Aquesta setmana hem llegit amb sorpresa com la cadena hotelera Holiday Inn reconeixia que uns hackers havien aconseguit accés als sistemes interns de la companyia, eliminant gran quantitat de dades de manera irreversible. La notícia en si no és el fet sorprenent, doncs malauradament cada cop estem més acostumats a llegir als mitjans com companyies i institucions són víctimes d’aquest tipus d’atacs, alguns cops per segrestar dades a canvi d’una recompensa econòmica, i d’altres simplement per fer mal.
El sorprenent del cas de Holiday Inn és que la manera com els furoners van ser capaços d’accedir a les dades internes de l’empresa no va ser a causa d’una errada complexíssima de seguretat, sino gràcies a una contrasenya corporativa, que donava accés a la base de dades generals d’usuaris i claus de tota la companyia. Aquesta contrasenya era, atenció, Qwerty1234.
Però, com pot ser que una multinacional que cotitza a borsa i opera més de 6.000 hotels protegís les seves dades més preuades amb una contrasenya tan simple? Malauradament aquest és un fet més comú del que ens pensem. De fet, diferents grups de ciber-recerca elaboren cada any una llista amb les contrasenyes més utilitzades en tot el món, i les 10 més populars d’enguany són:
- 123456
- 123456789
- qwerty
- password
- 12345
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
Sembla mentida, oi? El fet és que sovint quan ens registrem en serveis online, no som conscients de la rellevància que té escollir una contrasenya prou segura i no compartir-la amb ningú. Així doncs, què hem de tenir en compte quan escollim una clau d’accés?
1. Hem de fer servir contrasenyes diferents per cada lloc on ens registrem
Si fem servir la mateixa clau d’accés en diversos llocs, tenim molts números que, si un d’aquests llocs és víctima d’un atac, els atacants aconsegueixin accedir a la resta de serveis en els quals fem servir el mateix mot de pas.
2. Les contrasenyes han de ser segures
Una clau segura és aquella que és complicada d’endevinar, fins i tot per una màquina que fa milers de proves per segon de manera programàtica. Una contrasenya segura hauria de tenir com a mínim 12 caràcters, fer servir lletres i números, combinar lletres en majúscula i minúscula i fer servir símbols.
3. Hem de desar les claus d’accés en un lloc segur
El problema de fer servir contrasenyes diferents per cada servei i que aquestes siguin llargues i complexes és que és impossible recordar-les de memòria, i un full de càlcul a l’escriptori o un post-it al primer calaix del despatx no són llocs segurs.
Per sort, existeixen una infinitat d’eines, com 1Password o LastPass, que serveixen exactament per això: emmagatzemar contrasenyes, targetes de crèdit i documents sensibles de manera segura. A més, aquestes eines s’integren directament amb els navegadors per omplir les pantalles de registre i identificació de qualsevol aplicació o web de manera automàtica.
4. Fer servir autenticacions de doble factor
Si realment volem estar segurs que les nostres dades estan assegurades, una contrasenya segura i ben desada és un bon principi, però no és suficient. Avui en dia, totes les grans companyies que gestionen dades personals com Google, Apple o Microsoft, bancs o diferents aplicacions o serveis, permeten fer servir autenticació de dobe factor.
A la pràctica això vol dir que, un cop ens haguem identificat en el sistema, se’ns enviarà un codi d’un sol ús –mitjançant SMS o una aplicació de tercers, com 1Password o Google Authenticator–, que afegirà una capa extra de seguretat.
Així doncs, encara que algú aconseguís la nostra contrasenya, necessitaria disposar d’accés físic al nostre telèfon mòbil per accedir al servei en qüestió. La manera d’activar les autenticacions de doble factor són diferents per cada servei o aplicació, però normalment les opcions per fer-ho estan dins la configuració del compte, en l’apartat de contrasenya o seguretat.