Boicoteemos a las contraseñas
¿Qué sucedería si se te olvidarán todas tus contraseñas excepto una?
Prueba esto: la próxima vez que una página te pida una contraseña durante el registro, elige cualquier serie de caracteres aleatorios y luego olvidalos inmediatamente. No los copies ni guardes. Olvídate de ellos. Casi todas las páginas web y apps no sabrán que simplemente olvidaste tu contraseña y podrás volver a conectarte, en cualquier caso.
De hecho, la mayoría de las veces, la única vez que necesitas saber la contraseña es cuando te conectas por primera vez en un nuevo dispositivo. Entonces, ¿qué haces en este caso? Te diriges a "¿Olvidaste tu contraseña?". Ni siquiera estás mintiendo, te olvidaste tu contraseña, a propósito. Al hacer clic en este enlace envían un correo electrónico con una dirección URL temporal para que puedas cambiarla; vuelves a elegir una contraseña 'random', y la recuerdas sólo el tiempo necesario para iniciar la sesión en el nuevo dispositivo.
Con esta estrategia, sólo hay una contraseña que realmente necesitas recordar: tu contraseña de correo electrónico.
No suena tan bien, pero este método funciona. Puedes hacerlo si te da pereza abrir 1Password, generar una nueva contraseña y guardarla. A partir de hoy, puedes usar esta “trampa” cada vez que te inscribas en un nuevo servicio. Y, ¿adivina qué? Hacer esto no es menos seguro que usar contraseñas, porque todavía se pueden restablecer por correo electrónico. Incluso si no la has olvidado.
Sí, esto significa que es importante comprobar que tu correo electrónico es seguro. Y por supuesto, es sólo una medida temporal hasta que todos los sitios web se den cuenta de que no deberían usarlas.
Si estas diseñando una app o una web y quieres que sea inteligente en este aspecto, hay una mejor manera:
- No le pidas a los nuevos usuarios una contraseña más.
- Asegúrate de obtener un método de contacto seguro, como una dirección de correo electrónico o número de teléfono móvil.
- Cuando un usuario se registra por primera vez en tu sitio, proporciona a la app o al navegador un token de acceso para ahorrar molestias. Probablemente lo hagas usando OAuth.
- Cuando un usuario intenta iniciar sesión pida sólo su nombre de usuario, correo electrónico o número de teléfono móvil.
- Envía al usuario un correo electrónico o un mensaje de texto con un enlace temporal con credenciales que proporcionen un token de acceso que pueda ser almacenado por la app. El usuario se registrará cuando haga clic en ese enlace.
Las contraseñas se han quedado obsoletas. Lo demostró Heartbleed. Quizás la solución sea autenticar a cada usuario a través de un código secreto temporal enviado por un canal seguro. ¿Lo tomarán en cuenta los desarrolladores?
Fuente: Medium