No utilitzar contrasenyes millora la seguretat. T'expliquem com fer-ho.

Les contrasenyes són un element bàsic del nostre món digital, però, malgrat això, són l'origen d'una infinitat de frustracions i angoixes.

Segur que aquesta situació t'és familiar:

• Contrasenya incorrecta. Si us plau, torneu-ho a intentar.

Fas clic a “He oblidat la contrasenya”.

• Si us plau, introduïu una nova clau d'accés.

Introdueixes la nova contrasenya.

• La contrasenya introduïda coincideix amb una que ja havies utilitzat abans. Si us plau, torneu-ho a intentar

...

Història de les contrasenyes

L'ús de les contrasenyes es remunta a temps endarrere:

• a la Bíblia. Al capítol 12 del Llibre dels Jutges, durant el caos a la batalla entre les tribus de Galaad i Efraïm, els soldats galaadites utilitzaven la paraula 'shibboleth' per detectar els seus enemics, ja que els efraïmites la pronunciaven lleugerament diferent en el seu dialecte.
• A la literatura. El conte clàssic Alí Babà i els quaranta lladres, el va escriure l'orientalista francès Antoine Galland al segle XVIII. La invocació "Obre't, Sèsam!", utilitzada al conte per obrir una cova segellada màgicament, continua sent una frase molt usada avui dia.

Actualment, les contrasenyes són un component essencial en l'àmbit de la seguretat moderna.

• La primera contrasenya digital. El 1961, el professor de ciències de la computació del MIT, Fernando Corbato, va crear la primera contrasenya digital per solucionar l'accés concurrent d'usuaris a la computadora de temps compartit que havia creat. Cada usuari necessitava accedir de manera privada als terminals. La solució? Proporcionar a cada usuari una contrasenya.
• Sobrecàrrega de contrasenyes. Avui dia hi ha contrasenyes per a gairebé tot. Cadascun de nosaltres tenim, de mitjana, més de 100 contrasenyes, i sovint les compartim amb familiars, amics o companys de feina (Netflix, us sona?). Intentar recordar-les totes pot ser esgotador.

Siguem sincers, les contrasenyes són un destorb.

o primer de tot és que les contrasenyes només són efectives si els usuaris s'hi escarrassen. Per això s'haurien d'utilitzar contrasenyes segures i úniques per a cada servei. Però, no només això, a més, s'haurien d'actualitzar periòdicament i activar, sempre que es pugui, opcions de seguretat avançades com pot ser la MFA (autenticació multifactor).

No vivim en un món ideal. Els usuaris no solen tenir el temps per gestionar correctament les seves contrasenyes. Les empreses cometen errades. Els accidents passen.

Qualsevol mecanisme que només funcioni sota circumstàncies perfectes, i aquí crec que tots podem estar d'acord, deixa molt a desitjar. Les contrasenyes van ser molt útils al seu dia, però ja és hora de reemplaçar-les per una alternativa més segura i pràctica.

Un consens creixent

No és una opinió minoritària, sinó una perspectiva que comparteixen la gran majoria dels professionals d'IT. El 2020, una enquesta de LastPass va revelar que el 95% dels professionals d'IT creuen que les contrasenyes representen un risc de seguretat per a la seva organització.

Van destacar diverses males pràctiques, que van des de l'ús de contrasenyes poc fortes i la seva reutilització fins a la falta de modificació de les credencials predeterminades en aplicacions i dispositius. Quants de vosaltres heu canviat la contrasenya del router que us va donar la vostra companyia telefònica?

I no és d'estranyar. Com ja hem comentat, l'ús de les contrasenyes es remunta a una època en la qual estava en auge l'ús compartit de grans computadores i els acadèmics competien per l'accés a grans mainframes de la mida d'un refrigerador. Aquests usuaris necessitaven un lloc segur per emmagatzemar els seus arxius, dades i aplicacions, per la qual cosa el professor Fernando Corbato va establir un sistema en què cada usuari tenia un nom d'usuari i una contrasenya.

La idea de Corbato d'utilitzar credencials úniques per a cada usuari s'ha mantingut en ús i, durant les dècades posteriors, els professionals de la seguretat han intentat ocultar-ne els defectes mitjançant la introducció de noves mesures i estàndards.

Les empreses van començar a emmagatzemar a la seva BD els hashes de les contrasenyes en comptes del seu text pla per evitar que un atacant que hi accedís pogués llegir aquesta informació. També es xifraven les credencials quan havien de travessar la xarxa. Abans de l'ús generalitzat de l'SSL, un atacant podia connectar-se a una xarxa wifi no segura i, amb eines open source com WireShark, capturar el trànsit de xarxa i obtenir les credencials i les galetes de sessió.

Per bé que aquestes mesures mitiguen en certa mesura el problema, no aborden els problemes intrínsecs a l'ús de contrasenyes. I és que, abans de l'arribada de mesures de gestió d'identitat modernes, com l'autenticació multifactor (MFA) o l'inici de sessió únic (SSO), res no impedia que un atacant, simplement, endevinés una contrasenya. Tampoc no impedeixen l'atac de credencials en massa (credential stuffing), és a dir, reutilitzar les credencials filtrades o obtingudes en un atac a un servei en uns altres, ja que els usuaris, lamentablement, solen reutilitzar les seves credencials.

Això no s'ha d'interpretar com un atac a la deixadesa dels usuaris; simplement, les contrasenyes no es van dissenyar per a l'ús actual en sistemes i aplicacions en xarxa, generalitzades i massives.

El que sí que hem d'assumir és que els usuaris cerquen la senzillesa, cosa que es pot traduir en l'ús de contrasenyes febles i la seva reutilització en múltiples serveis. Hi ha una sèrie de problemes intrínsecs a les contrasenyes que no es resolen fàcilment amb criptografia.

1. Les contrasenyes curtes són més fàcils de recordar, però també més senzilles d'endevinar. Moltes persones encara utilitzen "contrasenya" o "123456" com la clau d'accés a les seves dades confidencials. Les contrasenyes que són febles o fàcils d'endevinar són més comunes del que podríem esperar. Un estudi recent del NCSC va descobrir que al voltant d'una de cada sis persones utilitza els noms de les seves mascotes com a contrasenyes, cosa que les fa molt predictibles. Per empitjorar les coses, aquestes contrasenyes tendeixen a reutilitzar-se en diversos llocs: un terç de les persones (32%) utilitza la mateixa contrasenya per accedir a comptes diferents.
2. Les contrasenyes més llargues són més difícils de desxifrar, però també més difícils de recordar. Les contrasenyes mai no es van dissenyar per a l'ús a gran escala d'avui dia. Els humans no estem fets per recordar llargues cadenes de lletres i números, per la qual cosa, triarem sempre l'opció més senzilla.
3. Fins i tot la contrasenya més complexa i única que ideï un usuari no té valor si una empresa no emmagatzema correctament les credencials. Al final, les empreses depenen de l'ús correcte de les credencials per part dels usuaris, i aquests, al seu torn, que els serveis que utilitzen estiguin degudament protegits.

Una breu repassada pels atacs contra les contrasenyes

• 1962: la primera bretxa coneguda va ocórrer quan un investigador del MIT va imprimir claus d'accés i les va compartir amb altres usuaris.
• 1966: també al MIT, un error de programari va provocar que qualsevol que iniciés sessió en un dels seus sistemes pogués veure les contrasenyes de tots els usuaris. En aquesta etapa primerenca de la història de les contrasenyes, els pirates ètics estaven més interessats a explorar i provar sistemes informàtics que en activitats delictives.
• Dècada dels 70: els primers dolents comencen a aparèixer. Alguns es prenien el tema com una broma; mentrestant, els 'phreakers' (pirates telefònics) ja feien trucades gratuïtes de llarga distància piratejant els sistemes telefònics.
• 1988: l'infame cuc Morris va infectar 6.000 ordinadors en xarxa; va ser un atac maliciós dissenyat per propagar-se. En aquesta dècada van aparèixer els primers mecanismes d'autenticació multifactor (MFA), principalment, per utilitzar-los en les VPN d'accés remot, que acabaven d'aparèixer.
• 2012: LinkedIn va patir una 'data breach' (violació de dades) mitjançant la qual els pirates van aconseguir accedir als hashes de les contrasenyes. Es considera el primer atac informàtic mitjançant enginyeria social i va fer ús d'atac “Rainbow table” (vegeu més avall).

Els 5 principals atacs contra contrasenyes de l'actualitat

La trista realitat és que moltes de les tàctiques utilitzades en aquests primers dies per comprometre la seguretat de les contrasenyes continuen sent vigents. A més, els malfactors han evolucionat amb la tecnologia i els atacs s'han tornat més sofisticats. El resultat final, tanmateix, continua sent el mateix. En aquesta nova era digital, la pèrdua o la posada en risc de les credencials de seguretat és un malson. Un accés no autoritzat a un sistema pot provocar conseqüències financeres greus, responsabilitats legals, sancions i danys a la reputació.

• Phishing: una de les tècniques de robatori de contrasenyes més comunes avui dia. Fa ús de tècniques d'enginyeria social, i el seu èxit es basa a enganyar la víctima perquè reveli informació confidencial.
• Enginyeria social: aquest terme generalment es refereix al procés d'enganyar els usuaris perquè creguin que el pirata és un agent legítim; es basa en la manipulació psicològica de les persones perquè facin accions o divulguin informació confidencial. Una tàctica comuna és que els pirates informàtics truquin a una víctima fent-se passar pel suport tècnic i li sol·licitin les credencials d'accés a la xarxa per, així, poder ajudar-lo.
• Atac de força bruta: aglutina diversos mètodes de pirateria que intenten endevinar contrasenyes per accedir a un sistema. La majoria d'aquests atacs fan servir algun tipus de processament automatitzat, cosa que permet provar grans quantitats de contrasenyes en un sistema.
• Atac de diccionari: és un exemple una mica més sofisticat d'un atac de força bruta. Utilitza un procés automatitzat d'intents d'accés a un sistema que es nodreix d'una llista amb les contrasenyes i frases d'accés més comunes. Aquest diccionari de contrasenyes acostuma a provenir de hacks anteriors, també acostuma a contenir les contrasenyes que s'utilitzen més comunament.
• Atac de taula d'arc de Sant Martí: cada vegada que s'emmagatzema una contrasenya en un sistema, generalment, es xifra mitjançant un hash, cosa que fa impossible determinar la contrasenya original sense el hash corresponent. Per eludir això, els pirates informàtics mantenen i comparteixen directoris que registren les contrasenyes i els seus hashes corresponents, sovint creats a partir d'atacs anteriors, cosa que redueix el temps per poder entrar en un sistema. S'utilitza en atacs de força bruta.

Conclusió

L'autenticació tradicional mitjançant un nom d'usuari i una contrasenya ha estat la base de la identitat i la seguretat digital durant més de 50 anys. Avui dia, amb l'augment exponencial de comptes d'usuari, aquest mecanisme s'enfronta a nous problemes, com, per exemple, la gestió correcta de les credencials per part dels usuaris, els costos de suport i, encara més importants, els riscos de seguretat que plantegen les credencials compromeses.

Aquests nous reptes superen amb escreix els beneficis de les contrasenyes, per la qual cosa, l'opció d'eliminar les contrasenyes dels mecanismes d'autenticació guanya pes cada dia.

En resum, sabem que les contrasenyes són el taló d'Aquil·les de la seguretat i que els seus punts febles no es poden solucionar només amb més tècniques de xifratge.

Ha arribat el moment de reflexionar seriosament i deixar pas a nous mecanismes d'autenticació que, a més de ser més segurs, millorin l'experiència de l'usuari (UX).

L'autenticació sense contrasenya no és cosa del futur, ja és una realitat. És probable que ja utilitzis tecnologies sense contrasenya a la teva vida quotidiana, com Touch ID i Face ID d'Apple o Hello de Microsoft. A la feina, pots iniciar sessió amb una empremta digital o una targeta intel·ligent, o bé, pots utilitzar l'autenticació basada en tokens, que demostra la teva identitat generant una contrasenya d'un sol ús (OTP) a través d'una aplicació mòbil.