Eduardo René Rodríguez Ávila

Sobre el app de AT&T México

El frustrante evento de hace unos días con la recarga de AT&T me obligó a hacer cambio de password en su app. Dada la inseguridad que vivimos en el mundo virtual, ya no nos podemos dar el lujo de escribir contraseñas sencillas. De hecho la misma aplicación lo obliga a uno a tener que idear una con letras mayúsculas, minúsculas, números y algún caracter ortográfico, superando una longitud de 7 caracteres.

Nuestra memoria ya no da para tener tanto password, PIN y otros datos personales de identificación. Algunos de ellos serán poco usados, por lo que pronto serán olvidados y dará lugar a la tentación de reusarlos, lo que es un riesgo en sí, por más elaborado que el password pueda ser. Una brecha de seguridad en un lado, automáticamente compromete al otro u otros.

A menos que uno sea necio, se debe recurrir a un administrador de contraseñas. Permitir que las almacene el navegador es mala idea y sólo sirve para ese navegador. Un administrador de contraseñas multiplataforma es lo ideal. Sólo por si alguien le interesa, yo uso 1Password.

Así que para el cambio de la contraseña, dejé que 1Password generara una cumpliendo los requisitos mencionados y listo. Pero, ¡cuál sería mi sorpresa cuando al trate de hacer uso del app de AT&T veo que el campo del password del formulario de entrada está protegido! No sólo 1Password no lo ve sino que no puede pegarse en él lo que pudiera tenerse el el clipboard. Para el caso de iOS, aparece la posibilidad de escanear un texto, nada más y tuve que usarlo.

¿Cuáles son los riesgos de esto?

a) Las reglas de generación del password no podrán ser usadas para considerar todas las posibles cadenas que las reglas permiten. Los usuarios se inclinarán a seleccionar sólo aquellas que sean más fáciles de recordar.

b) Los usuarios estarán tentados a activar la bandera para mantener al usuario firmado, lo que vulnera la seguridad de la aplicación. Cualquiera que tenga acceso al dispositivo podría acceder a la aplicación y cuenta del cliente.

c) Si la contraseña está escrita en algún lado, cualquiera con iOS podrá simplemente escanearla desde la aplicación en otro dispositivo, ahorrándole la fatiga de escribirla.

d) La dificultad de hacer paste van en contra de cualquier promoción para el uso de un administrador de contraseñas, promoviendo los malos hábitos de escribirlas y el debilitarlas con cadenas obvias.

Está bien que las empresas promuevan el uso y la generación de contraseñas elaboradas y de reglas que lleven a su generación (en longitud y variedad de caracteres) pero creo que también debe hacerse inteligentemente esa promoción, no se trata de impedir un uso ni tampoco de «dispararse uno mismo en el pie.»

Publicado en 000, 006 Special computer methodsEtiquetado como , , , Deja un comentario

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.