La mañana del día que escribo esto, dado que empecé a recibir correos alertándome de su expiración, procedí a hacer el cambio de mi password para acceder a los servicios de mi empleador (125,000+ empleados, 90 países) en la web. Como cualquier otra empresa grande, su área de TI es paranoica (como debe de ser), y ha implementado políticas de administración de contraseñas que minimicen los malos hábitos que podemos tener los usuarios de servicios informáticos, especialmente contraseñas débiles (cortos, predecibles y de un conjunto de caracteres reducido), larga longevidad de las contraseñas, y reciclaje de éstas. Así que, cada 30 o 40 días uno debe cambiar su contraseña por alguna que no sea obvia, mayor a 8 caracteres, que incluya mayúsculas, minúsculas, números y caracteres ortográficos, se eviten ciertos patrones (repetición de números o letras) y no sea uno de los 20 anteriormente usados. Así que generar uno que cumpla esta «política» llega a ser… molesto.
Cuando ingresé a Neoris (4000+ empleados, 12 países), me vi abrumado al tener que manejar usuarios y contraseñas para acceder a la red de la empresa, la VPN del cliente al que fui asignado, bases de datos, correo, servidores, servicios en la nube, etcétera. Acostumbrado a manejar todo esto en un archivo de texto, post it digital, PDA, celular, o alguna otra libreta electrónica (en hardware o software), debí aceptar que era una práctica insegura, anticuada y poco práctica (dada las longitudes y caracteres de y usados en los passwords), así que decidí invertir en un administrador de contraseñas. Desde entonces, muy feliz con 1Password pero esa felicidad sufrió un descalabro hoy.
En un inicio era renuente a usar las contraseñas que 1Password sugería, pues eran difíciles de recordar así como de introducir manualmente, pues algunos formularios inhiben el cut & paste. Pero dada la creciente complejidad requerida para establecer contraseñas y el riesgo que implica usarlas en más de un lugar, fui terminado cediendo.
Así dicha mañana, al hacer mi cambio de password, apareció la ventana emergente con el password sugerido, el cual seleccioné y 1Password llenó también el cambio de confirmación de contraseña.
Usualmente en este punto me detengo, pues sólo se muestran asteriscos y opto por actualizar primero 1Password para de ahí copiar el nuevo password. En esta ocasión apareció además una ventana flotante indicando la actualización del correspondiente registro. Ciegamente confié en esto y procedí con el cambio. ¡Oh, sorpresa! Al forzarme a reingresar con la nueva clave, ésta no funcionó.
Confundido, revisé 1Password: el registro no fue actualizado. Asustado, traté de acceder a otros servicios y mis temores se materializaron al ver que el password no funcionaba. Decidí usar el «forget password» para forzar nuevamente el cambio de password. Primero, recibir una clave en mi correo alterno registrado, para de ahí poder confirmar mi celular y recibir otro código para llegar a un formulario donde puedo finalmente poner un nuevo password sin que se me pregunte el anterior. El problema fue un mensaje de error que entre varias cosas indicaba que el password no cumplía con la «política» de la empresa. Aterrado decidí usar 1Password para generar uno que no tuviera peros y no reparé en el hecho de que esta vez el registro sí se actualizó perdiendo la contraseña que aún conservaba (presumiblemente la última válida). Entonces, presa de pánico empecé a mandar correos desde mi buzón personal buscando ayuda.
Para medio día la ayuda llegó finalmente del Help Desk, quienes me proporcionaron varios enlaces donde hacer el cambio de password. Todos, excepto uno, requerían el password anterior. Sólo uno, el que ya había probado, me permitía establecer una nueva contraseña sin pedir la anterior pero, sin importar los intentos, el mensaje de incumplimiento con la política aparecía. Solicité ayuda pidiendo las reglas para construir el password (el documento que yo tengo, está en un correo al que no puedo acceder). Y llegó la hora del lunch.
Después de comer, las respuestas insistían en las ligas ya anteriormente proporcionadas. ¿Sería tal vez era alguna cuestión del browser usado? Probé con Safari. Descargué el Edge. Nada, mismo mensaje. Frustrado, con un gato dormido en el regazo y con el efecto de la comida, me ganó el sueño. 30 ó 40 minutos después desperté y observé con detenimiento el mensaje. El mensaje indicaba que «This password does not meet the length, complexity, age or history requirements of your corporate password policy.» ¿»Age«? Lo único en lo que no había puesto atención. Un vago recuerdo apareció… algo de que una vez hecho un cambio de password, no podría volver a hacer hasta pasado cierto tiempo… ¿un día, dos, o cinco? Un par de mensajes más fueron enviados.
Un par de horas después Help Desk contestaba «As per the policy you can change password after 24 hours…» 😒 . Enojado he decidí dejar esto por la paz. ¿No debió ser esto un primero señalamiento cuando reporté problemas?
Inicia la noche y sigo sin acceso. Mañana tengo una entrevista con un cliente para determinar si me coloco en uno de sus proyectos. Ya he pedido me manden a mi correo personal el enlace y datos de acceso a la video llamada. Si al final no me quedo con éste, puede ser la terminación de mi contrato con mi actual empleador.
Dr. Edu 