jueves, 1 de abril de 2010

Uso de cuenta de correo electrónico en Blogger, una buena idea, pero a condición de usar una contraseña segura

IDEAS PRELIMINARES

En Blogger así como también en muchos otros productos, la identificación del usuario se realiza a través de una cuenta de correo digital, y eso realmente está muy bien pues por lo general la propia cuenta de correo en Internet es bien recordada por los usuarios.

En lo que respecta a la contraseña, la que claro, a veces puede que no se recuerde, se tienen a la mano diversos procedimientos que facilitan la recuperación o redefinición de la misma.

Blogger ha dado un paso más, y permite la visualización en el weblog de la cuenta de correo, si es que el usuario lo autoriza. Y esto tiene varias ventajas.

Por un lado así se proporciona a los visitantes una forma segura y privada de comunicarse con el creador y administrador del blog. Y por otro lado así también se descarta la posibilidad de olvidar también la cuenta de correo declarada cuando se comenzó a construir el weblog, situación en la que en lo sucesivo podría hacer difícil acceder al correspondiente blog, para actualizarlo o para darlo de baja, etcétera.

Muy bien, establecidas estas ideas básicas, pongamos ahora atención en las contraseñas.

Es obvio que las contraseñas deben tener cierta complejidad y cierto largo, pues si fueran muy cortas y/o muy simples, serían tal vez relativamente fáciles de adivinar por algún pariente o amigo o competidor del usuario, y eventualmente también serían más fáciles de descubrir si un pirata informático atacara el propio sitio web (la propia bitácora digital) o la respectiva casilla de correo.

Pero por otra parte, obviamente las contraseñas deben poder ser recordadas por los usuarios con cierta facilidad, pues es arriesgado confiarse en que siempre se podrá solicitar contraseña nueva en caso necesario; en efecto, olvidarse frecuentemente de la contraseña siempre implica un riesgo de que no pueda desbloquearse el procedimiento de envío de una nueva contraseña, lo cual llevaría a que el usuario perdiera el control sobre su sitio web y/o sobre su casilla de correo. Por otra parte, las preguntas-tipo cuyas respuestas permiten acceder a la cuenta o desencadenar el procedimiento de envío de nueva contraseña, tampoco pueden ser excesivamente sencillas de adivinar, puesto que eventualmente intrusos también podrían intentar acceder por allí.

ESTABLECIENDO CONTRASEÑAS SEGURAS

Parece increible, pero en el año 2009 unos piratas informáticos lograron descubrir gran cantidad de contraseñas (más de treinta millones) referidas fundamentalmente a cuentas de correo electrónico, y seguramente de alguna forma se habrán aprovechado de esa situación.

Pero más tarde, como gracia o humorada, y/o para poner en ridículo a ciertas grandes compañías tales como Microsoft y Yahoo, dieron difusión publica a esas casillas de correo y a sus correspondiente contraseñas.

Por cierto, la situación irregular y delicada afortunadamente fue muy rápidamente descubierta, dándose inmediatamente de baja esa problemática información hecha pública.

De todas formas y con las debidas precauciones, el incidente fue propicio para estudiar desde el punto de vista estadístico el establecimiento de contraseñas por parte de un grupo numeroso de usuarios.

Claro, hay que tener en cuenta que si bien la muestra de contraseñas tomada como base en el estudio fue bastante elevada en cuanto al número de casos estudiados, la misma no fue seleccionada con rigurosidad y equidad desde el punto de vista del muestreo, y por tanto bien podría pasar que los resultados de este estudio se encontraran sesgados.

No obstante lo señalado, por cierto sería muy interesante profundizar en los frutos del análisis realizado.

Lo que más resalta en los cuadros de resumen que fueron elaborados, es la ingenuidad hecha carne en gran cantidad de usuarios. Nótese que cientos de miles de usuarios usaban contraseñas tales como 12345, 123456, 123456789, y password. Y otros pensaron que estaban suficientemente protegidos si como contraseña repetían su nombre de usuario, y/o si de alguna manera sencilla combinaban su propio nombre de pila o su apellido con su fecha de nacimiento.

¿Cómo debe procederse en materia de definición de contraseñas?

Obviamente la contraseña retenida debe ser mnemotécnica, pues de otra forma el propio usuario podría olvidarla en cualquier momento. Y tampoco es seguro establecer una contraseña muy difícil de recordar, confiando en que se registra la misma en el propio computador o en una libreta, pues esa información podría perderse, y también esa información bien podría ser descubierta por un potencial chantajista o por un potencial abusador, o por alguien que va a usar la posibilidad de acceder a una casilla de correo que le es ajena para de alguna manera beneficiarse y/o perjudicar a terceras personas.

La situación no es mejor si en lugar de descubrir la contraseña de acceso a una casilla de correo, se descubre la correspondiente llave de entrada a un sitio web. En efecto, el pirata informático que eso haya logrado, tal vez entonces se contente con hacer una humorada, por ejemplo agregando un gadget simpático o gracioso en el sitio web ajeno, y en ese caso hipotético los perjuicios para los administradores del correspondiente espacio digital no pasan de un gran susto. Pero no siempre las cosas van a ocurrir así, pues el pirata digital tal vez tome el control total del sitio electrónico por siempre, impidiendo en lo sucesivo el acceso a los propietarios de ese espacio web a las respectivas funciones de diseño, y actuando a partir de la toma de dominio como en lo personal se le plazca. En esta otra situación hipotética por cierto más comprometida, tal vez se deba hacer un comunicado a CLIENTES Y CONTACTOS advirtiendo de la irregularidad, tal vez se deba recrear la programación del sitio web en otro servidor y con mayores controles de seguridad, etcétera, con las consecuencias que todo esto pueda acarrear, pérdida de clientes y/o de lectores, costes adicionales a cubrir debido a las eventuales pérdidas de información y debido a los eventuales trabajos complementarios de programación y diseño, etcétera, etcétera.

Lo mejor que pueden hacer los usuarios para protegerse de que le descubran su clave de seguridad, posiblemente sea usar sí contraseñas mnemotécnicas, pero bastante largas, por ejemplo de más de 16 caracteres o incluso de más de 20 caracteres, pues así se descartaría la posibilidad de que la misma pudiera ser descubierta por simple ensayo combinatorio, procedimiento que permitiría descubrir con relativa facilidad a las contraseñas muy cortas, o a aquellas que usaran una palabra única contenida en el diccionario.

Otra buena cosa sería formar la contraseña con una combinación de letras y números, y si se usan palabras del idioma corriente, al menos concatenar dos o tres palabras diferentes en alguna parte de la contraseña, o deformar la palabra de alguna forma, por ejemplo usando pajaroneeeeeeeeees o socoooooristas.

El uso de fechas como por ejemplo de nacimiento de los hijos o del casamiento de los padres no tiene porqué ser descartado, pues esos son datos que las personas recuerdan facilmente, pero siempre que la contraseña retenida sea bastante larga, y siempre que esas fechas se combinen por ejemplo con otras palabras del idioma, o con la marca de un automóvil, o al menos con ciertos nombres de pila y otras fechas, etcétera. Así, se obtendría al menos cierta seguridad porque no siempre sería facil descubrir la combinación utilizada para construir la contraseña con esos datos básicos.

Como se dijo, el uso de secuencias de números en orden ascendente o descendente, o el uso de secuencias de letras en orden alfabético, es peligroso integrarlas a la contraseña si la formación de la misma se reduce exclusivamente a eso, pero la situación cambia si ese tipo de cadenas de caracteres se combina por ejemplo con apellidos y números telefónicos, o con fechas de casamiento, o con cualesquiera otros datos básicos sencillos de recordar para un usuario; lo que queremos decir es que bien podríamos construir un santo y seña muy seguro, combinando por ejemplo tres datos básicos, y agregando la secuencia 123454321 al inicio y al final de la concatenación resultante.

Otra situación que en alguna medida protege al usuario, es cambiar la contraseña de seguridad con alguna frecuencia, por ejemplo una vez al mes, y por cierto, si se tienen varias casillas de correo y varios blogs y además cuentas en portales sociales, etcétera, no usar la misma contraseña en todos estos casos.

No está de más que el usuario vaya pensando en todo esto de las contraseñas desde el vamos, desde que comienza primero estableciendo una casilla de correo electrónico, pasando luego a utilizar servicios de mensajería inmediata o instantánea, siguiendo luego tal vez con su integración a un portal social o como blogista activo, etcétera.

Un nombre de referencia (de casilla de correo, o de mensajería, o de lo que sea) y su correspondiente contraseña, por lógica, se debilitan en seguridad y/o en operatividad, si se usan en el relacionamiento con algún portal social, o si se utilizan para suscribirse a boletines electrónicos o a foros a distancia. Por lo tanto sería muy recomendable separar completamente esas actividades de otras que naturalmente manejan información más confidencial, y/o más urgente, y/o más importante por sus consecuencias económicas o legales. Por lo tanto, sería muy recomendable que un usuario tuviera una casilla electrónica exclusiva para comunicarse con parientes, otra diferente para comunicarse con amigos, otra diferente para comunicarse con compañeros de trabajo, y así podría seguirse dividiendo y separando a contactos y actividades, y usar por ejemplo una casilla de correo digital exclusiva para clientes, y otra diferente exclusiva para abogados y escribanos, y otra exclusiva para recibir correo de Facebook, y otra exclusiva para aceptar suscripciones a boletines, y otra exclusiva para recibir mensajes de visitantes al cibersitio personal o weblog personal, etcétera.

No hay comentarios:

Publicar un comentario en la entrada

Gracias por dejar tu comentario o tu planteamiento.