Amb aquest article començ al blog una nova categoria, la de tecnologia i aplicacions. I ho faig amb aquest tema sobre la seguretat dels nostres comptes d’internet que segur que pot donar per unes quantes entrades. La seguretat a internet depèn de diversos factors, però comença per nosaltres mateixos. La primera línia de defensa de la privacitat digital depèn de la creació i gestió de contrasenyes segures.
A dia d’avui tots tenim comptes en diferents pàgines:
- Un o diversos correus electrònics.
- Xarxes socials
- Botigues online
- Empreses de proveïdors de serveis
- Banca digital
- Organitzacions de les que formam part
- Administracions
- Les nostres pròpies pàgines web i blogs
En la societat de la informació que tenim, els serveis a internet i els comerços electrònics s’han generalitzat. La necessitat de restringir l’accés i garantir la nostra pròpia privacitat han provocat que tots tinguem una proliferació de comptes en què hem d’introduir un nom d’usuari i una contrasenya.
L’usuari normalment pot esser el nostre nom o un pseudònim, o directament un compte de correu electrònic. Per suposat, és preferible que en els nostres comptes no tinguem noms d’usuari massa evidents. Si és fàcil saber un nom d’usuari d’una persona concreta en un compte, qualsevol pirata ja disposa d’una de les dades que li permetrien l’accés.
La segona dada necessària per accedir a un compte és la contrasenya. I aquí és on recau la major part de la seguretat d’un compte. Almenys pel que depèn de nosaltres mateixos com a usuaris. Quan començàvem a utilitzar internet els primers comptes que vam tenir pràcticament tots van ser els dels correus electrònics. I amb els e-mails van sorgir també les nostres primeres contrasenyes. Allò semblava de pel·lícula eh? Haver de posar una clau de seguretat perquè ningú més pogués entrar al nostre correu feia gràcia.
Contrasenyes no segures i pràctiques no recomanades
Evidentment la majoria no es va prendre gaire seriosament aquesta seguretat. Total per un correu electrònic per escriure coses als amics i familiars… Tenir una contrasenya que sigui fàcil de recordar ha estat i és la norma que molts prioritzen. D’aquí sorgeixen les contrasenyes febles, de pocs caràcters, i que responen a circumstàncies personals de l’usuari. Qui més qui menys haurà utilitzat en alguna ocasió contrasenyes tan poc segures i tan poc recomanables com:
- El propi nom
- El nom de la parella, o dels fills, o d’aquella mascota tan estimada.
- La data de naixement, o d’algun esdeveniment memorable per l’usuari
- Combinacions de les anteriors
T’identifiques amb aquestes contrasenyes? Encara ets dels que les empren? Segueix llegint que et convé.
El problema apareix quan el correu electrònic es converteix en la porta d’entrada per confirmar i rebre les dades d’accés d’altres comptes més sensibles que ens hem anat creant amb el temps. I açò pot afectar per exemple comptes de banca digital, amb accés als nostres estalvis. A més, la necessitat d’haver de recordar les dades d’accés a diferents llocs ha propiciat també un altre costum ben poc segur: posar la mateixa contrasenya en diferents llocs!
I quin problema hi ha en tenir una sola contrasenya? Evidentment, que si algú descobreix la teva contrasenya, podria provar d’accedir als teus diferents comptes. I el que és pitjor, aconseguir-ho!
Altres, de forma més elaborada, han optat per crear variacions de la mateixa contrasenya que es pugui utilitzar en diferents llocs. Per exemple una paraula de pas que inclogui el nom del lloc o de la pàgina on es crea el compte, i alguna paraula clau habitual. Així la contrasenya es pot recordar però no és ben bé la mateixa en cada compte.
I l’inconvenient és que d’aquesta manera també és possible desxifrar de forma relativament fàcil per qui tengui els mitjans les contrasenyes d’accés als nostres comptes. Avui en dia i amb la tecnologia disponible fins i tot qualsevol contrasenya basada en paraules llegibles i incloses en un diccionari es podrien arribar a desxifrar per accedir a un compte d’internet.
Contrasenyes segures recomanades
Si qualsevol paraula llegible pot arribar a ser descoberta per pirates informàtics, el que hauríem de tenir són contrasenyes “no llegibles” no? Elemental, estimat Watson.
Efectivament, combinacions de lletres majúscules i minúscules, nombres i caràcters especials, de 12 caràcters millor que del mínim de 7 o 8, són les contrasenyes més segures que podem tenir.
Contrasenyes d’aquest estil:
- u3AsdI&o
- N6r!Q!O9H
- 8fxmMS#7M9
- uy^4!ACXSTW
- *QKwE^R56jpx
Ja, i després qualsevol recorda una contrasenya d’aquestes, em diràs! I a més, una de diferent per cada compte, és de bojos!
Certament aquestes contrasenyes segures no estan pensades per ser recordades. Aquest és l’inconvenient que tenim els usuaris si volem contrasenyes prou fortes com perquè no sigui senzill que algú pugui obtenir-la contra la nostra voluntat.
Llavors, quines solucions hi ha?
Hi ha tres possibles solucions, la bona, la regular i la dolenta. Començam per la dolenta.
La dolenta: perquè apuntar les contrasenyes no és la solució.
Apuntar les contrasenyes segures en paper o en un document del teu propi ordinador no és una bona pràctica.
Primer perquè podries perdre el paper o la teva llibreta de contrasenyes. Imagina’t que te la deixes a l’oficina on treballis. O si aprofites la wi-fi d’un cibercafè, que te la deixis per allà. O que te la robin. I si crees algun document al teu propi ordinador has de procurar que no hi accedeixi ningú més que tu, i mantenir còpies de seguretat. Imagina’t que el teu ordinador es fa malbé i no pots recuperar les contrasenyes. O que el portes a reparar i ves a saber qui pot accedir a les teves dades.
Però és que a més no és pràctic. Cada vegada que vols entrar a un lloc has d’anar a consultar la contrasenya que no recordes. Treure la llibreta i escriure-la manualment, amb el risc que suposa que fàcilment et pots equivocar i haver d’introduir-la de nou. O obrir el document digital on tens tot el teu historial de comptes amb les seves contrasenyes. Si ets a un lloc amb més gent vigila qui et pot estar observant la pantalla.
Realment aquesta opció no és una solució, perquè podria ser pitjor el remei que la malaltia.
La regular: utilitzar regles mnemotècniques
Les regles mnemotècniques són fórmules que et permeten obtenir una contrasenya sense haver de recordar-la directament.
Per exemple si vols una contrasenya segura pel teu compte de banca online penses una frase com “els bancs són uns lladres però no tenc més remei que utilitzar-lo”. Llavors obtindries la contrasenya:
€b$1LpNtMrQu
De l’anterior exemple es podrien desprendre aquestes regles:
- Utilitzar les inicials d’una frase
- Alternar lletres majúscules i minúscules
- Utilitzar els símbols € i $ quan es correspongui amb la E majúscula o la S majúscula. O potser només en aquest cas que es tracta d’un compte bancari.
- Substituir per nombres pronoms com “uns”, que en aquest cas es converteix en “1”.
Si sempre utilitzes les mateixes regles pots crear el teu propi “llenguatge” per generar contrasenyes. El problema és que has de recordar la regla per obtenir la contrasenya. I si crees un compte que deixes d’utilitzar durant un temps potser després et costa recordar quina fórmula havies pensat per la contrasenya corresponent.
Sí, pots crear una contrasenya segura bàsica que es mantengui en tots els teus comptes i fer-ne variacions que puguis identificar amb el compte concret, però n’hauràs de recordar tantes com comptes i procurar no confondre’t.
Si a més vols fer modificacions periòdiques de les teves contrasenyes, que és una molt bona pràctica, tindràs un factor afegit més a recordar: Quina era la darrera regla? Ho soluciones incorporant un any o una data a la contrasenya? Després també hauràs de recordar aquesta variació temporal addicional…
Les regles mnemotècniques poden ser útils per algunes persones. Unes tenen més manya que altres per crear-les. Però si has d’utilitzar molts comptes, alguns que tindran poc ús però que saps que necessitaràs en un futur, potser recordar tanta fórmula se’t pot fer una muntanya.
La solució òptima: un gestor de contrasenyes.
Un gestor de contrasenyes és un programa o aplicació que et permet generar, emmagatzemar, gestionar i utilitzar totes les teves contrasenyes de forma segura i fàcil en els teus diferents comptes.
El seu ús, com gairebé tot en aquest món, té els seus defensors i els seus detractors.
A favor té precisament que són un servei especialitzat que apareix precisament per donar una solució a la necessitat de crear i gestionar contrasenyes segures en tants comptes com faci falta. Segons el servei que es tracti tindrà algunes o totes les prestacions següents:
- Generació de contrasenyes segures
- Emmagatzemar contrasenyes i notes localment o en línia de forma encriptada
- Emplenament automàtic d’inicis de sessió
- Sincronització en múltiples dispositius
- Historial de canvis
- Revisions de seguretat
En contra s’argumenta sobretot que els gestors de contrasenyes estan destinats a convertir-se en objectiu d’atacs informàtics. I és cert, però açò no vol dir necessàriament que hagin d’aconseguir les teves contrasenyes. Si algú volgués una contrasenya teva, ho tindria més fàcil atacant directament el teu ordinador que no els servidors dels gestors de contrasenyes que disposen de majors mesures de seguretat. I a més, si aconseguissin superar aquestes mesures de seguretat, com que les dades que aconseguirien estan encriptades, difícilment podrien llegir res.
I sempre pots afegir mesures de seguretat addicionals, com la verificació de dos factors, que veurem en un altre article.
Els millors gestors de contrasenyes
Ciberprotector
Aquesta eina està creada per Webempresa. Per tant té la garantia i el suport professional d’aquest servei d’allotjament web. En el seu llançament l’han inclosa en contractar els seus plans de hosting, però es tracta d’una eina independent que també pot ser utilitzada al marge dels seus serveis web.
Ciberprotector inclou 4 serveis de seguretat, entre els quals el de gestor de contrasenyes:
- Gestor de contrasenyes segures
- Segon Factor d’autenticació
- VPN Privada
- Seguretat Equipaments
Per tant es tracta d’una eina molt poderosa de seguretat pels teus comptes d’internet, navegació i dispositius. Un tot en un definitiu que resol des d’un sol tauler de control les teves necessitats de protecció de la teva vida digital.
Ciberprotetor és senzill d’utilitzar, com és costum de la marca Webempresa. Només et pot confondre que tengui diferents possibilitats i no només la de gestió de contrasenyes (cosa que en realitat és un avantatge respecte d’altres eines). A més, tens documentació i suport de sobres per qualsevol consulta.
Els seus plans tampoc tenen cap complicació. Pots triar tres opcions: Gratis, Premium i Empresarial.
Totes inclouen els mateixos serveis, però la gratis a partir dels 90 dies limita el nombre de llocs en què ho pots utilitzar i la velocitat VPN. La versió premium sense cap limitació actualment es pot contractar per 59 € anuals, pel que és una gran oportunitat.
La versió empresarial es diferencia de les altres dues bàsicament en el nombre d’usuaris que permet. Es podrà contractar pròximament a partir d’un mínim de 5 usuaris i amb suport per a 25 equips i/o dispositius per 150 € anuals.
Dashlane
El lema de Dashlane és “No oblidis mai una altra contrasenya“. Amb més de 3 milions d’usuaris a tot el món, aquest gestor de contrasenyes elegant i fàcil d’emprar inclou totes les característiques que pots necessitar i encara més:
- Generar i canviar contrasenyes segures en segons
- Inicis de sessió automàtics
- Emplenaments de formularis
- Funciona també com a cartera digital: et permet tenir-hi targetes de crèdit, i et desa rebuts i captures de pantalla de les teves compres.
La seguretat d’aquest gestor fa que ni tan sols Dashlane ni cap pirata informàtic puguin tenir accés a les contrasenyes sense tenir la teva pròpia contrasenya mestra.
Funciona en Windows, Mac, Android i iOS. L’únic defecte per mi com a usuari d’Ubuntu és que no té suport directe per Linux.
Dashlane té tres plans:
Gratis:
Es poden utilitzar totes les funcionalitats com a gestor de contrasenyes i cartera digital en qualsevol dispositiu. Durant 30 dies també tens la versió premium de prova.
Premium:
Per un preu de 39,99$ l’any (uns 3€ mensuals) pots sincronitzar els teus comptes i aplicacions en tots els teus dispositius. Qualsevol compte que obris o tots els canvis de contrasenya i gestions que facis des d’un lloc queden immediatament disponibles en ordinadors, portàtils, mòbils o tauletes en els que hi tenguis Dashlane. A més, es poden compartir contrasenyes i notes de forma il·limitada amb familiars o equips de treball i s’ofereix assistència prioritària.
Business:
El pla per a empreses de Dashlane permet que, segons el nombre d’usuaris, per un preu que pot arribar a ser de menys d’1 € al mes per usuari puguis tenir espais separats al teu compte per les teves dades personals o de treball, per canviar fàcilment entre l’un i l’altre, i gestió dels empleats i dels accessos a les contrasenyes que té cada grup de treball.
LastPass
El lema de LastPass és diferent, més precís. Com indica el seu nom, LastPass és “l’ultima contrasenya que hauràs de recordar“. Procura que sigui una de segura i recorda-la bé, perquè serà la darrera i única que hauràs de tenir present. De la resta s’encarrega LastPass.
LastPass es pot sincronitzar en qualsevol sistema operatiu, inclòs Linux, perquè funciona online mitjançant extensions que s’instal·len als teus navegadors d’escriptori i amb aplicació per a mòbil. A més, tenien oberta una plataforma per col·laborar en les traduccions de les seves versions d’internet i mòbil (actualment ja no està operativa). Quan ho vaig descobrir hi vaig participar fent una part de la traducció en català i al cap de poc temps em van sorprendre amb un regal: la versió premium per tota la vida!
Per aquests motius i per ser un gestor de contrasenyes també ben complert és l’opció que jo mateix tenc instal·lada al meu portàtil i el meu mòbil. D’açò ja deu fer uns anys, i amb el temps i les actualitzacions la versió en català ja està un poc obsoleta i necessita més feina.
Precisament LastPass va ser objecte d’un haqueig segons va reconèixer la pròpia companyia. Però sense que s’arribàs a aconseguir les contrasenyes desades dels usuaris. Actualment LastPass ha reforçat encara més les mesures de seguretat i ara ofereix la sincronització en múltiples dispositius de forma gratis.
Les prestacions de LastPass no tenen res a envejar a les de Dashlane, i des de la versió LastPass 4.0 també ha millorat molt el seu disseny. Disposa de diversos plans de preus:
Gratis:
- Gestiona la creació i emmagatzematge de contrasenyes i notes segures, que pots compartir o no.
- Inicis de sessió automàtics.
- Emplenament de formularis (desa targetes de crèdit i camps per a compres online)
- Revisions de seguretat
- Historial de canvis
Premium:
A més de tot l’anterior, per 1$ al mes inclou:
- Carpeta familiar compartida de fins a 5 membres
- LastPass per aplicacions
- Identificació dactilar
- Fins a 1Gb de fitxers encriptats
- Suport prioritari
Si vols provar la versió Premium, a través de qualsevol dels enllaços a LasPass d’aquest article tens 30 dies gratis.
LastPass ofereix diferents plans de preus per a negocis i equips:
Teams:
Un pla recomanat per equips de fins a 50 persones per menys de 2.50$ mensuals per usuari.
Enterprise:
S’ofereixen plans amb un preu que varia segons el nombre d’usuaris o condicions específiques negociades per a grans empreses.
1Password
Un altre dels grans gestors de contrasenyes que he provat. 1Password no té versió gratis, només un període de prova de 30 dies. Actualment el client d’escriptori funciona en MacOS Yosemite i Windows 7 o més recents, i l’aplicació de mòbil a partir de iOS 9 i Android 5.0. De totes maneres també s’hi pot accedir online via navegador web en Mac, Windows o Linux.
Els seus plans de preus són l’individual per 2.99$ al mes, el familiar per 4.99$ al mes. També té tres plans de negoci, l’estàndard per 3.99$ mensuals, el Pro per 11.99$ mensuals i el pla Enterprise de negociació directa amb la companyia.
Les seves característiques són similars a les dels altres gestors que ja hem vist. Inclouen accés sense connexió a internet, suport per e-mail, 1 Gb per a documents, 365 dies d’historial de canvis, o cartera digital.
KeePass, KeePassX i KeePassDroid
I no podria acabar aquest llistat sense com a mínim mencionar algunes de les alternatives de codi lliure i gratuïtes que existeixen i que també són multiplataforma i que pots sincronitzar en tots els teus dispositius via Dropbox o Drive.
Tant KeePass o KeePass2 com KeePassX et permeten desar i gestionar les teves contrasenyes en clients d’escriptori i utilitzar-les també en el teu mòbil amb una aplicació com KeePassDroid. La sincronització l’has de configurar manualment tu mateix en un compte teu de dades al núvol.
En aquest cas les prestacions i l’experiència d’usuari són bastant més limitades. Però són uns gestors de contrasenyes que fan perfectament la seva funció i que sempre seran millors que haver de recordar desenes de contrasenyes o apuntar-les en una llibreta.
