Alde ikaragarria dago betetzen ez duzun arau baten eta bete ezin duzun arau baten artean. “Pasahitz desberdin bat leku bakoitzean” bigarrenetakoa da.
Ikasi genuen katiximatik —maiuskula, zenbakia, ikurra, aldizka aldatzeko betebeharra—, NISTek ia dena bota zuen zakarrontzira SP 800-63B-n. Luzerak bihurdurak baino gehiago balio izaten hasi zen. Behartutako txandakatzea desagertu zen, arriskuaren zantzurik ez bazegoen behintzat. Ikurrak eskatzearen ordez askoz zentzuzkoagoa den zerbait jarri zuten: pasahitza ihes egin duten zerrenden aurka egiaztatzea.
Arau bakar bat atera zen bizirik. Ez errepikatzearena. Eta horixe da gutxien kasu egin geniona, betetzeko intranetako kartel batek ere aipatzen ez zuen zerbait behar zelako.
Zergatik ezin duen zure memoriak
Pentsa zenbat kontu dituzun. Ez erabiltzen dituzunak: dituzunak. Bankua, posta, beste posta, 2019an zapatilak erosi zenituen denda, foroa, hegazkin-konpainia, aparkalekuaren app-a, auzo-erkidegoaren kudeatzailea, bost minutuko izapide batengatik izena ematera behartu zintuen administrazioaren gunea.
Orain imajinatu horietako bakoitzerako kate luze, ausazko eta desberdin bat buruz ikastea. Ez da zaila denik. Giza garun batentzat helburu iritsiezina dela baizik, eta urteetan kontrakoa defendatzea informatika-segurtasunak egin dituen krudelkeria txikietako bat izan da.
Beraz egin zitekeen gauza bakarra egin genuen: pasahitz on bat eta bere
aldaerak. Txakoli2019! bankurako eta Txakoli2019? fororako. Edo zuzenean bera
leku guztietan, “tira, bankuan beste bat daukat” izarñoa buruan.
Eta hor dago arazoa, benetako erasoa ez baita zure pasahitza asmatzea. Beste leku batean lapurtu zizutena probatzea da. 2019ko foroak ihes egiten du —2019ko foroek ihes egiten dute—, norbaitek posta eta pasahitzen zerrenda hori hartu eta automatizatuta probatzen du bururatzen zaizkion zerbitzu guztien aurka. Ez du ezer hautsi beharrik. Zuk eman zenion giltza; ateak probatzen ari da besterik ez. Horixe da credential stuffing, eta funtzionatzen du, hain zuzen, axola zuen arau bakarra inork bete ezin zuena zelako.
Kudeatzaile bat ez da erosotasuna
Hemen saltzen da normalean pasahitz-kudeatzailea luxu gisa: zein eroso, berak betetzen du, ez duzu teklatuan idatzi behar. Egia da, eta gutxienekoa da.
Kudeatzaile batek ez dizu lana aurrezten: bera gabe iritsiezina den arau bat posible egiten dizu. Ehun kilometro korrika egiteko eskatzearen eta bizikleta bat ematearen arteko aldea da. Kopurua ez da aldatzen; egin dezakezun ala ez aldatzen da.
Bat aurrean duzula, SP 800-63B-ko gainerako guztia bere kabuz konpontzen da. Luzeak konplexuak baino lehenago? Kudeatzaileak nahi duzun luzerakoak sortzen ditu, ez baitituzu idatzi behar. Desberdinak leku bakoitzean? Hutsala, definizioz. Behartutako txandakatzerik ez? Bikain: ihes egin duena bakarrik aldatzen duzu, eta kudeatzaile askok abisatzen dizute hori gertatzen denean. Buruz ikasten jarraitu behar duzun bakarra nagusia da, eta horrek bai merezi duela kontuz sortzea —lau edo bost hitz ausaz sorgailuan eta gero ikusi zenbat eusten dion egiaztatzailean—.
Eragozpen zintzoa
“Arrautza guztiak saski berean sartzea.” Mila aldiz entzun dut eta ez da txorakeria bat. Norbait zure kudeatzailean sartzen bada, dena barruan du. Porrot puntu bakarra da, eta hori ez dela esaten dizunak zerbait saltzen ari zaizu.
Erantzunak ere zintzoa izan behar du: bai, saski bakarra da, baina alternatiba ez da arrautzak banatuta edukitzea. Lurrean edukitzea da. Kudeatzailerik gabe ez duzu laurogei pasahitz independente lortzen; pasahitz bera laurogei lekutan lortzen duzu, hau da, saski bera baina itxierarik gabe, zifratzerik gabe eta laurogei zerbitzari arrotzetan kopiatuta, horien segurtasuna erabat ezezaguna zaizula.
Begiratu benetako mehatxu-ereduari. Kudeatzaile serio baten kutxa gotor zifratua norbaitek lehertzeak edo produktuaren akats larri bat behar du, edo zure pasahitz nagusia. Denda batean erabili zenuen pasahitza zure postan norbaitek probatzeak ez du ezertxo ere behar: script bat eta zerrenda bat da. Asko behar duen eraso bat alderatzen ari zara jada gertatzen ari den batekin, etengabe, pilotu automatikoan.
Zentzuzko neurria dena hau da: nagusi luze eta bakarra, bigarren faktorea aktibatuta kudeatzailean, eta jakitea nagusia dela orain zure puntu kritikoa. Hala trata ezazu.
Zein, eta zergatik ez dagoen erantzun bakarra
Hemen dator afiliatu-estekak dituen gune batentzat deserosoa den zerbait: kudeatzailerik onena erabiliko duzuna da, eta bat baino gehiago daude onak.
Bitwarden software librea da, doako plan bat du ia denek behar dutena estaltzen duena, eta nahi baduzu zeuk ostatatu dezakezu. Bere kodea auditagarria izatea ez da marketina: inoren hitzaren mende ez zaudela esan nahi du.
KeePass —eta bere eratorriak— dena fitxategi lokal batean gordetzen du. Hodeirik gabe, konturik gabe, hornitzailerik gabe. Zure kezka “ez dut nahi nire pasahitzak beste baten zerbitzarian egotea” bada, kezka hori literalki konponduta dago. Trukean, gailuen arteko sinkronizazioa zure kontua da.
1Password ordainpekoa da, eta hari lotzen dugu hemendik —afiliatua, jakinaren gainean egon zaitezen—. Ondo egiten duena da etxe batean kudeatzaile bat bizirik iraungo duen erabakitzen duen zatia: jende ez teknikoak ulertzea, bikotekidearekin partekatzea eta astebetera ez bertan behera uztea. Ez da Bitwarden baino seguruagoa ordainpekoa izateagatik. Jende askorentzat, bertan behera ez uzteko errazagoa da.
Eta zure nabigatzailearen kudeatzailea. Doakoa, jada instalatuta duzu, jada gordetzea eskaintzen dizu. Aurrekoen azpitik dago kontrolean, eramangarritasunean eta partekatzeko orduan, eta ekosistema bati lotzen zaitu. Berdin dio: nabigatzailekoa erabiltzea inolakorik ez erabiltzea baino neurrigabe hobea da, arazo handia konpontzen duelako. Kontrakoa esaten dizunak garbitasuna jartzen ari da benetako arriskuaren aurretik.
Dena laburbiltzen duen esaldia
Urteetan pasahitz bakoitza nolakoa izan behar zen esan ziguten eta ia inoiz ez ziguten esan denak nola gogoratuko genituen. Falta zen urratsa zen, eta hori gabe bizirik atera zen arau bakarra ez zen arau bat: errieta bat zen.
Aukeratu bat. Edozein. Zein den eztabaida marjinala da kudeatzailea edukitzearen eta ez edukitzearen artean dagoen tartearekin alderatuta.
Iturriak: NIST SP 800-63B, “Digital Identity Guidelines: Authentication and Lifecycle Management” (luzera konplexutasunaren gainetik, behartutako txandakatzerik gabe arriskuaren zantzurik ez badago, ihes egindako pasahitzen zerrenden aurkako egiaztapena) · Bitwardenek, KeePassek eta 1Passwordek argitaratutako dokumentazioa eta segurtasun-ereduak.