Activisme i ús de les TIC/Les contrasenyes

Les contrasenyes

---

El sistema DNS. Vulnerabilitats         El xifrat

---

del llibre Activisme i ús de les TIC

Ens estalviarem, per òbvia, l’explicació de perquè és important tenir contrasenyes d’accés robustes als nostres serveis.

Sí que sembla necessari (tot i que resulta igualment obvi) insistir en que cal:

• fer servir una contrasenya diferent per a cada servei
• que les contrasenyes siguin de qualitat, i
• canviar-les de tant en tant

Les contrasenyes dels nostres serveis poden patir, bàsicament, dos tipus d’atacs:

• PERSONAL: fet per algú que et coneix -o que sap moltes coses de tu-, que provarà d’accedir emprant i combinant dades personals teves i del teu entorn proper: dates assenyalades (naixement, casament, paternitat, etc.), noms de persones, mascotes o poblacions, coses preferides (menjars, plantes, llibres, etc.)... Per a defensar-nos d’aquest tipus d’atac és convenient que la contrasenya no es construeixi sobre informació que ens concerneixi directament o indirecta.
• DE FORÇA BRUTA: la patirem si algún atacant accedeix a una llista de contrasenyes violant una web en la que la tinguem hashejada. Podem protegir-nos d’aquesta mena d’atac senzillament emprant una contrasenya llarga, poc usual i que incorpori lletres majúscules i minúscules, números, símbols...

No obstant, recordar nombroses contrasenyes sense cap referència personal en cap d’elles, llargues i amb caràcters poc usuals és gairebé impossible. Per això s’ha popularitzat l’ús de programes i/o apps que ens ajuden a gestionar les contrasenyes. Sigui quina sigui l’opció que utilitzeu, la seguretat de les vostres contrasenyes descansarà en última instància en la contrasenya mestra. Cal assegurar-se que és de qualitat.

A internet trobareu un munt de webs amb consells i sistemes per a aconseguir una contrasenya mestra segura.

Un d’exemple: partim d’una frase d’una pel·lícula, llibre o poema, com ara:

“Con diez cañones por banda viento en popa a toda vela”

i ho reduïm a un acrònim:

“Cdcpbvepatv” (resistiria un atac de força bruta un màxim de 6 anys)

si li canviem la “d” de diez per un “10” queda:

“C10cpbvepatv” (resistiria un atac de força bruta un màxim de 3.000 anys)

i si la “c” de “cañones” la canviem per la “ñ” (que apart d’una lletra és un símbol poc freqüent en la majoria d’idiomes, i fins i tot inexistent en molts teclats) obtenim:

“C10ñpbvepatv” (resistiria un atac de força bruta un màxim de 15.000.000 d’anys)

A veure, 15 milions d’anys... a nosaltres, ja ens valdria. Però es podria seguir millorant la contrasenya augmentant-ne el nombre de caràcters i/o afegint-hi símbols (&%·#+*/<, etc.), per exemple. Això sí: recordeu sempre com l’heu construït, de manera que sempre podreu reconstruïr-la (recordar-la).

Quan creieu que ja la teniu, feu el favor de comprovar-ne la seva robustesa: https://passwd.criptica.org/passfault-jsonService/password_strength.html

Podríem classificar els programes de gestió de contrasenyes en dos grans tipus: online i offline.

ONLINE: Emmagatzemen la informació al núvol (i ja sabem que “el núvol” no existeix, amiguets/es; són els servidors/PC’s d’algú altre...) i aquesta característica, tot i que el fa una mica més vulnerable, també el fa molt més còmode, perquè permet la sincronització entre els teus diferents dispositius.

OFFLINE: La informació s’emmagatzema localment, a la memòria del teu dispositiu, o d’algun dispositiu al qual l’hagis copiat tu mateix (un pendrive, per exemple).

Un i altre tipus de programes gestors no són incompatibles. És a dir, es pot fer servir un gestor online per a la majoria de serveis (la qual cosa us aportarà comoditat d’ús) i també un d’offline per a algun/s servei/s més “sensibles” (normalment aquells als quals accedireu des d’un PC de sobretaula i a través de TOR). Això sí: tot i que un gestor offline us ofereix major seguretat, us heu d’assegurar molt i molt de no extraviar-lo, perquè la pèrdua seria definitiva.

Si la vostra opció és un programa gestor de contrasenyes, recordeu activar les opcions de captura automàtica de la contrasenya i d’integració amb el Firefox; us farà la vida molt més fàcil. I sobretot, activeu les actualitzacions automàtiques del programa.

Una possible mesura afegida de seguretat que ofereixen molts programes de gestió de contrasenyes és l’autenticació en dos passos. Tot i que com a pràctica de seguretat en general és altament recomanable, cal tenir clar que aquest “segon pas” acostuma a ser la introducció d’un codi PIN que t’envien al mòbil. Aquest sistema, doncs, no resulta adequat implementar-lo en l’ús de dispositius o serveis relacionats amb el vostre activisme, perquè us delataria automàticament.

Són l’alternativa als programes de gestió de contrasenyes. Són aplicacions “hashers” (que què és un hash? llegiu això: https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/) que apliquen algoritmes i generen contrasenyes úniques i complexes a partir d’una contrasenya mestra i de la URL de la web a què et vols connectar. No guarden cap contrasenya, per la qual cosa són inviolables i no les pots perdre. No necessites sincronització entre dispositius. Senzillament, has de recordar la contrasenya mestra. A https://victorhck.gitlab.io/privacytools-es/ ens en recomanen algunes: https://masterpassword.app/, https://chriszarate.github.io/supergenpass/ o https://lesspass.com/#/

LessPass és molt senzill d’utilitzar i és de codi obert.

Al PC s’hi instal·la com a complement del Firefox, i queda fixat a la barra d’eines. Quan hagis d’ingressar la contrasenya d’accés en alguna web o servei, simplement clica al damunt i s’obre una finestra. Et demanarà:

• l’adreça de la web a la que et connectes (www.instagram.com; twitter.com; etc.). Normalment ja te la posarà ell mateix.
• el teu nom d’usuari (nick) al servei
• la teva contrasenya mestra

Cliques al botó “Generate” i a sota apareix un requadre amb la contrasenya. Pots veure-la clicant el requadre amb l’ull.

Finalment, cliques sobre la casella blava de l’esquerra i un petit menú contextual apareix i t’informa de que ja s’ha copiat la contrasenya (copied!).

Ja només es tracta d’enganxar-la a la casella de contrasenya de la web o servei. I ja està. És més llarg i difícil explicar-ho o llegir-ho, que fer-ho.

Has d’instal·lar l’app des del PlayStore.

Abans d’accedir a un servei, primer clica sobre la icona de LessPass i se t’obrirà la seva pantalla. A partir d’aqui, segueix les mateixes instruccions de més amunt fins a copiar la contrasenya generada.

Llavors, tanques LessPass i obres l’app del servei en qüestió (instagram, facebook…), escrius el teu nick identificatiu i a la casella de contrasenya enganxes la que tens copiada. Et voilà.