domingo, 24 de enero de 2010

Un principio básico de la seguridad de la información

Acabo de terminar de cancelar mi suscripción de hosting personal. La compañía en donde tenía el servicio acaba de imponer algunas reglas nuevas respecto de la contraseña del usuario. Estas son las nuevas reglas:

  • cambiar la contraseña cada 2 meses
  • usar más de 8 caracteres
  • usar al menos un número
  • no usar secuencias de caracteres, o sea no puede ir un “2” después de un “1”, ni una “h” antes de una “i”.
  • Tampoco puede contener secuencias de contraseñas anteriores, o sea si habías usado una secuencia como “ty62w” como parte de una contraseña, no puedes volver a utilizar “ty6”, ni “y62”, ni “62w” (lo habéis pillado)
  • Finalmente, no puede contener nombres, partes de tu correo electrónico, ni tu clave
Es esta una clave más segura. Sí, sin ninguna duda. Pero matemáticamente.   El problema es que las claves de seguridad no son para los ordenadores, sino para los seres humanos. Una clave con las políticas de seguridad como las descritas es mucho más insegura en manos de un ser humano normal. ¿por qué?   Porque se verá forzado a anotara. De lo contrario no la recordará, y si la recuerda la primera vez, la segunda o la tercera será imposible. Entonces claro, necesitaremos que nos recuperen la clave. En estas mismas condiciones ahora tienes una nueva condición, te validan quién eres, y para eso respondes a la pregunta secreta imposible de que alguien la descubra:
  • en qué ciudad naciste
  • o cuál es el apellido de tu madre
  • o cómo se llama tu mascota (sí la que todos vemos en el Facebook)
He mencionado que si no cambias tu clave no te permiten acceder al panel de control o al servicio que tú pagas. Es de locos, buscando asegurar el sistema lo vulneran. Ahora tenemos las claves escritas y seguramente en algún archivo de nombre, eeehhh “claves”, o “contraseñas” (si no da igual, perderemos el archivo), y para cambiar la contraseña tenemos palabras del diccionario y que TODO el mundo conoce o puede encontrar.   Lo anterior es negativo. Ni cerca de lo que esto produce:
  • insatisfacción del cliente
  • clientes perdiendo el tiempo recuperando contraseñas
  • clientes frustrados y diciendo “palabrotas” mientras intenta escribir una clave
  • finalmente, bajas, pérdidas de clientes
  • y toda la cadena de consecuencias posteriores
  Siempre hay una alternativa para los que ofrecen servicios por Internet y piensan buscar una solución complicando las cosas. Desconecta el servidor y ha otra cosa.

No hay comentarios:

Publicar un comentario en la entrada