Cinc claus per a evitar la fatiga de la contrasenya

Recordes totes les contrasenyes de correu electrònic, accés a ordinadors, aplicacions bancàries, intranets d'empreses de les quals ets client o xarxes socials? Per a la majoria de la gent, aquesta tasca cada cop és més difícil. Fins i tot, algunes persones pateixen un fenomen conegut com a fatiga de la contrasenya, ja que la necessitat de recordar i gestionar les contrasenyes els genera estrès.

«L'estrès es deu al fet que ens veiem forçats a recordar la contrasenya quan volem dur a terme una acció concreta i sabem que, si no ho aconseguim, les conseqüències seran negatives. Si oblidem la contrasenya, n'hem de demanar una altra, amb la consegüent despesa de temps i d'esforç, i, sobretot, correm el risc de perdre informació o no tenir-hi accés quan la necessitem», explica Modesta Pousada, professora dels Estudis de Psicologia i Ciències de l'Educació de la UOC.

Tanmateix, les noves tendències en seguretat informàtica redueixen la pressió que tenim per a recordar contrasenyes, una tasca que també podem facilitar amb les estratègies que apunten els experts de la UOC:

1. L'auge de les contrasenyes permanents

Un dels fets que poden desencadenar l'estrès de la fatiga de la contrasenya és que el sistema ens exigeixi periòdicament canviar la contrasenya perquè la que tenim ha caducat.

«Si després d'un temps hem aconseguit recordar les dues, tres o quatre contrasenyes que utilitzem amb més freqüència, és normal que ens generi malestar rebre un avís per a canviar-les», explica Pousada, que és directora del grau de Psicologia de la UOC. La professora afirma que «hi ha un fenomen anomenat interferència que explica alguns dels errors més habituals a l'hora de recordar informació. Consisteix en el fet que, si hem d'eliminar de la memòria una informació que ja tenim consolidada i l'hem de substituir per una altra, és freqüent que quan la volem recordar aparegui la primera en lloc de la segona. I això és el que ens passa quan ens demanen un canvi de contrasenya».

Els experts en seguretat informàtica són conscients que aquesta obligació de canviar contrasenyes periòdicament fomenta pràctiques poc fiables. «Demanar que es renovi la contrasenya cada mig any acaba essent perjudicial: s'acaba optant per tenir una contrasenya molt fàcil o bé per anar-ne intercanviant unes quantes», explica Helena Rifà, professora dels Estudis d'Informàtica, Multimèdia i Telecomunicació. «Aquesta obligació de renovar-les constantment fa que cada cop es facin servir contrasenyes més similars i senzilles i es va pervertint el sistema, per la qual cosa cada cop és menys segur», afegeix.

Segons Rifà, directora del màster de Seguretat de les Tecnologies de la Informació i de les Comunicacions de la UOC, «les pràctiques més modernes eviten fer canviar les contrasenyes i limiten aquest recurs per a quan s'intueix que hi ha pogut haver un problema de seguretat. Així, excepte en entorns molt sensibles, només es demana el canvi si se sospita que hi ha hagut un atac informàtic».

Per a comprovar si la teva contrasenya ha estat compromesa en un atac informàtic es pot accedir al web Have I been pwnd?, tal com recomana el professor col·laborador dels Estudis d'Informàtica, Multimèdia i Telecomunicació de la UOC Diego Miranda-Saavedra.

2. L'aportació creixent de la biometria

Canvis de polítiques com el de Microsoft, que proposa un accés a la nova versió de Windows 10 sense contrasenya o promou l'accés amb reconeixement facial, demostren que l'avenç de la biometria fa que aquesta vagi substituint en alguns entorns la funció que feien les contrasenyes.  

«La millor forma de control és utilitzar diversos factors d'autenticació», apunta Helena Rifà. «Si a la contrasenya hi sumem un control biomètric, el sistema serà més segur», considera.

De totes maneres, segons la professora Rifà, la biometria encara té problemes per superar, ja que d'una banda hi poden haver reconeixements dubtosos perquè no és un sistema inequívoc com l'ús d'una contrasenya, i, de l'altra, planteja problemes vinculats amb la privacitat i la impossibilitat de substituir la prova d'identificació si hi ha un problema de seguretat, perquè no podem modificar els nostres trets físics.

«La identificació per mitjà de la biometria actualment no és suficient per a respondre a totes les necessitats de seguretat informàtica, però és un bon complement de l'ús de contrasenyes», opina Rifà, que és investigadora del grup de recerca KISON de la UOC.

Hi coincideix Diego Miranda-Saavedra: «La imatge del nostre iris o de l'empremta dactilar són vulnerables i un furoner (hacker) les podria obtenir. De moment la biometria no és prou fiable».

3. L'ús de gestors de contrasenyes

Mentre encara sigui necessari recordar codis d'accés, una opció per a evitar memoritzar-los tots són els gestors de contrasenyes. Aquests sistemes guarden la informació dels nostres codis personals encriptada, i n'hi ha que l'enregistren localment al nostre dispositiu mentre que altres ho fan en un servidor, al núvol. 

«Amb aquest sistema només has de recordar la contrasenya mestra i el gestor s'ocupa d'administrar una contrasenya diferent per a cada compte de correu. Així s'evita que l'usuari utilitzi la mateixa contrasenya a tot arreu, cosa que seria molt perillosa», segons Diego Miranda-Saavedra.

El professor col·laborador de la UOC recomana «no tenir-les en un servei en núvol, perquè les estaries exposant conjuntament. Utilitzaria un gestor instal·lat localment i que no comparteixi les contrasenyes fora del telèfon o l'ordinador», tal com explica en aquest article.

«Els gestors de contrasenyes són una bona alternativa per a no haver de recordar els codis, però s'ha d'estar informat sobre els possibles riscos», considera Helena Rifà. La professora recomana que abans d'instal·lar-los es comprovi que es tracta d'un sistema fiable: «és prudent que siguin sistemes ja àmpliament provats, que tinguin bones referències i avaluacions. En aquest sentit, els de codi obert és més fàcil que hagin estat àmpliament testats», afirma.

També és rellevant saber com funciona el sistema d'accés: «Si la informació s'encripta mitjançant una contrasenya que només tu coneixes, estàs obligat a recordar-la. D'altra banda, hi ha sistemes als quals es pot accedir per exemple responent a una sèrie de preguntes personals, però en aquests casos la informació està en mans d'una empresa, que és qui genera l'encriptació de les dades», afirma Rifà.

4. La creació de contrasenyes amb sentit

A l'hora de decidir la contrasenya, hi ha pautes que ens poden facilitar la tasca de recordar-la. Segons explica Modesta Pousada, «sovint les nostres contrasenyes són combinacions de símbols sense significat que no tenen cap relació amb el context i, per tant, no ens ofereixen cap pista per a recordar-les».

Com que, a més, és habitual tenir moltes contrasenyes i algunes es fan servir de tant en tant, «és molt difícil recordar una cosa que no té significat, de la qual no tenim pistes per a recuperar-la i que a més fa molt que no fem servir», afegeix Pousada, que és investigadora del grup de recerca Psicologia, Salut i Xarxa (PSINET) de la UOC.  

Miranda-Saavedra proposa encadenar paraules que no estiguin relacionades de manera lògica i que siguin fàcils de recordar. Per exemple, explica que si es posen les ciutats espanyoles per ordre de població, separades i amb asteriscs al començament i al final (**Madrid_1_Barcelona_2_Valencia_3_Sevilla_4**), es genera una contrasenya molt segura, ja que segons el web How Secure Is My Password trigaria a ser endevinada a l'atzar milers de milions d'anys.

Per a evitar oblidar els codis, Pousada recomana «construir pistes per al record, és a dir, associar la contrasenya a alguna cosa amb sentit i fàcil de recordar, com seria el nom del carrer on viuen els teus pares combinat amb el número de germans que tens o el lloc on vas passar les últimes vacances i els dies que hi vas estar, per exemple».

A més, proposa afegir algun element que associï la contrasenya a l'àmbit al qual pertany —sigui un caixer electrònic, un carnet de la biblioteca o una xarxa social— per a poder tenir una pista que ajudi a recuperar-la. Es pot referir a la seva funció, la ubicació on es troba o fins i tot a un color, segons la professora Pousada.

5. Inventar històries que porten a la contrasenya

Les pistes que ens fan recordar una contrasenya poden consistir en «petites històries –siguin visuals, recreades mentalment o associades a sensacions com les olors, els colors i els sons—  en les quals s'insereixin informacions», explica Pousada. «Sovint pensem que com més simple sigui un element, més fàcil serà recordar-lo, però en realitat la memòria funciona a la inversa. És a dir, com més elements tinguem associats a la informació que volem recordar, més fàcil serà que algun actuï com el fil d'Ariadna, i estirant-lo arribem a la sortida», conclou la professora Pousada.