Activisme i ús de les TIC/Les contrasenyes

Ens estalviarem, per òbvia, l’explicació de perquè és important tenir contrasenyes d’accés robustes als nostres serveis.

Infografia amb 10 recomanacions per tenir contrasenyes realitzat per surtdelcercle.cat

Sí que sembla necessari (tot i que resulta igualment obvi) insistir en que cal:

  • fer servir una contrasenya diferent per a cada servei
  • que les contrasenyes siguin de qualitat, i
  • canviar-les de tant en tant

Tipus d’atacsModifica

Les contrasenyes dels nostres serveis poden patir, bàsicament, dos tipus d’atacs:

  • PERSONAL: fet per algú que et coneix -o que sap moltes coses de tu-, que provarà d’accedir emprant i combinant dades personals teves i del teu entorn proper: dates assenyalades (naixement, casament, paternitat, etc.), noms de persones, mascotes o poblacions, coses preferides (menjars, plantes, llibres, etc.)... Per a defensar-nos d’aquest tipus d’atac és convenient que la contrasenya no es construeixi sobre informació que ens concerneixi directament o indirecta.
  • DE FORÇA BRUTA: la patirem si algún atacant accedeix a una llista de contrasenyes violant una web en la que la tinguem hashejada. Podem protegir-nos d’aquesta mena d’atac senzillament emprant una contrasenya llarga, poc usual i que incorpori lletres majúscules i minúscules, números, símbols...

No obstant, recordar nombroses contrasenyes sense cap referència personal en cap d’elles, llargues i amb caràcters poc usuals és gairebé impossible. Per això s’ha popularitzat l’ús de programes i/o apps que ens ajuden a gestionar les contrasenyes. Sigui quina sigui l’opció que utilitzeu, la seguretat de les vostres contrasenyes descansarà en última instància en la contrasenya mestra. Cal assegurar-se que és de qualitat.

La contrasenya mestraModifica

A internet trobareu un munt de webs amb consells i sistemes per a aconseguir una contrasenya mestra segura.

Un d’exemple: partim d’una frase d’una pel·lícula, llibre o poema, com ara:

“Con diez cañones por banda viento en popa a toda vela”

i ho reduïm a un acrònim:

“Cdcpbvepatv” (resistiria un atac de força bruta un màxim de 6 anys)

si li canviem la “d” de diez per un “10” queda:

“C10cpbvepatv” (resistiria un atac de força bruta un màxim de 3.000 anys)

i si la “c” de “cañones” la canviem per la “ñ” (que apart d’una lletra és un símbol poc freqüent en la majoria d’idiomes, i fins i tot inexistent en molts teclats) obtenim:

“C10ñpbvepatv” (resistiria un atac de força bruta un màxim de 15.000.000 d’anys)

A veure, 15 milions d’anys... a nosaltres, ja ens valdria. Però es podria seguir millorant la contrasenya augmentant-ne el nombre de caràcters i/o afegint-hi símbols (&%·#+*/<, etc.), per exemple. Això sí: recordeu sempre com l’heu construït, de manera que sempre podreu reconstruïr-la (recordar-la).

Quan creieu que ja la teniu, feu el favor de comprovar-ne la seva robustesa: https://passwd.criptica.org/passfault-jsonService/password_strength.html

Programes de gestió de contrasenyesModifica

Podríem classificar els programes de gestió de contrasenyes en dos grans tipus: online i offline.

ONLINE: Emmagatzemen la informació al núvol (i ja sabem que “el núvol” no existeix, amiguets/es; són els servidors/PC’s d’algú altre...) i aquesta característica, tot i que el fa una mica més vulnerable, també el fa molt més còmode, perquè permet la sincronització entre els teus diferents dispositius.

OFFLINE: La informació s’emmagatzema localment, a la memòria del teu dispositiu, o d’algun dispositiu al qual l’hagis copiat tu mateix (un pendrive, per exemple).

Un i altre tipus de programes gestors no són incompatibles. És a dir, es pot fer servir un gestor online per a la majoria de serveis (la qual cosa us aportarà comoditat d’ús) i també un d’offline per a algun/s servei/s més “sensibles” (normalment aquells als quals accedireu des d’un PC de sobretaula i a través de TOR). Això sí: tot i que un gestor offline us ofereix major seguretat, us heu d’assegurar molt i molt de no extraviar-lo, perquè la pèrdua seria definitiva.

Si la vostra opció és un programa gestor de contrasenyes, recordeu activar les opcions de captura automàtica de la contrasenya i d’integració amb el Firefox; us farà la vida molt més fàcil. I sobretot, activeu les actualitzacions automàtiques del programa.

Una possible mesura afegida de seguretat que ofereixen molts programes de gestió de contrasenyes és l’autenticació en dos passos. Tot i que com a pràctica de seguretat en general és altament recomanable, cal tenir clar que aquest “segon pas” acostuma a ser la introducció d’un codi PIN que t’envien al mòbil. Aquest sistema, doncs, no resulta adequat implementar-lo en l’ús de dispositius o serveis relacionats amb el vostre activisme, perquè us delataria automàticament.

Generadors de contrasenyesModifica

Són l’alternativa als programes de gestió de contrasenyes. Són aplicacions “hashers” (que què és un hash? llegiu això: https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/) que apliquen algoritmes i generen contrasenyes úniques i complexes a partir d’una contrasenya mestra i de la URL de la web a què et vols connectar. No guarden cap contrasenya, per la qual cosa són inviolables i no les pots perdre. No necessites sincronització entre dispositius. Senzillament, has de recordar la contrasenya mestra. A https://victorhck.gitlab.io/privacytools-es/ ens en recomanen algunes: https://masterpassword.app/, https://chriszarate.github.io/supergenpass/ o https://lesspass.com/#/

La nostra recomanació: LessPassModifica

LessPass és molt senzill d’utilitzar i és de codi obert.

Al PCModifica

Al PC s’hi instal·la com a complement del Firefox, i queda fixat a la barra d’eines. Quan hagis d’ingressar la contrasenya d’accés en alguna web o servei, simplement clica al damunt i s’obre una finestra. Et demanarà:

  • l’adreça de la web a la que et connectes (www.instagram.com; twitter.com; etc.). Normalment ja te la posarà ell mateix.
  • el teu nom d’usuari (nick) al servei
  • la teva contrasenya mestra

Cliques al botó “Generate” i a sota apareix un requadre amb la contrasenya. Pots veure-la clicant el requadre amb l’ull.

Finalment, cliques sobre la casella blava de l’esquerra i un petit menú contextual apareix i t’informa de que ja s’ha copiat la contrasenya (copied!).

Ja només es tracta d’enganxar-la a la casella de contrasenya de la web o servei. I ja està. És més llarg i difícil explicar-ho o llegir-ho, que fer-ho.

A AndroidModifica

Has d’instal·lar l’app des del PlayStore.

Abans d’accedir a un servei, primer clica sobre la icona de LessPass i se t’obrirà la seva pantalla. A partir d’aqui, segueix les mateixes instruccions de més amunt fins a copiar la contrasenya generada.

Llavors, tanques LessPass i obres l’app del servei en qüestió (instagram, facebook…), escrius el teu nick identificatiu i a la casella de contrasenya enganxes la que tens copiada. Et voilà.