La quantitat de consells que es poden trobar a Internet a l’hora de triar les nostres contrasenyes és molt àmplia (per exemple els consells que el govern dels Estats Units dóna als seus ciutadans). En alguns casos, fins i tot hi ha bones raons per donar consells oposats entre si. Un bon exemple d’això és el debat sobre si és una bona idea escriure les nostres contrasenyes en algun lloc. La primera resposta que sovint s’hi dóna és que no, ja que això crea una vulnerabilitat evident. Però hi ha un argument contrari que també té tot el sentit: si tinc una gran quantitat de contrasenyes i no puc escriure-les a cap lloc, acabaré triant una quantitat petita de contrasenyes fàcils de recordar que faré servir a tot arreu, cosa que pot crear una vulnerabilitat fins i tot més gran. Aquest argument ja el va exposar el 2005 l’expert en seguretat de Microsoft Jesper M. Johansson (per cert, annexats podeu trobar una sèrie de tres articles molt interessants escrits per aquest expert on avalua les diferències entre utilitzar passwords o pass phrases).

Un consell que sí que genera una consens ampli és que reutilitzar contrasenyes s’hauria d’evitar i fóra bo tenir-ne una per a cada lloc. Essent així, segurament acabarem tenint un gran nombre de contrasenyes i per poder-les recordar caldrà escriure-les en algun lloc, tal com recomanava Johansson. És evident, però, que voldríem escriure-les en un lloc segur. Arribats a aquest punt podem seguir diverses estratègies, que també podem combinar entre si:

    1. Caixa forta digital.
      Es tracta de guardar totes les nostres contrasenyes en un únic lloc de confiança, però que considerem molt segur. Seria l’equivalent digital d’una caixa forta (ep, les contrasenyes també es poden desar en una caixa forta física!). Avui dia existeix programari que ens permet desar les nostres contrasenyes en fitxers encriptats, ja sigui en un arxiu local (com ara KeePass) o al núvol (com ara LastPass). Alguns d’aquests programes tenen incorporada la funció de generar contrasenyes aleatòries per a cada lloc i així estalviar-nos el fet d’haver-les de crear nosaltres. La vulnerabilitat principal de les caixes fortes digitals és la mateixa que la de les caixes fortes físiques: cal una clau mestra per a obrir-les. Si escolliu fer la vostra pròpia caixa forta digital, trieu la contrasenya mestra amb molta cura i no l’escriviu enlloc: si hi ha una contrasenya que heu de recordar de memòria, és aquesta.
    2. Divisió del risc.
      No cal escriure totes les vostres contrasenyes en un únic fitxer. Podeu diversificar. D’aquesta manera, si un dels fitxers es veu compromès, encara us queden els altres. Per exemple, podríeu tenir dues caixes fortes digitals. Si algú en troba una, és possible que no pensi que en teniu una altra i ni tan sols la busqui.
    3. Ofuscació.
      Podeu escriure les vostres contrasenyes en un fitxer que no tingui un nom evident, que no estigui en la carpeta esperada o, fins i tot, que no tingui el format habitual. Enlloc d’un fitxer de text, potser les podeu guardar en un fitxer d’imatge entre les fotos de les darreres vacances. És l’equivalent digital a tenir els diners amagats darrere un quadre o entre les pàgines d’un llibre.

Ja guardeu les vostres contrasenyes de forma segura? Voleu compartir el mètode que useu en un comentari o a través de les nostres xarxes socials?

The Great Debates: Pass Phrases vs. Passwords.

  • La primera part cobreix els fonaments de les paraules de pas i frases de pas, i com cal emmagatzemar-les.
  • La segona part es centra en la força relativa i enfocaments matemàtics per determinar quines són més robustes.
  • La tercera part conclou i dóna una orientació sobre com triar contrasenyes i configurar una política per usar-les.