Contraseñas débiles y COVID-19

Imagínese que usted es usuario de un sistema informático al que se accede con usuario y contraseña. Dicho sistema es critico, y si algún atacante consigue la clave de un usuario el damnificado sera todo el sistema, no solo aquel usuario.

En este contexto un día llega a meneame una noticia sobre una persona que se hizo un usuario con la contraseña 1234. Esta persona comenta que había un cartel en el formulario de registro que recomendaba usar contraseñas largas y con distintos tipos de caracteres pero que decidió usar simplemente 1234 porque tenia miedo de olvidar la contraseña si era más complicada.

En los comentarios de la noticia vemos algunos empatizando con la realidad de que, efectivamente, se dan situaciones en las que las personas eligen claves poco seguras y dan credibilidad a que realmente hay usuarios que tienen dificultades para recordar una contraseña compleja. Pero también hay comentarios que cargan contra el usuario argumentando primero que es un irresponsable por no usar contraseñas largas y segundo que no hay ninguna prueba de que no pueda recordar contraseñas complejas y en todo caso podría usar KeePass, ergo es una excusa.

Siguiendo el hilo de estos últimos, las soluciones que se proponen es que esta persona que uso la contraseña 1234 debe hacerse responsable de lo sucedido, la culpa es suya. Quizá habría que multarla o echarla del sistema o algo así. En coherencia con esto, el departamento de seguridad de la aplicación debería dejar el formulario como esta, no revisar las contraseñas a priori, esperar a que un atacante usurpe una clave sencilla, buscar al usuario que puso esa clave y castigarle. Así cundirá el ejemplo y la gente usará contraseñas que se ajusten a lo que se recomienda. Porque esto es un problema de responsabilidad individual.

Llegados a este punto, quizá usted ya este pensando “¿y porque demonios el sistema permite contraseñas simples? Impidan el registro con contraseñas simples y asunto arreglado”

Eso es lo mismo que me pregunte yo al ver esta noticia y sus comentarios: www.meneame.net/story/joven-incumplio-cuarentena-tras-pcr-no-saltaba-q

¿Por qué demonios la baja es ‘opcional’? Creo que todos sabemos porqué, para abaratar costes, o más bien, para trasladar esos costes al individuo. Tan simple, llanamente y cutre como un sistema informático que pasa de implementar validación de formato y delega en el usuario la seguridad.

Un sistema informático que hiciera eso probablemente lo haría porque piensa que en la inmensa mayoría de los casos si alguien vulnera una cuenta el único damnificado será ese usuario y poco más, así que a efectos prácticos es como si no pasara nada y eso que me ahorro. Con las bajas pasa lo mismo, normalmente el único perjudicado es el propio enfermo y poco más así que…

Nuestro sistema esta continuamente reformándose para externalizar costes vía convertir lo que antes era estructural en algo a discreción de la “responsabilidad individual”.

Esa responsabilidad individual a la que se apela es un fetiche imaginario, no es generalizable, ni se desea que lo sea. Si la gente fuera “responsable” cogería automáticamente la baja, pero si coge la baja automáticamente ¿qué diferencia practica hay con que la baja sea automática?. No tiene sentido. La baja no es automática precisamente para que haya gente que no la coja.

Ahora en Madrid empieza un confinamiento por barrios que no incluye refuerzos en nada que sea preventivo y estructural (médicos, profesores, teletrabajo, transporte, etc, etc) pero si en lo referente a mandar el mensaje de que la culpa es de la gente, que es una irresponsable y pagarán por ello. Porque anunciar refuerzos en policía y hacer una petición para que venga el ejercito a hacer cumplir las restricciones es tan efectivo como admitir 1234 como contraseña y luego bajarle el karma al que pilles con esa contraseña. No sirve como política de seguridad, sirve para mandar un mensaje: si algo sale mal la culpa es tuya y lo vas a pagar.