A eso de los comienzos del 2010, cuando los accidentes digitales donde las compañías de internet a menudo eran hackeados y como resultado revelaban las claves de millones de usuarios, adopté una estrategia para proteger mi cuenta.
Lo que hice fue clasificar los varios sitios de internet en dos niveles: sitios confiables que creía que casi nunca serían hackeados, y sitios muy sketch a las que no podía confiar. Por ejemplo, gmail: confiable. Amazon: confiable. Un sitio de comunidad online administrado por aficionados: no confiable. Facebook: no confiable. HelloTalk: no confiable.
Y creé dos claves: uno para los sitios confiables, y otro para los sitios no confiables. Reusaba la misma clave en todos los sitios. Cada dos o tres años, cuando creía que los sitios no confiables habían sido hackeados, creaba una nueva clave para ese grupo. A veces necesitaba cambiar la clave para sitios confiables, también. Y creé una planilla de Excel donde listaba todos los sitios web, los nombres de usuario, y si la clave usada era la clave de sitios confiables o no confiables, y el año de esa clave. Por ejemplo, mi entrada para gmail leía «yokima@gmail.com, high-2019», lo que significaba que era una clave para sitios confiables que había actualizado el año 2019. (Porque a veces se me quedaban atrás sitios en las que se me olvidaba actualizar la clave) Cuando cambiaba la clave para sitios confiables, me reservaba unas cuantas horas y cambiaba los 30 sitios: gmail, amazon, paypal, microsoft, etc. Los sitios no confiables no me importaban – esos los dejaba tal cual.
Sé que en ese entonces otros usuarios también usaban aplicaciones pagadas cono Lastpass, pero creí que con este método podría prevenir tener que usar apps intermedios, y también no estaba seguro qué tan multiplataforma eran esos programas.
Pero después de que hubieran leak tras leak de claves en sitios que supuestamente eran «confiables» (especialmente Facebook, y mis bancos), he tenido que cambiar de estrategia. Todavía me fío en mi estrategia de clave unificada para sitios confiables, hasta cierto punto. Y mi clave ya no son 10 o 12 letras – son 25 letras, siguiendo el principio de seguridad ilustrado aquí. Ahora, mi Chrome Browser actúa como un administrador de claves. Dejo que Chrome cree claves en sitios nuevos, cree claves nuevas en sitios que usaban la misma clave que otro sitio hackeado, y dependo de Chrome para que me de el autofill en los sitios. Cuando compro un dispositivo móvil nuevo como smartphone o tableta, es un poco doloroso la transición al comienzo porque tengo que ingresas esas claves re complejas como Oasj3%&$Khnb5I»!TUIOHuy2 a mano, pero en un Android todo está automatizado una vez que vinculo la cuenta de google, y en iPad, pues ahí igual se puede usar el Chrome como administrador de claves.
Chrome estos días incluso tiene una funcionalidad donde compara las claves almacenadas contra una base de datos pública de claves que han sido leakeados y te advierte que tienes que cambiarlos, ahora que están expuestos.
Lo cual está muy bien.
Pero el volumen de la tarea me abruma. 100 sitios con claves expuestas?? Muchos de esos sitios son sitios que ya cerraron. Donde me cancelaron la cuenta por ser demasiado antigua. Sitios que no uso ya de hace 10 años, y aunque un hacker entre a esa cuenta, no hay nada de valor almacenado. Pero entre esas 100 cuentas, quizás hayan unos 2 o 3 que tengan información más sensitiva, no sé.
No es difícil decirle a Chrome que cada sitio «en riesgo» ya no está en riesgo, y borrar la clave almacenada en Chrome. Pero hasta que tenga el tiempo de hacerlo, este mensaje de advertencia va a quedar como letrero semipermanente en mi cuenta, como mi app de Gmail que me dice que tengo 22,000 emails no leídos. O mi cuenta de Facebook diciéndome que tengo 50 notificaciones, o 100 pedidos de amigos. Me voy a desensitizar. Y desensitizarme sobre estas notificaciones de seguridad.. eso no es bueno.
Deja una respuesta