Activisme i ús de les TIC/Les contrasenyes
Ens estalviarem, per òbvia, l’explicació de perquè és important tenir contrasenyes d’accés robustes als nostres serveis.
Sí que sembla necessari (tot i que resulta igualment obvi) insistir en que cal:
- fer servir una contrasenya diferent per a cada servei
- que les contrasenyes siguin de qualitat, i
- canviar-les de tant en tant
Tipus d’atacs
[modifica]Les contrasenyes dels nostres serveis poden patir, bàsicament, dos tipus d’atacs:
- PERSONAL: fet per algú que et coneix -o que sap moltes coses de tu-, que provarà d’accedir emprant i combinant dades personals teves i del teu entorn proper: dates assenyalades (naixement, casament, paternitat, etc.), noms de persones, mascotes o poblacions, coses preferides (menjars, plantes, llibres, etc.)... Per a defensar-nos d’aquest tipus d’atac és convenient que la contrasenya no es construeixi sobre informació que ens concerneixi directament o indirecta.
- DE FORÇA BRUTA: la patirem si algún atacant accedeix a una llista de contrasenyes violant una web en la que la tinguem hashejada. Podem protegir-nos d’aquesta mena d’atac senzillament emprant una contrasenya llarga, poc usual i que incorpori lletres majúscules i minúscules, números, símbols...
No obstant, recordar nombroses contrasenyes sense cap referència personal en cap d’elles, llargues i amb caràcters poc usuals és gairebé impossible. Per això s’ha popularitzat l’ús de programes i/o apps que ens ajuden a gestionar les contrasenyes. Sigui quina sigui l’opció que utilitzeu, la seguretat de les vostres contrasenyes descansarà en última instància en la contrasenya mestra. Cal assegurar-se que és de qualitat.
La contrasenya mestra
[modifica]A internet trobareu un munt de webs amb consells i sistemes per a aconseguir una contrasenya mestra segura.
Un d’exemple: partim d’una frase d’una pel·lícula, llibre o poema, com ara:
“Con diez cañones por banda viento en popa a toda vela”
i ho reduïm a un acrònim:
“Cdcpbvepatv” (resistiria un atac de força bruta un màxim de 6 anys)
si li canviem la “d” de diez per un “10” queda:
“C10cpbvepatv” (resistiria un atac de força bruta un màxim de 3.000 anys)
i si la “c” de “cañones” la canviem per la “ñ” (que apart d’una lletra és un símbol poc freqüent en la majoria d’idiomes, i fins i tot inexistent en molts teclats) obtenim:
“C10ñpbvepatv” (resistiria un atac de força bruta un màxim de 15.000.000 d’anys)
A veure, 15 milions d’anys... a nosaltres, ja ens valdria. Però es podria seguir millorant la contrasenya augmentant-ne el nombre de caràcters i/o afegint-hi símbols (&%·#+*/<, etc.), per exemple. Això sí: recordeu sempre com l’heu construït, de manera que sempre podreu reconstruïr-la (recordar-la).
Quan creieu que ja la teniu, feu el favor de comprovar-ne la seva robustesa: https://passwd.criptica.org/passfault-jsonService/password_strength.html
Programes de gestió de contrasenyes
[modifica]Podríem classificar els programes de gestió de contrasenyes en dos grans tipus: online i offline.
ONLINE: Emmagatzemen la informació al núvol (i ja sabem que “el núvol” no existeix, amiguets/es; són els servidors/PC’s d’algú altre...) i aquesta característica, tot i que el fa una mica més vulnerable, també el fa molt més còmode, perquè permet la sincronització entre els teus diferents dispositius.
OFFLINE: La informació s’emmagatzema localment, a la memòria del teu dispositiu, o d’algun dispositiu al qual l’hagis copiat tu mateix (un pendrive, per exemple).
Un i altre tipus de programes gestors no són incompatibles. És a dir, es pot fer servir un gestor online per a la majoria de serveis (la qual cosa us aportarà comoditat d’ús) i també un d’offline per a algun/s servei/s més “sensibles” (normalment aquells als quals accedireu des d’un PC de sobretaula i a través de TOR). Això sí: tot i que un gestor offline us ofereix major seguretat, us heu d’assegurar molt i molt de no extraviar-lo, perquè la pèrdua seria definitiva.
Si la vostra opció és un programa gestor de contrasenyes, recordeu activar les opcions de captura automàtica de la contrasenya i d’integració amb el Firefox; us farà la vida molt més fàcil. I sobretot, activeu les actualitzacions automàtiques del programa.
Una possible mesura afegida de seguretat que ofereixen molts programes de gestió de contrasenyes és l’autenticació en dos passos. Tot i que com a pràctica de seguretat en general és altament recomanable, cal tenir clar que aquest “segon pas” acostuma a ser la introducció d’un codi PIN que t’envien al mòbil. Aquest sistema, doncs, no resulta adequat implementar-lo en l’ús de dispositius o serveis relacionats amb el vostre activisme, perquè us delataria automàticament.
Generadors de contrasenyes
[modifica]Són l’alternativa als programes de gestió de contrasenyes. Són aplicacions “hashers” (que què és un hash? llegiu això: https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/) que apliquen algoritmes i generen contrasenyes úniques i complexes a partir d’una contrasenya mestra i de la URL de la web a què et vols connectar. No guarden cap contrasenya, per la qual cosa són inviolables i no les pots perdre. No necessites sincronització entre dispositius. Senzillament, has de recordar la contrasenya mestra. A https://victorhck.gitlab.io/privacytools-es/ ens en recomanen algunes: https://masterpassword.app/, https://chriszarate.github.io/supergenpass/ o https://lesspass.com/#/
La nostra recomanació: LessPass
[modifica]LessPass és molt senzill d’utilitzar i és de codi obert.
Al PC
[modifica]Al PC s’hi instal·la com a complement del Firefox, i queda fixat a la barra d’eines. Quan hagis d’ingressar la contrasenya d’accés en alguna web o servei, simplement clica al damunt i s’obre una finestra. Et demanarà:
- l’adreça de la web a la que et connectes (www.instagram.com; twitter.com; etc.). Normalment ja te la posarà ell mateix.
- el teu nom d’usuari (nick) al servei
- la teva contrasenya mestra
Cliques al botó “Generate” i a sota apareix un requadre amb la contrasenya. Pots veure-la clicant el requadre amb l’ull.
Finalment, cliques sobre la casella blava de l’esquerra i un petit menú contextual apareix i t’informa de que ja s’ha copiat la contrasenya (copied!).
Ja només es tracta d’enganxar-la a la casella de contrasenya de la web o servei. I ja està. És més llarg i difícil explicar-ho o llegir-ho, que fer-ho.
A Android
[modifica]Has d’instal·lar l’app des del PlayStore.
Abans d’accedir a un servei, primer clica sobre la icona de LessPass i se t’obrirà la seva pantalla. A partir d’aqui, segueix les mateixes instruccions de més amunt fins a copiar la contrasenya generada.
Llavors, tanques LessPass i obres l’app del servei en qüestió (instagram, facebook…), escrius el teu nick identificatiu i a la casella de contrasenya enganxes la que tens copiada. Et voilà.