Adéu a les contrasenyes

No hi ha setmana que no tinguem notícia d’algun atac informàtic amb què els intrusos han aconseguit les dades personals de milions d’usuaris. Tot i això, molts internautes segueixen fent servir les mateixes credencials en tots els serveis digitals als quals accedeixen, o triant contrasenyes tan ridícules com “contrasenya” i “12345678”, que encapçalen les llistes de les més utilitzades.

Aquesta mandra a l’hora d’escollir claus d’accés prou segures fa evident que la combinació d’un nom d’usuari i una contrasenya, que fa tants anys que fem servir, no és precisament el sistema d’identificació més pràctic que hi ha. Tot el procés és massa laboriós: per donar-te d’alta a qualsevol lloc has d’indicar la teva adreça electrònica, escriure dues vegades una contrasenya -que sovint no pot ser la que voldries, perquè ha de complir uns criteris determinats-, obrir la bústia de correu, buscar un missatge de confirmació, fer clic en un enllaç i tornar a la web per iniciar la sessió tornant a introduir les mateixes dades. També pots acceptar les contrasenyes que generen automàticament alguns sistemes operatius, però a costa de passar a dependre del seu gestor de credencials; o bé identificar-te amb el teu perfil d’alguna xarxa social com Facebook o Twitter, però assumint que fent-ho els estàs facilitant el rastreig continuat de la teva activitat digital a partir d’aquell moment.

Fins i tot quan has escollit una contrasenya raonablement segura, et poden arribar a suplantar si l’aconsegueixen mitjançant phishing o robant-te el dispositiu. La solució de la indústria és el sistema de l’autenticació de doble factor: quan el servidor detecta que intentes accedir-hi amb un aparell o des d’un lloc que no són els habituals, t’envia al telèfon mòbil, que has vinculat prèviament, un codi que has d’introduir al formulari. Malauradament, segons Jeff Bonforte, vicepresident de Yahoo, menys del 10% dels usuaris de correu electrònic tenen activada aquesta funció.

Alternatives

Moltes de les alternatives a les contrasenyes tradicionals passen precisament per l’ús del dispositiu mòbil, que la majoria dels usuaris tenen a l’abast totes les hores del dia. La mateixa Yahoo va experimentar fa uns mesos el Password On Demand: enviar al mòbil de l’usuari un codi diferent cada vegada que es volia connectar. I aquesta setmana ha incorporat a les seves aplicacions per a Android i iOS l’anomenada Account Key: quan vols accedir al teu correu amb l’ordinador no hi has de posar cap contrasenya, sinó prémer un botó que apareix a la pantalla del teu telèfon. A més de Yahoo Mail, també serveix per connectar-se a Hotmail i al correu d’AOL.

El telèfon mòbil també serveix per bloquejar automàticament l’ordinador quan te n’allunyes una estona i desbloquejar-lo quan tornes al lloc de treball. Els ordinadors Chromebook es poden protegir d’aquesta manera amb qualsevol mòbil equipat amb una versió recent del sistema Android. També hi ha aplicacions com Knock, Tether i TokenLock per bloquejar i desbloquejar ordinadors Mac amb l’iPhone o el rellotge Apple Watch. De fet, aquesta identificació per proximitat és també una de les utilitats inesperades d’altres rellotges intel·ligents amb connexió Bluetooth.

El següent pas lògic cap a la superació de les contrasenyes és la biometria, l’ús d’alguna part del nostre cos com a identificador. Va sorgir per protegir les dades empresarials, però ara ja s’aplica per millorar la comoditat dels consumidors. El sistema operatiu Windows 10 inclou de sèrie Windows Hello, que permet la identificació amb empremta dactilar, reconeixement facial i de veu. Això posa les coses més fàcils als fabricants d’equips, fins i tot els que, com HP, fa temps que equipen alguns ordinadors amb lector d’empremta. Des de l’any 2012, el sistema Android inclou la funció Face Unlock per desbloquejar el mòbil amb una imatge del rostre, però no ha aconseguit gaire popularitat. I la firma ZTE disposa d’un telèfon de gamma mitjana, el Blade S6, capaç de reconèixer l’iris de l’usuari amb força encert.

Lector dactilar

Gràcies a l’interès a desplegar sistemes de pagament amb el mòbil, comencem a veure també telèfons en què el lector d’empremta dactilar pot substituir el codi de protecció del mateix aparell, però també la signatura manual d’un rebut o la introducció del PIN a l’hora de pagar en una botiga. El sistema no és nou: els ordinadors de butxaca iPAQ d’HP ja en portaven el 2003. Però des que Apple el va adoptar fa dos anys en l’iPhone 5s, amb la denominació Touch ID, li han seguit les passes altres fabricants de smartphones, com Samsung, Huawei i Google amb els Nexus més recents. Això sí, les marques més conegudes encara reserven el lector dactilar per als models de gamma més alta, a diferència de noms menys coneguts aquí, com Meizu, Oppo i OnePlus.

L’avantatge de la identificació biomètrica és clar: com que la contrasenya ets tu, és impossible que te n’oblidis; fins i tot pots identificar-te quan estiguis massa begut per recordar el maleït codi. Però, pel mateix motiu, té un aspecte fosc que els activistes de la privadesa no s’estan de destacar: si un agent de seguretat vol accedir al contingut del teu dispositiu, no et pot obligar a revelar la teva contrasenya, però sí a posar el dit sobre el lector dactilar o l’ull al davant de la càmera. I és que en aquesta vida digital no hi ha res que sigui perfecte.