Dando sentido a las preguntas de seguridad

En los últimos tiempos he tratado de mejorar la seguridad de mis contraseñas en internet. Antiguamente tenía varios juegos de contraseñas en base a la confianza que me daba el sitio en cuestión, una para los foros cutres, otra para los servicios serios, etc. Pero al final era un puto lío porque siempre había alguna página en que te ponían condiciones especiales para la contraseña (limite de número de caracteres, obligatoriedad de mezclar símbolos determinados) que te rompían el invento y tenías que tener excepciones.

Total, que me cansé de aquello y ahora (tal y como siempre se recomienda) no utilizo la misma contraseña para dos cosas, tengo un generador de contraseñas aleatorias y un llavero cifrado en el que almacenar todas con una clave maestra (si pierdes esa sí que la has jodido, claro).

Fotografía de una puerta con un montón de candados

Elsie esq..

El caso es que, aunque utilicemos un generador de contraseñas, muchos servicios de internet se empeñan en hacernos caer en una de las fisuras más amplias de las cuentas en internet, las preguntas de seguridad. Por ahí es por donde la mayoría de gente pierde sus cuentas, de hecho yo mismo se lo hice a una persona con una cuenta de Hotmail hace ya casi diez años (aún hoy me avergüenzo).

No, es coña, lo normal es que te pregunten sobre los apellidos de abuelos.

Cosas del estilo de ‘¿Cuál era el nombre de tu primera mascota?’ o ‘¿En quién pensabas cuando te masturbaste por primera vez?’. Preguntas lamentables para las que es muy posible que la gente de tu entorno tenga las respuestas, o las puedan obtener con un mínimo de investigación. En el caso de la mascota se llamaba ‘Rex’ y en cuanto a la masturbación lo más habitual es que respondan ‘Robocop’.

La putada es que generalmente no existe la posibilidad de dejar la pregunta en blanco o definir una pregunta personal, así que yo normalmente ponía basura en la respuesta, cualquier cosa al azar. Pero claro, perdiendo por el camino la vía oficial de recuperación de contraseñas, que es precisamente ser capaz de contestar a esa pregunta. Pasa más o menos parecido si te preguntan la fecha de nacimiento cuando creas la cuenta, metes una al azar y luego resulta que para recuperar la contraseña te preguntan ese dato; cagada al canto.

La cuestión es que un día leí este viejo post de BloqNum y vi la luz con el comentario de HaTRuM, que planteaba contestar a la pregunta simple y llanamente con otra contraseña independientemente de cual fuera la pregunta. La idea es realmente brillante y, por lo menos a mí, no se me habría ocurrido ni en un millón de años. Así que por eso la quería compartir con vosotros.

Esto es un guiño a Cosas de casa, la ‘serie de negros’ por antonomasia.

Digamos que tu contraseña principal es ‘SEMENTAL’, pues puedes tener una segunda contraseña que sea, por ejemplo, ‘MAMPORRERO’, de modo que cuando al hacerte una cuenta te pregunten en qué ciudad nació el padre de tu madre contestas ‘MAMPORRERO’ y así no hay forma de que nadie pueda adivinarla y la puedes recordar perfectamente, o guardar por si eventualmente tienes que recuperar la cuenta.

25 comentarios, debe haberse caído Twitter o algo

Por una vez, te llevo la ventaja en algo.

Eso que comentas lo llevo haciendo yo casi 10 años ya. En concreto lo empecé a hacer después de conseguir “crackear” el correo de varios amigos y familiares por culpa de la pregunta de seguridad.

En aquellos tiempos con Hotmail recuerdo que incluso alguna era “¿Cual es tu animal/color favorito?”, así que imagínate lo que tardé en conseguir la contraseña. Ni fuerza bruta ni diccionario ni leches xDD

Así que hice justo la técnica que comentas, la de tener una segunda contraseña, independientemente de cual fuese la pregunta de seguridad. Normalmente elegía la primera pregunta de todas por comodidad. Así que la cosa solía quedar así: “¿Cuál es tu ciudad favorita?” y la respuesta “esperma1969”, por ejemplo.

mmm… interesante lectura. Yo soy de los que cree que el mundo sería un lugar feliz si a todas partes pudieras acceder ya no con la misma contraseña (que si, tiene sus peros) sino con el mismo perfil (el myOpenId tan cacareado era mi candidato favorito) pero al final… es imposible que en todas partes se implemente eso.

Yo siempre he sido consciente de que no hay que usar la misma contraseña en dos sitios. Por ejemplo, si uso la misma contraseña para entrar en la web del banco que para acceder a la zona Premium de chaperossuperdotadosconrabosvenosos.com, es posible que un administrador poco escrupuloso de una de las dos webs pueda acabar probando mi contraseña en la otra web (el administrador del banco, sin duda; nunca he conocido gente con menos escrúpulos).

Intenté usar un retorcido sistema que empleaba mayúsculas y minúsculas, números y caracteres ASCII, y que pudiese obtener usando un sencillo algoritmo (para poder aplicarlo “de cabeza”) a partir del nombre de la propia web, de forma que fuese una clave distinta para cada sitio. Pero fue inútil por lo que tú comentas: algunos sitios no admitían tantos caracteres, otros no permitían caracteres ASCII más allá de letras y números… así que recurrí a unas cuantas palabras claves (tipo “mELacomEs”) y que repito de vez en cuando, y como es un lío, las llevo todas anotadas en mi PDA, con lo que si la pierdo, voy jodido…

¿Cómo es ese llavero del que hablas? Es un llavero físico, o un iLlavero (iPrograma en tu iTeléfono descargado de la iTienda)?

Yo desde el primer momento relleno la respuesta a la pregunta “secreta” con mierda de tipo: “qewqndeqcdmsajefndmgkjg”. Es absurdo hacer otra cosa, solo empeora la seguridad.

Incluso si ponéis una segunda contraseña… ¿qué utilidad le dais? ¿Por si se os olvida la principal? ¿Y cómo vais a recordar la segunda contraseña si la creasteis a partir de la primera que se os ha olvidado? :P

Michael J. Fox
27/09/2010 a las 10:50

Juro por Arturo, que 5 pesetas son un duro que se me había ocurrido lo mismo que a HaTRuM antes de leerlo. ¿Seré más listo que Hugo…?(cuando dejas puntos suspensivos, ¿donde se pone la interrogación?)

Es un buen método, aunque yo sigo otro.
3 contraseñas:
-cifra de mi cumpleaños para sitios de mierda
-otra contraseña para sitios más serios.
-otra combinatoria de cifras y letras algo larga.

Y de momento el método funciona. Si no es una, es otra, y si no, pues la otra.

Yo iba a decir que la gente no entiende la relación: contraseña = llave. En absoluto. Eso da para otro post. Pero me he encontrado con «Comenta anda, que esto no es Microsiervos» y no he podido seguir pensando.

Yo sólo comento para suscribirme a los comentarios y que me lleguen las sugerencias de la peña.

Por lo demás, buena idea la de las dos contraeñas. Aunque os puedo asegurar que la respuesta a mi pregunta de seguridad no la sabe ni Dios.

yo trabajo en temas relacionados con sistemas y manejo unas 300 contraseñas etc, así que tuve que encontrar un método para no volverme loco. En realidad ya todo está inventado… así que no es necesario reinventar la rueda. Es decir os recomiendo una utilidad específica para ello, especialmente ésta que conozco muy bien: lastpass (firefox, safari, chrome, mac, win, blackberry, iphone, ipad, etc…). En este caso todo es “online” y los datos se almacenan en sus servers (podemos entrar en paranoias etc, pero yo tengo la versión premium y me fio, parecen muy serios)

La idea es que manejas una contraseña supermaestra, que pones cuando abres el navegador, y a partir de ahí la susodicha extensión se encarga de todo (loggearte, rellenarte formularios, incluso generar aleatoriamente contraseñas chungas). Con sólo cerrar el navegador se evaporan todos esos datos, que se cifrán al vuelo…

Si sois paranoicos, puedes crearte un pendrive de segunda llave… o generarte una hoja de coordenadas única, imprimirla y llevarla siempre encima. Hay muchas opciones para multiplicar la seguridad exponencialmente.

Yo desde que la uso estoy muy tranquilo con ello, y os aseguro que es una gozada que todo fluya “sólo”, sólo iniciando sesión una sola vez. Yo lo utilizo para webs serias, webs basuras, tarjetas de crédito y notas seguras (la contraseña de la maleta, la del cajero del banco, la de hacienda, la de dnie…). Por no decir lo increíble que resulta que sea multiplataforma y online, como me pasó hace poco que tuve que rescatar una contraseña desde mi blackberry…

En el pasado había usado combinaciones tipo Keepass o 1password + pendrive con las bbdd, pero era un coñazo…

En fín, recomendación del día lastpass.com

ahh!
se me olvidaba decir, que si no tienes ni tu pc, ni tu móvil a mano y necesitas una contraseña y estás en un sitio poco seguro (casa de un amigo, cybercafe, ordenador de un hotel…) puedes ir a su web e iniciar sesión a través de un teclado virtual (js, como los de los bancos, para que no queden registradas tus pulsaciones o por si hay troyanos o keyloggers al acecho, etc.) con lo que puedes tener todo accesible con una seguridad bastante razonable…

Joder, a mí me robaron una de Hotmail por el apellido paterno. La tenía abierta dos años y tenía como 120 contactos, y el cabrón no me la quiso devolver.

Tampoco me supuso ningún trauma, pero ahora siempre que me piden una pregunta secreta le pongo alguna chorrada. Si la pierdo me jodo, eso sí.

Víctor Pimentel ha dado con la clave (chiste tonto, lo sé) del asunto: ¿para qué una segunda contraseña, si se os va a olvidar al igual que la primera?

Yo vivo razonablemente tranquilo, para los sitios chorras, usando un algoritmo que toma el nombre del dominio.

Para los serios (Paypal, el banco, etc) tengo un archivo de texto con la extensión cambiada (y una cabecera ASCII falsa) con todas las contraseñas. Pasa absolutamente desapercibido. Está cifrado con clave PGP de tropecientos mil bytes y una contraseña de similares proporciones, que me sé desde hace muchos años. Tengo copia en el fijo y en el portátil.

Si me roban cualquiera de los dos, desafío públicamente a cualquier persona u organización (que no disponga de un ordenador cuántico) a que consiga esas contraseñas. No vale torturarme con penes gigantes de goma (Pijus, que te veo).

@pijus erectus, lo normal seria que ni siquiera el admin de la base de datos pueda conocer tu contraseña. Cuando creas una cuenta y decides la contraseña, lo que se guarda es el resultado de una función hash, no la contraseña en si. Cuando quieres ingresar a tu cuenta le aplicas la misma función a la que usas y compara los resultados. Así que por mucho que mire tu banquero no te va a robar tu cuenta de premium de megaporn :)

Siempre será más efectivo el truco de “si escribes por aquí tu contraseña salen asteriscos!! ****** :O”

@mced, PGP ya es space junk (o basura espacial), es muy de los noventa tronco.

Pásate a Truecrypt. Yo cuando obtenga documentos altamente secretos (como el pdf que van a pasarme por Dropbox con las pruebas de que el Rey estuvo involucrado en el Golpe de Estado), pienso meterle Truecrypt a cascoporro. Y luego subastar el documento entre DEC, Sálvame y Wikileaks, a ver cuanta pasta saco a costa del monarca postfranquista xD

Vedia, pues ya te digo, a mí nunca se me habría ocurrido. También creo que ayuda que para esas respuestas suelen dejarte un campo de texto en claro, con lo que se hace más incómodo escribir ahí una contraseña.

maka, lo malo de esas historias (y es por lo que OpenID se ha ido al garete) es que son sistemas con los que es bastante fácil engañar a la gente para que acaben soltando su contraseña, dejando así al aire toda su seguridad en internet.

Pijus Erectus, es un llavero lógico, en definitva un fichero cifrado. Si lo pierdo la cago.

Víctor Pimentel, haciendo eso te estás quitando una posible forma de recuperar tu contraseña llegado el caso pero sigues permitiendo un eventual ataque por fuerza bruta, o sea, que tienes lo malo pero renunciando a lo bueno. Ya que está la opción yo creo que lo mejor es tratarla de aprovechar.

Michael J. Fox, es que ese es el tema, que cuando te equivocas en un sitio no sabes lo que hace ese servicio con la contraseña que tu has tecleado. Creo que recuperaré una vieja entrada en la que hablaba de ese supuesto en plan paranoico.

penestijeras, gracias por la recomendación.

mced, es muy parecido a lo mío.

Floc, mucha confianza en las buenas prácticas tienes tú. Sin ir más lejos el payo de Menéame (que es profesor de informática, para más inri) se ganó un buen rapapolvo por almacenar contraseñas en claro. Muchos sistemas de foros guardan las contraseñas tal cual, de hecho cuando les pides recuperar la contraseña no te mandan un enlace para generar una nueva, ¡sino que te mandan directamente la que pusiste en su momento!

Lo unico que me preocupa es poder recuperar en todo momento. Que app usas? hay alguna tipo evernote? que practicamente puedo revisarla desde donde quiera cuando quiera?

Carlos, usará el genial 1Password, con versión incluso de iPhone y iPad.

Gracias! pero tiene version web?

Échale un ojo a su web tú mismo:

http://agilewebsolutions.com/products/1Password

Por cierto Hugo, ya sé que desentonaría con el ultraminimalismo del blog, pero….¿no has pensado poner unos botoncitos en plan WYSIWYG para darle formato a los mensajes sin escribir el html a mano?

A mí esto de las contraseñas y las preguntas de seguridad…, no entiendo el sentido de estas cosas pero seeguro que lo tiene…
Besotes,

@rosscanaria, ¿no le encuentras sentido a que alguna vez en 10 años puedas olvidarte de alguna de tus 50 contraseñas distintas para los 200 servicios online a los que te has registrado en esos 10 años?

Porque de eso se trata el tema de las preguntas de seguridad, una forma alternativa de recordar tu contraseña.

Lo mismo que los e-mail secundarios para poder restablecer tu contraseña o tu cuenta principal de e-mail en caso de que algo le suceda a esta.

Qué coño, para estos temas de autentificación deberíamos aprender de la sabiduría popular: rápida, sencilla y efectiva.

– Piiiiiiiii… (botón de portero automático).
– ¿¡Quién¡?
– ¡Yo!
– Rrrrrrr… (puerta abierta).

mced, en el fondo eso es un sofisticado sistema de reconocimiento de voz :)

Nunca he sido muy paranoico respecto a la seguridad de mis contraseñas. Llevo utilizando dos diferentes (según lo fiable que parezca la página) desde hace más de diez años.

Casi todos mis amigos, familiares y conocidos conocen una de ellas, y no tengo problemas en teclearlas (o dictarlas a otro si estoy vago). De hecho suelo utilizarlo como trust-o-meter: Prácticamente todos los servicios web que utilizo guardan la fecha de la última conexión, y tengo como costumbre recordarlas. Cuando dejo caer mi contraseña ante alguna persona y “electromágicamente” me conecto en tal o cual página, sé la poca confianza que merece.

En cuanto a las preguntas de seguridad, me parecen una gran mierda. Prefiero servicios en los que te envían un código temporal al móvil, que a mi parecer dan una capa más de seguridad (A ver quién es el guapo que consigue mis contraseñas, mi móvil y mi PIN sin tortura). Hace años las rellenaba (indistintamente de la pregunta) con personajes de Star Wars pero por suerte son cada vez menos las páginas que requieren algo así y utilizan como alternativa un segundo correo.

@Hugo me siento un cutre miserable. En mi web el registro de la contraseña es “a pelo”, sin hash MD5 ni ostias. ¿El motivo? Anteriormente utilizaba Twitter, pero con los cambios que hicieron en oauth me dió mil problemas y acabé haciendo un apaño temporal. Aunque de temporal tiene lo mismo que las obras de mi ciudad: Va para dos años.

Eso sí, ni se me ocurriría entrar en la DB a ver las contraseñas. Pese a todo, creo que ya toca solucionarlo.

Por cierto: ¿Cómo haces para evitar el spam en los comentarios sin utilizar registro de usuarios?

O una pregunta un tanto más a la yugular: Al poder elegir el nombre que se quiera para comentar, ¿no te preocupa que cualquiera se haga pasar por otra persona; quizá un habitual?

Vedia, no vi tu comentario en su momento, lo siento. Sí, el tema de los botones para formateo lo tengo pendiente desde el principio. Le daré una pensada y lo pondré.

Sithdown, del spam del blog se encarga Akismet, viene de serie con WordPress y es una detección de clase mundial.

Respecto a la posibilidad de suplantar a otro comentarista (o incluso a mí) es un riesgo que se debe asumir a cambio de no dar por saco a la gente obligando a registrarse para dejar su opinión (que no deja de ser un regalo al autor). Intento poner las cosas fáciles.

Comenta lo que quieras, si no me gusta lo borro y listo