mundos, jeje.

________

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.


Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

Articulo exclusivo PabloYglesias