jueves, 8 de octubre de 2009

El desarrollador educa también al usuario


Seguramente es una de las noticias más comentadas de los últimos días: el leak masivo de contraseñas de usuarios de correo electrónico. Primero fue Hotmail, advirtiendo Microsoft que la causa no tiene que ver con infiltraciones en sus sistemas, sino con un phishing de tomo y lomo. Después, se ha confirmado que Gmail, Yahoo o AOL han tenido el mismo problema (dos enlaces).

Este ataque de phishing, además de exponer el poco sentido común que tiene la mayoría de los mortales en Internet, también saca (como ya sabíamos) el poco cuidado que tiene la gente con sus contraseñas en todos los sitios de Internet, como puede verse en el análisis de las passwords encontradas realizado por Bogdan Calin en el blog de Acunetix, que deja claro que las contraseñas más utilizadas son bien sencillas: 123456, por poner un ejemplo.

Por ello, expertos de renombre mundial, nos vuelven a recordar que las contraseñas utilizadas por los usuarios no pueden ser demasiado complejas, porque si hay que poner una diferente en cada sitio (como medida de seguridad), pues van a acabar olvidando, así que podría ser mejor tener passwords complejas para los sitios más importantes, llevando las más necesarias escritas en un papel en la cartera.

A mí, que soy un pelo desconfiado para estas cosas, no me parece muy buena idea, la verdad, y prefiero aplicaciones como Keepass para guardar mis passwords y además cambiarlas periódicamente. Llevarlas en papel en la cartera me parece igual que llevar el número PIN de tu tarjeta de crédito en el mismo sitio.

Por otra parte, no creo que la solución pase únicamente por protestar continuamente de la poca educación en seguridad informática que tiene el usuario, e intentar educarlo, sino también en obligarle a que se eduque a sí mismo cuando utilice las aplicaciones web que desarrollamos. Así, si ve en todas las aplicaciones que utiliza que se le indica la fortaleza de su contraseña, quizás se pregunte por qué. Y si se le obliga a que tenga un nivel mínimo, pues más todavía. Cada desarrollador puede aportar su granito de arena, aportando a su aplicación todas las medidas de seguridad que pueda en tema de passwords, ya no sólo en beneficio de la seguridad de su desarrollo, sino en beneficio del usuario. En definitiva: enseñar con el ejemplo.


Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...

2 comentarios:

Lobosoft dijo...

¡Muy buenas, Des!

Coincido plenamente contigo. Entre todos podemos concienciar al usuario de la necesidad de no dejar de lado su propia seguridad. Al fin y al cabo, son sus datos personales lo que está en juego, cuando no sus ahorros, u otra información especialmente delicada.

Tras un tiempo alejado de estos lares (de los blogs informáticos en general, incluido el mío propio) en el que veo que te has puesto las pilas con el blog, algo que me alegra sobremanera, vuelvo a las andadas informáticas, a ver si para quedarme (si es que me dejan :D).

Saludos.

des dijo...

Buenas Lobosoft!! Me he puesto las pilas lo que he podido, o más bien lo que me dejan, jeje. ¡Espero que tú hagas lo mismo! ;)