Por Fernando Corbalán*
Un invento en los años 50, en el MIT, permitió disponer de un método de acceso seguro a computadoras. A ese simple evento se lo conoce hoy como el nacimiento de la “Contraseña” en los sistemas informáticos.
En nuestro almanaque, tenemos marcado como el primer jueves de mayo el “World Password Day”, o “Dia Mundial de la Contraseña”.
Si bien no hay nada que festejar al respecto, ya que la pobre contraseña ha sido violada, difundida, explotada y vulnerada en todos los idiomas (y lenguajes informáticos) a lo largo de la historia, es una excusa para hablar de ella y de como mejorarla y protegerla.
De pares inseparables esta lleno el universo, cosas que no podrían existir el uno sin el otro, como el Yin y Yang, luz y oscuridad, ruido y silencio o santo y seña. Y este ultimo llegó a los sistemas como “user and pass” luego de un largo recorrido, y como casi todos los “avances”, tiene su origen en el arte de la guerra.
No debemos confundir el uso de contraseñas como un método de cifrado. Esas técnicas que se conocen desde los templos egipcios (4500 A.C) o el cifrado por sustitución usado por los Hebreos en 600 A.C. tenían como objetivo evitar que una información fuera accesible por alguien que no fuera el destinatario y poseedor del código de descifrado.
La historia de guerras, intrigas y espionaje ha generado avances enormes desde aquellos tiempos a la actualidad. El uso no tecnológico de este par se dió en la guerra hace varios siglos, ya que las bajas nocturnas producidas por error al confundir propios con enemigos propiciaron un método que permitiera rápidamente dictaminar la pertenencia a un grupo.
Así pues, ante la aparición de un soldado desconocido se le requería “Santo y Seña”. Esa “seña” no era mas que una palabra clave distribuida verbalmente entre filas propias cuya validez temporal era corta o diaria y servia para identificar propios de enemigos y sirvió para salvar muchas vidas.
Un poco mas acá en la historia, el Dr Fernando Corbató, un californiano clase 26, desarrolló en los años 50 en el MIT un método de acceso seguro. Para aquellas primeras enormes máquinas de procesamiento basadas en un sistema operativo del tipo Compatible Time-Sharing System (CTSS).
Esto permitió disponer de privacidad a investigadores que compartían su uso. A ese simple evento se lo conoce hoy como el nacimiento de la “Contraseña” en los sistemas informáticos y al Dr. Corbató como el padre de la Password. A partir de allí, todo un universo virtual se basa en este simple invento.
No identifica, pero permite validar la identidad de quien se “presenta” a un sistema o servicio. ¿Existe la contraseña perfecta?”
No identifica, pero permite validar la identidad de quien se “presenta” a un sistema o servicio. ¿Existe la contraseña perfecta? La respuesta es obvia, y es NO!, con mayúsculas y letra de molde.
Pero veamos algunos aspectos que hacen a la seguridad intrínseca de una clave y de un sistema informático.
La contraseña perfecta es solo aquella que cumple su función, la de mantener protegido un acceso sin caer derrotada en el tiempo. Hay cientos de técnicas y notas que ayudan a generar claves pero podríamos resumir que para ser perfecta deberá ser tan difícil que la ingeniería social no pueda adivinarla, tan fácil que pueda memorizarse y no requiera ser colocada en un post-it junto al monitor, tan volátil que deba renovarse cada par de semanas, y tan única que no se repita en todos nuestros perfiles de acceso al teletrabajo, a las redes sociales, al banco, al mail, etc, y que en caso de ser vulnerada, exponga en su totalidad nuestra vida digital.
En tiempos de cloud y ataques de fuerza bruta, ya no alcanza con una contraseña”
En tiempos de cloud y ataques de fuerza bruta, ya no alcanza con una contraseña, es inseguro un par de 2 (quien soy y algo que conozco) y necesitamos un tercer elemento. Quien soy (user), algo que conozco (contraseña) y algo que tengo (token), y es donde aparece la figura del 2AF o segundo factor de autenticación.
Ese generador de claves autónomo como un llavero (hard token) o una app en el celular (soft token). Ambos validan al primer par con una secuencia numérica basada en un algoritmo temporal que solo conocen él usuario. Y obviamente el servicio al cual queremos acceder.
Aquel simple invento de hace 70 años, la contraseña, en un mundo bien o mal virtualizado. O a las patadas en pandemia, hoy es el único elemento (ademas de nuestros padres), que todavía puede validar que nosotros somos quien decimos ser.
*Experto internacional en ciberseguridad.
Fuente Telam
