Llegamos a ustedes gracias a:



Reportajes y análisis

Sumergidos en un mar de passwords

Consejos y herramientas para mantenerse sano y seguro

[23/11/2009] Otro día, otro password: Gracias a las aplicaciones basadas en web, nos estamos llenando de palabras clave. ¿Cómo hacer para recordarlas todas sin poner en riesgo nuestra seguridad? A continuación, algunas herramientas y estrategias útiles que no necesariamente consisten en anotar los passwords en post-its.

¿Quién diablos soy? Soy el comprador-Bill, el volante-Bill, el lector-Bill, el potrero-Bill, o ese, aquel, el otro, el de más allá y los demás Bills de los 30 o más sitios web en los que se resume mi vida en línea? ¿Y, por último, cuál de todos esos passwords es el que necesito en este momento?
Si usted es de las personas que pasan mucho tiempo en Internet, probablemente tenga el mismo problema que yo: ¿Cómo recordar su cada vez más larga lista de nombres de usuario y passwords, sin poner en riesgo la seguridad de su información? 
Usted es lo suficientemente sensato como para saber que el robo de identidad y el acceso ilegal a la información personal y financiera son problemas reales que debemos evitar. ¿Pero qué está haciendo al respecto? Muy probablemente, no mucho, adelanta Andrew Jaquith, analista de seguridad informática de Forrester Research. "Hay dos tipos de personas; las que parecen preocuparse por la seguridad de sus cuentas y aquellas que actúan como si no les interesara". La mayoría de gente, dice, pertenece a la segunda categoría.
Si se encuentra en ese grupo, su estrategia de seguridad puede reducirse a usar el mismo password para cada sitio al que tiene que acceder. Por un lado, las probabilidades de que se lo roben no son tan altas y es casi imposible que se le olvide. Pero si alguien logra descifrarlo, tendrá acceso a toda su vida en línea, incluyendo cuentas de banco, y tal vez incluso historias médicas. No muy agradable, ¿verdad?
Pues resulta que hay una serie de estrategias que pueden ayudarle a conjurar ese horrendo escenario. La mayoría son simples, gratuitas o bastante baratas, y sobre todo mucho más seguras que lo que está haciendo hasta ahora. Aunque algunas son solo medidas preventivas que podrían fallar de un momento a otro.
Un Password seguro o casi
Empecemos con mi favorito. Un programa de Windows llamado RoboForm, (29,95 dólares), de Siber Systems. RoboForm almacena en un servidor seguro nuestros passwords, nombres de usuario, información personal y los URL de los sitios que visitamos. Nuestra información queda protegida por un password maestro que tendremos que ingresar antes de loguearnos en algún website. Enseguida, el programa nos conectará y llenará automáticamente los formularios que normalmente hay que responder para comprar en línea. Si suele trabajar en dos computadoras, por ejemplo una en la casa y la otra en el trabajo, puede sincronizarlas para tener sus passwords en ambos sistemas.
Hasta hace poco, RoboForm padecía el mismo defecto la mayoría de administradores: era inútil para trabajar en una computadora pública. Lo cual puede ser un serio problema si estamos viajando sin nuestra laptop, y de repente nos damos cuenta que tenemos que pagar algunas facturas o hacer una transacción a través de internet.
RoboForm Online ha resuelto ese impedimento, aunque por ahora solo en versión beta y sin mucho glamour: exige una firma doble y otras molestias menores. Pero la cosa es que funciona (al menos, a mí me funcionó) y la compañía espera terminar esta versión, y tal vez incluso mejorarla, dentro de algunos meses.
También hay una versión para el iPhone, y se puede cargar RoboForm en un drive USB para usarlo en computadoras públicas. La compañía afirma que la versión USB no deja rastros.
Cuando use RoboForm no olvide su password maestro porque no se puede recuperar. Si bien la recuperación de password es un atributo común en muchos web sites, Siber Systems decidió que reforzar la seguridad era más importante que este potencial inconveniente.
Herramientas para usuarios Mac
Como reconocen sus mismos fabricantes, RoboForm no funciona muy bien en una Mac (lo cual debería cambiar el año próximo) pero un programa similar, llamado 1Password (39,95 dólares), de Agile Web Solutions, ofrece casi los mismos atributos para hardware Apple. No los he probado, pero el producto ha recibido buenos comentarios y cuenta con la aprobación de Jaquith de Forrester. Los usuarios de las diferentes versiones de Mac OS también pueden sacarle partido a una función incorporada, Keychain, que brinda administración de password en una sola máquina.
Otra alternativa similar a RoboForm es el utilitario Keeper de Callpod  (29,95 dólares), que viene en versiones para Mac, Windows, y Linux (el proveedor ofrece 15 días gratuitos de evaluación). Hay una versión móvil de Keeper, que se vende por separado, para usuarios de iPhone e iPod.
Los usuarios de smartphones que deseen vivir seguros, deben primeramente aplicar protección de passwords a su propio dispositivo.
Una jugada gratuita o tal vez dos
Si no quiere gastar dinero, sencillamente puede colocar sus passwords en un archivo del tipo a password-protected. Es muy fácil en Microsoft Word: simplemente vaya a Herramientas, luego a Opciones y dé click en la pestaña de seguridad. Aparecerá la opción de pedir un password para abrir el archivo, o simplemente modificarlo. Si sale de viaje, puede colocar ese archivo en una memoria USB. Pero no se vaya a olvidar de ese password. Si existe alguna manera de recuperar el archivo en esa clave, por lo menos yo no la conozco. Cuidado: Muchos gurús de la seguridad, como Bruce Schneier, no recomiendan mantener este tipo de archivo en la PC.
La mayoría de browsers, incluyendo Internet Explorer, Firefox y Safari pueden llenar automáticamente formularios y passwords. Lo cual puede resultar de gran utilidad, y no presenta mayor riesgo siempre y cuando tengamos la plena seguridad de que nadie más puede acceder a nuestra computadora. Pero si su hijo adolescente o alguna otra persona también usa su PC, entonces podría haber problemas. 
Una solución simple consiste en borrar los passwords registrados y los formularios una vez que hayamos terminado de necesitarlos. En Firefox, por ejemplo, vaya a "Herramientas," "Opciones" y luego a la pestaña de seguridad para ubicar el botón "passwords registrados". Déle un click y aparecerá una lista de passwords y nombres de usuario: borre todos o solo los que desee. Los demás browsers tienen atributos parecidos.
Tenga presente que las computadoras públicas suelen estar infectadas con malware, incluyendo keyloggers que copian todo lo que uno tipea. Los administradores de passwords no corren peligro porque el password no se tipea realmente en la página.
Para terminar, Google y algunos otros pesos pesados del mundo en línea están tratando de resucitar una vieja idea: un combo password/username único y seguro, como el ID de Google o Yahoo, que se pueda usar para varios sitios web.
Sun y otras compañías han experimentado con esquemas parecidos, pero ninguno prosperó mucho. Quizá este intento sí dé resultado. Aunque mejor esperemos sentados, y sigamos explorando las opciones disponibles de administración de password. Al menos, es lo que yo haré.
Bill Snyder, CIO.com