La clau mestra per a la vida digital

BarcelonaEls usuaris de serveis digitals tenim molt poca imaginació. El 91% de les contrasenyes que fem servir per accedir-hi apareixen a la llista de les 1.000 més freqüents, sempre encapçalada per combinacions tan previsibles com la seqüència numèrica 1234567890 més o menys escapçada segons la mandra que ens faci escriure, la paraula password o les primeres lletres (qwerty) de la primera fila del teclat. Confeccionar aquest rànquing i la corresponent estadística sobre unes claus suposadament secretes ha estat possible gràcies als nombrosos robatoris de credencials que han patit i pateixen plataformes amb desenes de milions d'usuaris inscrits: el resultat d'aquests robatoris són llargues llistes de noms d'usuari i contrasenyes que circulen per la xarxa a disposició dels interessats a comprar-les –per un preu molt assequible– amb intenció de suplantar els seus propietaris.

Ja es veu que combinar la poca originalitat de les contrasenyes i l'altíssim grau de repetició en el seu ús obre la porta a un desastre en potència. És gairebé segur que algun malfactor acabarà provant si les credencials que vam escollir per a la web d'on ell les ha robat també funcionen en algun altre servei. I és molt probable que sigui així: la mandra i la poca confiança en la nostra memòria ens porten sovint a triar claus d'accés massa evidents i a repetir-les quan ens donem d'alta en diferents pàgines i aplicacions. De manera que les credencials amb què un dia vam provar un videojoc o participar en un sorteig poden acabar servint a algú per segrestar-nos la bústia de correu electrònic o el compte de client d'una companyia de subministrament.

Memòria digital

El remei és, naturalment, escollir contrasenyes que siguin difícils d'endevinar i úniques per a cada servei al qual accedim. Però això presenta el problema d'haver de recordar-les i anotar-les en una llibreta –o en l'inevitable post-it enganxat a la pantalla– per consultar-les cada vegada que les necessitem, la qual cosa no sembla gaire pràctica: algú podria prendre'ns la llibreta, o potser no la portarem sempre a sobre. Els navegadors web ofereixen una solució parcial: poden recordar les claus d'accés que fem servir a cada pàgina i proposar-nos-les cada vegada que hi tornem. Els sistemes operatius també tenen funcions similars: Smart Lock a l'Android de Google, Samsung Pass a la variant de Samsung, el Clauer als dispositius d'Apple. Tots aquests guarden les nostres claus protegides sota xifratge, bé en el mateix aparell o al núvol per poder accedir-hi des d'altres equips.

En canvi, els sistemes citats no solen facilitar la creació de contrasenyes noves i prou segures ni s'asseguren que no les hàgim fet servir abans. Per disposar d'aquestes funcions cal recórrer a un servei específic per gestionar contrasenyes, que funciona com a caixa forta virtual, on guardarem totes les credencials d'accés que anem fent servir i que podrem consultar havent de recordar només una sola contrasenya, la clau mestra que obre la citada caixa forta.

Hi ha gestors de contrasenyes de codi obert com ara KeePass i PasswordSafe. D'altres com ara 1Password, LastPass, Dashlane i Keeper són comercials, tot i que ofereixen una modalitat gratuïta que és suficient per a la majoria d'usos individuals. Tots disposen d'aplicacions per als principals sistemes operatius d'ordinador i de mòbil i d'extensions per als navegadors web més populars. Una vegada instal·lades als nostres dispositius d'ús habitual, ens demanen triar una contrasenya mestra. Com que és només una, podem permetre'ns triar-la llarga i difícil d'endevinar. Malgrat el que es creu, no ha de ser necessàriament complicada: alguns experts recomanen ajuntar cinc o més paraules en una frase sense sentit. Tampoc cal que sigui il·legible: una clau de 13 lletres minúscules ofereix més seguretat que una de només 10 formada per majúscules, minúscules i símbols i és més còmoda d'escriure en el teclat tàctil d'un telèfon. Aquesta contrasenya mestra d'accés es pot reforçar amb algun sistema d'identificació biomètrica, com el reconeixement facial dels iPhones més recents o el lector dactilar dels models anteriors i de la majoria dels telèfons amb Android. I també es pot activar per més seguretat el doble factor d'autenticació, que ens envia al mòbil un missatge amb un codi de confirmació quan provem d'accedir-hi des d'un lloc inusual.

A partir del moment que el tenim instal·lat i configurat –substituint sempre el recordatori de contrasenyes del navegador o el sistema operatiu– cada vegada que entrem en una pàgina web o una aplicació mòbil que ens demani identificar-nos, el gestor de contrasenyes buscarà al seu arxiu si ja té d'una ocasió anterior les nostres credencials per accedir-hi i, si és així, ens proposarà introduir-les automàticament. En cas contrari, mostrarà una icona per generar automàticament una contrasenya aleatòria i segura, amb possibilitat de triar-ne la llargària i la composició segons les nostres preferències o els requisits de la pàgina on volem inscriure'ns. Un cop confirmat l'accés, guardarà les credencials per tornar-les a fer servir en el futur. D'aquesta manera podem anar acumulant centenars de credencials diferents sense haver de recordar-les, ni tan sols veure-les. Jo utilitzo LastPass des de fa anys i no sé quina contrasenya tinc a la majoria dels serveis digitals que faig servir.

Els gestors de contrasenyes tenen altres avantatges. Un d'important és que protegeixen contra el phishing: encara que un enllaç maliciós et porti a una pàgina falsa que pretén captar les teves claus d'accés a la pàgina autèntica, el gestor no en reconeixerà l'adreça i no ens proposarà les credencials que té guardades. Una altra funció pràctica són els desafiaments de seguretat: el servei t'avisa si fas servir determinades credencials a més d'una web o aplicació i et proposa canviar-les; en alguns (pocs) casos fa el canvi automàticament. També faciliten compartir contrasenyes amb altres persones, siguin companys de feina o familiars, tot i que ells també han de ser usuaris del mateix gestor; LastPass ho promou oferint una modalitat familiar per a sis usuaris, que costa 48 euros a l'any en comptes dels 36 euros del compte individual. Fins i tot és possible designar una o més persones que podran obrir la nostra caixa forta de credencials si quedem incapacitats o ens morim; en aquest cas podem establir un període d'espera durant el qual podem revocar aquesta delegació de l'accés.

Naturalment, els gestors de contrasenyes no són la solució perfecta: ens obliguen a recordar una contrasenya mestra que necessàriament ha de ser difícil, i si algú aconsegueix obtenir-la tindrà accés a totes les nostres credencials. Per això hi ha qui aconsella no instal·lar el gestor en els dispositius d'ús ocasional, i començar no guardant-hi les contrasenyes més delicades. Sigui com sigui, són una eina que ens permet dedicar la nostra memòria –la humana, vull dir– a coses més importants.