Blog

Artigos sobre contrasinais, seguridade e por que case todo o que nos ensinaron era mentira.

Que é un contrasinal, e por que levamos sesenta anos equivocándonos

O contrasinal informático naceu no MIT en 1961. A primeira filtración chegou un ano despois, e non a fixo un delincuente: foi un estudante que quería máis tempo de máquina. Esta é a historia de por que as regras que todos aprendemos eran malas — e de onde saíron.

Por que password.es non envía o teu contrasinal a ningures

Calquera web pode escribir «non gardamos o teu contrasinal» na súa páxina. É de balde, non obriga a nada e non se pode comprobar. A única saída honesta é non precisar o dato: todo ocorre no teu navegador, e aquí explicámosche como abrir o inspector e verificalo sen fiarte de nós.

O teu xestor contra a túa memoria: a única regra que sobreviviu

De todo o que nos ensinaron sobre contrasinais, só sobreviviu unha regra: unha distinta en cada sitio. E é xustamente a que ninguén cumpre, porque a túa memoria non dá para tanto. Un xestor non é unha comodidade: é o que converte esa regra nalgo posible.

Passkeys: o contrasinal que non existe

Durante décadas intentamos que o contrasinal fose máis difícil de adiviñar. As passkeys fan outra cousa: quitan do medio o segredo que o servidor tiña que gardar. O sitio queda cunha chave pública que non vale nada se lla rouban, e o phishing deixa de funcionar. Non o arranxa todo.

As preguntas de seguridade son un contrasinal que non elixiches

Unha pregunta de seguridade é un contrasinal con tres defectos: non o elixiches, adivíñase e adoita estar escrito nalgún sitio público. En 2015 Google mediuno con datos reais e o resultado foi demoledor por partida dobre: adivíñanse e, ademais, esquécense. Quen mente para protexerse acaba sen poder entrar.

2FA: por que o SMS é o peor dos bos

Activar o 2FA por SMS é das mellores decisións que podes tomar hoxe, e tamén a primeira que terás que revisar. O seu punto feble non está no cifrado nin no teu móbil: está na persoa que atende o teléfono na túa operadora. Esta é a escaleira completa, do SMS á chave física.