Me olvidé otra vez la clave
19 de Febrero de 2020Escribe Rodolfo Cordero, DevOps de intive Argentina
Una de las primeras cosas que se hace al iniciar la programación de un proyecto, es realizar el bendito “login” o inicio de sesión. Dos textos (usuario y clave), dos cuadros para completar y un botón para ingresar. Con el tiempo se agrega la funcionalidad de recuperar clave, la cual dirige a una página con un campo para escribir la dirección de email, en el que recibirá un link, que después permitirá ingresar una nueva clave. Toda persona ha tenido que pasar en algún momento eso.
Probablemente, cada vez que se ingresa a Facebook, Instagram, Gmail o cualquier aplicación en la computadora, se tenga una clave ya guardada en el navegador y rara vez se cambie. Pero en algunos casos, como por ejemplo cuando toca cambiar la clave del banco o se cambia de computadora por cualquier motivo, nuevamente se va a tener que recordar cuál clave se usó, y es aquí donde empieza el dolor de cabeza.
Las claves de seguridad de hoy
Antes de avanzar con algunas ideas para evitar ese dolor de cabeza, hay que detenerse en las claves. En muchos casos las aplicaciones permiten ingresar claves como la palabra “password”, una de las más fáciles de recordar, pero totalmente insegura. En otros casos, resulta un vía crucis eterno poder crear una clave, como en el ejemplo a continuación:
- Doce caracteres como mínimo
- Debe contener 4 números, no consecutivos
- Al menos una mayúscula
- Ningún número ni letra se puede repetir
- No puede contener vocales
- No puede usar ninguna de las últimas 12 claves
Recordar una clave de este tipo es complicado para una persona que se olvida frecuentemente en dónde deja las llaves. Crear una clave válida es tedioso, poco placentero, por lo que se busca la forma más fácil de recordarla (escribirla en un papelito) y, es posible que se tenga que recurrir frecuentemente al uso del botón “recuperar clave”.
Ahora pasamos a “recuperar clave”. En muchos casos se va a recibir un link que habilita a restablecer la clave. En otros casos, como es el caso de un servidor de correo, harán responder a esas preguntas que se definen cuando se crea el correo, aquellas que respondí hace 5 temporadas de “Game of Thrones” y que ahora no me van a resultar fáciles de recordar.
Ideas para evitar dolores de cabeza a los usuarios
Ahora, si bien existen aplicaciones que permiten guardar claves o sugieren claves inteligentes, se puede salir de ese modelo y preguntarse: ¿cómo repensar la autentificación de usuarias/os cuando desarrollamos aplicaciones?
- Algunos servicios detectan (posiblemente usando técnicas de Machine Learning), desde dónde te estás queriendo conectar. Si abriste la aplicación en Buenos Aires y cinco minutos después intentas hacerlo desde Taiwan, algo no suena lógico a menos que conozcas la técnica de la teletransportación.
- Podemos facilitar el proceso de autenticación en dispositivos que la persona ha confirmado como seguros y, usar otro medio de autenticación (biométrica o algún token) para confirmar cuándo queremos validar un dispositivo como confiable.
- No complicar claves y usar otra información que permita identificar quién interactúa. Esto está abierto a una discusión para determinar qué datos sería recomendable validar. Gmail nos permite usar el teléfono para autentificar muchos de sus servicios.
(*) Rodolfo Cordero Sancho: DevOps en intive-FDV