Webgune batean «ez dugu zure pasahitza gordetzen» idazteak beste edozer idazteak adina balio du: ezer ez. Esaldi bat da, ez berme bat. Egia esaten duenak eta gezurra esaten duenak berdin idazten dute, eta pantailaren zure aldetik biak berdin-berdinak ikusten dira.
Hori da pasahitza «aztertzeko» eskatzen dizun edozein weberen benetako arazoa. Zerbitzua bikaina izanda ere —kode txukuna, asmo onak, jende prestua—, zuk ez duzu jakiteko modurik. Zerbitzaria kutxa itxi bat da. Duzun daturik sentikorrena bidaltzen diozu, eta beste aldean agindu dizutena gertatzen dela sinesten duzu.
Eta bada askotan ahazten den xehetasun bat: ez gordetzeko promesak ez zaitu babesten agintzen duenaren esku ez dagoenetik. Zerbitzari zintzo batek inork begiratu gabeko logak izan ditzake, tarteko proxy bat, babeskopia automatiko bat, langile berri bat edo, besterik gabe, egun txar bat. Pasahitza jada atera da zure makinatik. Gero gertatzen dena zure eskumenetik kanpo dago eta, sarri, haienetik ere bai.
Ezer sinestea eskatzen ez duen erantzun bakarra
Konponbidea ez da hobeto agintzea. Datua behar ez izatea da.
Zure pasahitza nabigatzailetik inoiz ateratzen ez bada, «zer egiten dute harekin?» galderak zentzua galtzen du. Ez dago «haiek»-ik. Ez dago jasoko duen zerbitzaririk, ez agertuko den logik, ez barruan edukiko duen babeskopiarik, ez irakurri ahalko duen langilerik. Konfiantza ez da hobeto kudeatzen: arazotik kentzen da.
Horixe egiten du password.es webguneak. Egiaztatzaileak idazten duzuna zure nabigatzailean bertan aztertzen du, zure prozesadorearekin. Teklatzen duzun testuak ez du inora bidaiatzen, ez baitago bidaiatzeko lekurik.
Nondik dator ausa
Sorgailuak planteamendu bera du. Pasahitz ausazko bat egiteko ausa behar da, eta bi modu daude lortzeko: zerbitzari bati eskatzea edo nabigatzaileari eskatzea. Zerbitzari bati eskatzea zentzugabea litzateke: zerbitzariak zuk baino lehen jakingo luke pasahitza.
Beraz, nabigatzaileari eskatzen diogu, crypto.getRandomValues() erabiliz.
Web plataformaren API estandarra da ausazkotasun kriptografikorako —hain zuzen
horretarako dagoena, Math.random()-en aldean, hori jokoetan kartak nahasteko
balio baitu eta ez interesa duen norbaiti eusteko behar duen ezertarako—. Ausa
sortzen duena nabigatzailea bera da, zure makinan. Guk ez dugu parte hartzen:
emaitza zure pantailan agertzen da eta hantxe geratzen da.
Nola egiaztatu nitaz fidatu gabe
Aurreko guztia, oraingoz, gunea egin duen jende berak idatzitako paragrafo bat da. Alegia: hain justu fidatzeko ez zela esaten nizuna. Beraz, ez nazazu sinetsi. Begiratu.
Ireki zure nabigatzailearen garapen-tresnak —F12, edo Cmd+Option+I Mac
batean—, joan Sarea (Network) fitxara, utzi zabalik eta sartu
egiaztatzailean. Orria kargatzen ikusiko duzu. Orain, garbitu zerrenda, egin
klik pasahitzaren eremuan eta idatzi.
Hau da ikusiko duzuna, eta hemen komeni da zehatza izatea saltzailea izan beharrean:
- Eremuan klik egitean, eskaera bat abiatzen da. Ez da zure pasahitza
—oraindik ez duzu ezer idatzi—: analisia egiten duen liburutegia da,
zxcvbn-es-es.min.jsizeneko fitxategi bat, barruan hitz-zerrendak, izenak, teklatu-patroiak eta pasahitz ezagunak dakartzana, horien kontra konparatzeko. password.es-etik deskargatzen da eremua ukitu bezain laster, teklatzen duzun bitartean irits dadin. Domeinu beretik dator, fitxategi estatikoa da eta orri hau irekitzen duen guztiontzat berbera da —guneak hizkuntzaren araberako hainbat bertsio ditu, eta euskarazko orriak gaztelaniazko zerrendena kargatzen du—. - Hortik aurrera, idatzi ahala, zerrenda geldi-geldi geratzen da. Letra bat, hogei, ezabatu, hasi berriro, itsatsi testu luze bat. Zero eskaera. Kontagailua ez da mugitzen. Hiztegia zure nabigatzailean dago jada eta bilaketa zure makinaren memorian egiten da.
Bereizketa horretan dago alde guztia. Ez da eskaerak zure pasahitza ez daramala fidatzea: eskaerarik ez dagoela da. Ez dago ezer interpretatu beharrik, ez kodea ulertu beharrik; igotzen ez den kontagailu bati begiratzea nahikoa da.
Inbentario osoa, bere akatsekin
Argudioa «egiaztatu ezazu» denez, arraroa litzateke egiaztatzean aurkituko zenukeena ezkutatzea. Hona password.es-en inbentario zintzoa:
Ez dago analitikarik. Ez Google Analytics, ez alternatiba diskretu bat, ez pixel bat. Bat egon zen eta orri guztietatik kendu zen. Ez dago cookierik. Guneak ez du bat bera ere idazten. Bai, gauza bat gordetzen da zure nabigatzailean: gai argia ala iluna nahiago duzun, zure ekipoaren biltegiratze lokalean. Ez da inoiz inora bidaltzen eta ikuskatzaile beretik ezaba dezakezu. Ez dago izen-emate, konturik ez inprimakirik: ez dago daturik uzteko lekurik, utzi nahi izanda ere.
Eta akatsa, badagoelako: orriak bi tipografia eskatzen dizkie Googleren zerbitzariei kargatzean. Horrek esan nahi du Googlek ikusten duela zure IPa duen norbaitek domeinu honetako orri bat kargatu duela, hainbeste eta hainbeste gunetan bezala. Ez du ikusten zer idazten duzun —eskaera hori lehenago gertatzen da eta ez da berriro errepikatzen—, baina hirugarren bati egindako eskaera bat da, Sarea fitxa horretan bertan ikusiko duzu eta ez luke inolako zentzurik ikuskatzailea irekitzeko esan eta, aldi berean, hura ez aipatzeak. Konpondu beharreko gauzen zerrendan dago.
Zergatik kontatzen dugun hau
«Zero eskaera, pribatutasun osoa» idatz genezakeen eta hor geratu, lasai asko. Hobeto entzungo zen eta gezurra izango zen xehetasunetan: hiztegi-eskaera bat dago eta tipografia batzuk daude. Norbaitek egiaztatzean erortzen den argudio bat ez zen argudioa: publizitatea zen.
Bertsio zehatza ez da hain biribila, baina azterketari eusten dio: zuk idazten duzuna ez da zure nabigatzailetik ateratzen, eta hori hogeita hamar segundotan ikusten da jada instalatuta duzun tresna batekin.
Eta kontuz, hau irizpide orokor gisa itzultzen baitzaizu. Hurrengoan web batek pasahitza eskatzen dizunean, dena delakorako, ireki fitxa hori eta begiratu eskaerarik agertzen den tekla bat sakatzean. Agertzen bada, zure pasahitza joan da. Berdin dio pribatutasun-oharrak zer dioen, inprimakiko sarraila zein polita den edo enpresa zein serioa dirudien. Eta webak pasahitza jada aztertuta erakusten badizu gurpil bat biratu ondoren, badakizu nondik pasatu den.
Segurtasunean gutxien aipatzen den araua ez da pasahitzei buruzkoa: egiaztatzeari buruzkoa da. Fidatzea ondo dago. Egiaztatzea hobea da, eta hemen doakoa da.
Iturriak: password.es-en beraren arkitektura, edozein nabigatzaileren
ikuskatzailearekin egiaztagarria — egiaztatzaileak domeinu beretik deskargatzen
du, eremuan fokua jartzean, analisi-liburutegia bere zerrendekin
(zxcvbn-es-es.min.js) eta ez du eskaerarik igortzen idazten ari zaren
bitartean · crypto.getRandomValues(), Web Crypto API-ren API estandarra
ausazkotasun kriptografikorako · guneko kodeak ez du analitikarik, pixelik ez
cookierik; lokalean gordetzen den datu bakarra gaiaren hobespena da ·
tipografiak Google Fonts-etik zerbitzatzen dira.