El teu gestor contra la teva memòria: l'única regla que va sobreviure

Publicat el per David Carrero

Hi ha una diferència enorme entre una regla que incompleixes i una regla que no pots complir. «Una contrasenya diferent a cada lloc» és la segona.

De tot el catecisme que vam aprendre —la majúscula, el número, el símbol, el canvi periòdic obligatori—, el NIST en va llençar gairebé tot per la borda al SP 800-63B. La llargada va passar a importar més que el retorciment. La rotació forçada va desaparèixer llevat d’indici de compromís. Allò d’exigir símbols es va substituir per una cosa molt més assenyada: comprovar la contrasenya contra llistes de les que ja s’han filtrat.

Va sobreviure una sola regla. La de no repetir. I és la que menys cas vam fer, perquè per complir-la calia una cosa que cap cartell de la intranet no esmentava.

Per què la teva memòria no pot

Pensa quants comptes tens. No els que fas servir: els que tens. El banc, el correu, l’altre correu, la botiga on vas comprar unes sabatilles el 2019, el fòrum, la companyia aèria, l’app del pàrquing, el gestor de la comunitat de veïns, el web de l’administració que et va obligar a registrar-te per a un tràmit de cinc minuts.

Ara imagina’t memoritzar una cadena llarga, aleatòria i diferent per a cadascun. No és que sigui difícil. És que no és un objectiu a l’abast d’un cervell humà, i sostenir el contrari durant anys ha estat una de les crueltats menors de la seguretat informàtica.

Així que vam fer l’única cosa que es podia fer: una contrasenya bona i les seves variacions. Carxofa2019! per al banc i Carxofa2019? per al fòrum. O directament la mateixa a tot arreu, amb un asterisc mental de «bé, al banc en tinc una altra».

I aquí és on hi ha el problema, perquè l’atac real no consisteix a endevinar la teva contrasenya. Consisteix a provar la que ja et van robar en un altre lloc. El fòrum del 2019 es filtra —els fòrums del 2019 es filtren—, algú agafa aquella llista de correus i contrasenyes i la prova, automatitzada, contra tots els serveis que se li acudeixen. No cal trencar res. Tu ja li vas donar la clau; només està provant portes. Això és credential stuffing, i funciona exactament perquè l’única regla que importava és la que ningú no podia complir.

Un gestor no és comoditat

Aquí és on se sol vendre el gestor de contrasenyes com un luxe: que còmode, omple sol, no has de teclejar. És veritat, i és el de menys.

Un gestor no t’estalvia feina: et fa possible una regla que sense ell és inabastable. És la diferència entre demanar-te que corris cent quilòmetres i donar-te una bicicleta. La xifra no canvia; canvia si la pots fer.

Amb un al davant, tota la resta del SP 800-63B es resol sola. Llargues abans que complexes? El gestor les genera de la llargada que vulguis, perquè no les teclejaràs. Diferents a cada lloc? Trivial, per definició. Res de rotació forçada? Perfecte: només canvies la que s’ha filtrat, i molts gestors t’avisen quan això passa. L’única que has de continuar memoritzant és la mestra, i aquesta sí que es mereix que la generis amb cura —quatre o cinc paraules a l’atzar al generador i comprovar com aguanta al comprovador—.

L’objecció honesta

«Posar tots els ous al mateix cistell.» L’he sentida mil vegades i no és cap ximpleria. Si algú entra al teu gestor, entra a tot. És un punt únic de fallada, i qui et digui que no ho és t’està venent alguna cosa.

La resposta també ha de ser honesta: sí, és un cistell únic, però l’alternativa no és tenir els ous repartits. És tenir-los per terra. Sense gestor no acabes amb vuitanta contrasenyes independents; acabes amb la mateixa contrasenya a vuitanta llocs, que és el mateix cistell però sense tanca, sense xifratge i replicat a vuitanta servidors aliens la seguretat dels quals desconeixes del tot.

Fixa’t en el model d’amenaça real. Que algú rebenti la caixa forta xifrada d’un gestor seriós requereix, o bé una fallada greu del producte, o bé la teva contrasenya mestra. Que algú provi al teu correu la contrasenya que vas fer servir en una botiga en línia no requereix absolutament res: és un script i una llista. Estàs comparant un atac que necessita molt amb un que ja està passant, constantment, en pilot automàtic.

El que sí que és una precaució raonable: una mestra llarga i única, segon factor activat al gestor, i ser conscient que la mestra ara és el teu punt crític. Tracta-la com a tal.

Quin, i per què no hi ha una resposta única

Aquí toca dir una cosa incòmoda per a un lloc que té enllaços d’afiliat: el millor gestor és el que faràs servir, i n’hi ha més d’un de bo.

Bitwarden és programari lliure, té un pla gratuït que cobreix el que necessita gairebé tothom i el pots allotjar tu mateix si et ve de gust. Que el seu codi sigui auditable no és màrqueting: vol dir que no depens de la paraula de ningú.

KeePass —i els seus derivats— ho desa tot en un fitxer local. Sense núvol, sense compte, sense proveïdor. Si la teva preocupació és «no vull que les meves contrasenyes siguin al servidor d’un altre», aquesta preocupació està literalment resolta. A canvi, la sincronització entre els teus dispositius és cosa teva.

1Password és de pagament i és al que enllacem des d’ aquí —afiliat, que consti—. El que fa bé és la part que sol decidir si un gestor sobreviu dins d’una casa: que la gent no tècnica l’entengui, el comparteixi amb la parella i no l’abandoni al cap d’una setmana. No és més segur que Bitwarden pel fet de ser de pagament. És, per a molta gent, més fàcil de no abandonar.

I el gestor del teu navegador. Gratis, ja el tens instal·lat, ja t’ofereix desar. Està per sota dels anteriors en control, en portabilitat i a l’hora de compartir, i et lliga a un ecosistema. Tant és: fer servir el del navegador és incomparablement millor que no fer-ne servir cap, perquè resol el problema gros. Qualsevol que et digui el contrari està posant la puresa per davant del risc real.

La frase que ho resumeix tot

Durant anys ens van dir com havia de ser cada contrasenya i gairebé mai no ens van dir com ens en recordaríem, de totes. Era el pas que faltava, i sense ell l’única regla que va sobreviure no era una regla: era un retret.

Tria’n un. Qualsevol d’ells. El debat sobre quin és marginal comparat amb la distància que hi ha entre tenir gestor i no tenir-ne.


Fonts: NIST SP 800-63B, «Digital Identity Guidelines: Authentication and Lifecycle Management» (llargada per sobre de complexitat, sense rotació forçada llevat d’indici de compromís, contrast amb llistes de contrasenyes compromeses) · documentació i models de seguretat publicats per Bitwarden, KeePass i 1Password.

← Tornar al blog