És inevitable: els llocs web són un imant per als ciberatacs. El 2021, només el tallafocs Wordfence va bloquejar la barbaritat de 18 milions d'atacs dirigits a les claus d'accés de pàgines WordPress. Per això, avui ens centrem en com millorar la seguretat de les contrasenyes.
La compte de correu electrònic, La del allotjament web, la de l'accés al domini, les de les xarxes socials… Avui dia hem de recordar tantes contrasenyes que resulta temptador utilitzar-la per a totes les aplicacions.
Almenys fins no fa gaire, és el que feien més de la meitat dels internautes adults. Mentrestant, d'altres usen durant anys una clau bàsica a la qual introdueixen minúscules variacions com afegir o canviar una xifra o un signe d'exclamació.
Si és el teu cas, és hora de posar-te les piles. Oi que si existís una clau màgica per obrir casa teva, el teu cotxe i el teu joier no se t'acudiria utilitzar-la?
Potser tenir una sola clau digital et simplifiqui la vida. Però també us fa més susceptible a delictes com la suplantació d'identitat.
Sobretot si utilitzes una contrasenya habitual, com la típica 123456, és molt fàcil que algú accedeixi a tots els teus comptes i faci el que vulgui amb ells, sigui instal·lar spam a la teva pàgina web, sigui netejar-te el compte del banc.
Per ajudar-te a protegir millor la teva presència en línia, en aquest article veurem com crear contrasenyes segures i com gestionar-les.
Per què és important triar una contrasenya segura
Els atacs «de força bruta» o endevinació de contrasenya són els més habituals a Internet i un dels atacs més senzills adreçats a llocs web, sobretot pàgines WordPress.
Els pirates utilitzen bots (programes automatitzats) que introdueixen milers de combinacions en segons fins que acaben per trobar la clau correcta.
Qualsevol amb un ordinador per a videojocs una mica potent podria fer milions d'intents per segon (potser fins i tot més) per convertir la teva contrasenya a text pla. Amb un equip seriós, un pirata només trigarà entre uns segons i uns pocs minuts a endevinar cada combinació de lletra i número de 9 caràcters.
Convençut? Aleshores vegem com escollir una contrasenya que sigui molt difícil de desxifrar i altres pràctiques per protegir els teus comptes contra intrusions.
Fonaments per protegir les contrasenyes
1. Trieu contrasenyes complexes
Una contrasenya difícil d'endevinar està composta per una seqüència d'almenys 12 caràcters que combina números, símbols i lletres majúscules i minúscules.
És fonamental que la contrasenya contingui totes aquestes classes de caràcters: com més tipus, més possibles contrasenyes i, per tant, més dificultat per esbrinar-la.
Per exemple, encara que la vostra contrasenya només consti de 4 caràcters, si cada un és d'un tipus diferent, hi haurà 26 milions de contrasenyes possibles. Si ampliem la longitud a 12 caràcters, hi haurà 19 de possibilitats. Fins i tot amb un sistema de primer nivell, es trigarien milers d'anys a provar totes les combinacions possibles per endevinar la teva clau.
Recorda evitar:
- Paraules al diccionari. Fins i tot l'eina de desxiframent més senzilla pot endevinar credencials amb paraules reals escrites endavant i enrere. És molt millor fer servir frases. Per exemple: Ja estem d'agost millor que vacances.
- Noms propis, inclosos el de la teva mascota, la teva parella, personatges famosos i marques.
- Patrons com abcde i seqüències de teclat (QWERTY és la més òbvia).
- Dades que es puguin associar a la teva persona, com ara la data de naixement o llocs relacionats amb tu.
- Les paraules amb números afegits, com Barcelona 02.
2. Activa l'autenticació de doble factor
Al marge dels atacs amb bots basats en claus d'accés i usuaris comuns (per exemple, admin a WordPress o versions diverses del teu nom de domini), actualment hi ha un altre vector d'atac: les grans filtracions de contrasenyes.
Moltes grans marques i serveis, des de Google fins a LinkedIn passant per eHarmony, han estat hackejats i han deixat al descobert la consigna de milers dels seus usuaris.
Els pirates més sofisticats aprofiten aquestes llistes per llançar els anomenats atacs de farciment de credencials, que tenen un percentatge d'èxit molt més alt que els tradicionals.
Per tant, val la pena implementar la verificació o l'autenticació en dos passos per afegir una altra capa de seguretat.
Es tracta d'un mètode de doble identificació: per poder accedir al vostre compte, a més d'indicar la contrasenya, hauràs introduir un codi que rebràs mitjançant SMS, trucada o aplicació.
Per activar l'autenticació de dos passos, hi ha molts plugins i aplicacions, com Google Google Authenticator, Authy o LastPass.
3. No reutilitzeu mai una contrasenya
El somni de tot pirata és trobar una víctima que utilitza la mateixa clau per a diversos serveis i dispositius.
Si un pirata desxifra la informació d'un lloc, intentarà utilitzar aquestes credencials en centenars d'altres pàgines conegudes, des dels bancs fins a marketplaces.
Si és el teu cas, només que tinguis constància que algú ha entrat en un dels teus perfils, sigui Facebook, sigui Netflix, considera que tots els altres comptes estan en perill.
Tampoc val reutilitzar una versió molt semblant de la contrasenya on simplement canviïs un parell de dígits: els pirates l'endevinaran en minuts.
4. Canvia regularment les claus
Assegureu-vos de canviar la clau que té per defecte el producte o servei en obrir el compte i, a partir d'aquí, actualitzeu-lo almenys cada 90 dies. Així no donaràs temps als bots per trobar la clau correcta i, si un servei cau víctima d'un robatori de dades i obtenen la contrasenya, aquesta deixarà de ser vàlida.
5. Guarda les teves contrasenyes de manera segura
Si necessites ajuda per generar una contrasenya difícil, pots fer servir alguna eina com LastPass o 1Password. El problema és que solen crear claus aleatòries força difícils de memoritzar.
Per recordar-les, hi ha diversos mètodes, cap d'ells perfecte:
- Aplicacions de gestió de contrasenyes. Per exemple, les esmentades LastPass o 1password. Xifren i guarden totes les contrasenyes, les actualitzen automàticament i apliquen l'autenticació multifactor. El gran avantatge és que només has de recordar una clau mestra per accedir-hi a totes. El gran inconvenient: si aquest servei és hacker, totes les teves contrasenyes es veuran compromeses alhora.
- Llista física. Un mètode senzill i eficaç, però cal considerar els desavantatges físics: el paper es pot mullar, cremar, perdre; algú pot entrar a loficina i copiar-la, etc.
- Memorització. Molt segur, però si oblides alguna contrasenya tens molta feina per recuperar-la.
La mnemotècnia és una bona opció per crear contrasenyes segures i fàcils de recordar. Per exemple, un truc pot ser triar una frase bàsica comuna per a tots els comptes, però en què canviïs sistemàticament diversos elements i substitueixis algunes lletres per un número o símbol.
Pren una frase com «Ús per ». Quedaria així:
- Ús HBO per a sèries i pel·lícules à U50_HO_p@r@_53r135_+_p3I1(ul@5
- Ús Nominalia per a hosting à U50_NA_p4r4_h0$t1n¿
6. No et deixis enganyar
No donis mai cap contrasenya a ningú ni l'enviïs per correu electrònic, missatge o qualsevol altre mitjà poc segur.
Si rebeu un correu electrònic que sembla ser d'una botiga en línia o una trucada de l'«equip tècnic» del vostre allotjament web que intenta convèncer-vos de donar-vos la contrasenya, és probable que sigui una estafa.
Sospita de qualsevol que et sol·liciti dades personals, fins i tot si sembla ser algú que coneixes o una empresa en què confies: un ciberdelinqüent pot haver piratejat el compte.
Coneixes algun altre consell o truc per crear contrasenyes segures, recordar-les i protegir-les? Explica'ns-ho a les xarxes.