Prácticos
Sincronizar contraseñas, ¿es seguro?
Todo lo que tienes que saber sobre contraseñas y navegadores web. Así titulábamos este miércoles en MuySeguridad un artículo especial que básicamente proponía una serie de buenas prácticas a seguir en Internet en el día a día.
Nuestros compañeros de MuyLinux se hicieron eco de la noticia, y parece que uno de los puntos que más controversia ha causado es el de fiarse o no de la privacidad y seguridad de los servicios de sincronización de datos que ofrecen los principales navegadores web; aunque solo hablamos de tres: Firefox, Opera y Chrome.
Como decíamos entonces, no solo es cómodo hacer uso de los servicios mencionados, es inteligente y, repetimos, muy seguro. Vamos a explicar el porqué de tales afirmaciones, a pesar de que la primera se explica por sí misma: la de contar con una copia de seguridad de los datos en la nube (los datos, cifrados).
El primer argumento a rebatir en este caso es el de la confianza: ¿te fías de Google, Mozilla y Opera Software? Aquí no valen las medias tintas, porque si no te fías del software la única solución es no utilizarlo en absoluto. ¿Quién te dice que el navegador no registra cada palabra que tecleas y la envía a un servidor remoto, contraseñas incluidas, aunque no las guardes? Si por el contrario te fías, la elección de sincronizar tus datos es tan obvia como recomendable.
Por ejemplo, Mozilla Firefox utiliza una contraseña y una «frase de cifrado», las cuales se crean nada más registrarse en el servicio – la segunda se genera automáticamente- y nunca se trasmiten a los servidores de Mozilla. Si las pierdes, olvídate de tus datos, porque no los podrás recuperar, o pedir que te generen nuevas clave a través de tu correo electrónico. Más información.
En Google Chrome puedes optar por cifrar solo las contraseñas o todos los datos sincronizados -marcadores, historial, extensiones, etc-, y para hacerlo puedes elegir entre utilizar tu contraseña de Google o una propia que solo se guarda en local (evidentemente, el camino a seguir es cifrar todo con una contraseña propia). Si la pierdes… Lo mismo que con Firefox: dile adiós a tus datos (en la configuración de tu cuenta de Google podrás destruir los datos guardados y comenzar de nuevo). Más información.
Opera también cifra los datos en local, pero lo hace a su manera, sin «molestar tanto»: el usuario y contraseña de Opera Link es el mismo que el de My Opera, por lo que recuperar los datos es posible mediante un correo electrónico. Cuando Opera comienza la sincronización de datos lo hace creando una clave aleatoria muy fuerte en local con la que cifrarlo todo. La clave también se guarda en los servidores de Opera, pero cifrada por la contraseña de My Opera. Más información.
Repetimos lo importante: en los tres casos citados, los datos a sincronizar se cifran en local antes de ser enviados a los servidores mediante conexión también cifrada (HTTPS/SSL), por lo que ni los responsables de éstos podrían acceder a esa información. Un funcionamiento exactamente igual al de aplicaciones de almacenamiento remoto como SpiderOak.
Otro punto a rebatir es el del temor a las brechas de seguridad -como la sufrida por LinkedIn la semana pasada-, o encontrarse con algún error en el software. Si tienes miedo a que tus contraseñas sean robadas o interceptadas en los servicios de sincronización, deberías tener en cuenta que se trata de los mismos servidores de Google, Microsoft o Facebook donde, de hecho, se guardan tus contraseñas. Es exactamente lo mismo. Y no existe el software que se libre de errores y vulnerabilidades, ni en el escritorio, ni en la nube. La única posibilidad de conseguir seguridad absoluta es no conectarse a Internet.
Por último tenemos a los usuarios acostumbrados a memorizar todas las contraseñas, y no hace falta repetir que tal práctica tiene que ser comedida para resultar efectiva. Ejemplos de contraseñas fuertes:
- $X#c4IrXO19s
- pRF»tI/Ex8m4
- «d5@7Z=i4kBN
¿Cuántas contraseñas de ese tipo te ves capaz de recordar? ¿Dos o tres? Las suficientes como para asegurar tu cuenta de correo electrónico y navegador web, nada más. Y es que el artículo original hace hincapié en que los pasos a seguir son varios: memoriza las contraseñas básicas, las demás es mejor generarlas automáticamente con alguna herramienta dedicada.
Por supuesto, como se suele decir, cada maestrillo tiene su librillo. Sin embargo, respecto al usuario común, a quien poco importan estos temas -hasta el punto de interesarse por ellos, al menos-, es prudente atenerse a las maneras mostradas como una base sobre la que partir.