I què més puc fer per protegir els meus comptes en línia?

Potser has visitat llocs web buscant consells sobre com crear una contrasenya més segura, i els trobaràs en aquest article. Però els experts fa temps que consideren que les contrasenyes no són segures. Fins i tot les contrasenyes més llargues i complexes es poden endevinar, robar o comprometre d’alguna altra manera.

A mesura que han sorgit noves maneres de verificar la teva identitat, els experts en ciberseguretat del NIST et recomanen que evitis dependre de les contrasenyes sempre que sigui possible. Però les contrasenyes semblen inevitables. Què has de fer quan se’t demana que en creïs una?

El NIST manté directrius d’identitat digital. Aquestes directrius, que s’usen sovint, inclouen un munt de consells útils per a professionals de les TI sobre com protegir i verificar la identitat dels usuaris del seu lloc web o aplicació.

Però si no ets un professional de les TI i només vols consells sobre com fer que els teus comptes en línia siguin més segurs, continua llegint. En aquest article explicarem per què les contrasenyes són inherentment insegures. Si n’has d’utilitzar una, et donarem alguns consells per fer que les teves contrasenyes siguin més fàcils d’utilitzar i més difícils de robar. També explicarem com pots augmentar la seguretat del teu compte mitjançant eines com l’autenticació multifactor.

Com roben els pirates informàtics les contrasenyes?

Una de les maneres més comunes en què els pirates informàtics roben una contrasenya és enganyant-te perquè els la donis. Això s’anomena pesca.

Per exemple, un atacant et podria enviar un enllaç a un lloc web que s’assembla a un lloc web en el qual confies. Fins i tot, si sets curós i tens coneixements, pot ser difícil detectar un lloc web fals.

En un atac de pesca, el lloc web fals està controlat per un atacant. Et demanarà que iniciïs sessió, igual que el lloc web real, i quan ho facis, hauràs revelat sense saber-ho el teu nom d’usuari i contrasenya.

Aquest és només un exemple de les moltes maneres en les quals algú, a qualsevol lloc del món, pot aconseguir que li enviïs la teva contrasenya. No importa la llarga o complicada que sigui la teva contrasenya si un atacant aconsegueix enganyar-te perquè li l’enviïs.

Però mai m’han enganyat amb la pesca. Són segures les meves contrasenyes?

Fins i tot sense pesca, moltes contrasenyes es poden endevinar fàcilment. En general, la gent és dolenta a l’hora de triar contrasenyes úniques.

«La pitjor contrasenya que se m’acut és ‘password’ o ‘12345’», diu Ryan Galluzzo, que dirigeix ​​el Programa d’Identitat Digital del NIST. «Aquestes són les contrasenyes més importants de la llista dels atacants per a atacs potencials». També són dues de les contrasenyes més comunes.

Potser penses que la teva contrasenya no és tan dolenta, que algú que intenta iniciar sessió al teu compte no farà prou intents per endevinar-la exactament. Fins a cert punt, això és correcte; les pàgines d’inici de sessió de la majoria de llocs web només et permeten endevinar un grapat de contrasenyes incorrectes abans que es quedin bloquejades.

Però els atacants no solen endevinar les contrasenyes a través de la pàgina d’inici de sessió pública. L’endevinació comença després que un lloc web hagi patit una filtració de dades i l’atacant aconsegueixi una còpia de totes les contrasenyes xifrades.

Les contrasenyes es poden desxifrar endevinant-les correctament. I un cop un atacant té una còpia fora de línia de les contrasenyes xifrades, pot fer tantes endevinalles com vulgui.

Amb un ordinador modern, un atacant pot intentar desxifrar 100.000 milions de contrasenyes per segon. Això són moltes conjectures! Si imprimíssiu 100.000 milions de contrasenyes en fulls de paper a doble cara i amb un sol espai, els fulls omplirien uns quatre camions.

Però fins i tot amb totes aquestes conjectures, els pirates informàtics voldran ser tan eficients com sigui possible, de manera que el primer que probablement intentaran és obtenir contrasenyes exposades a partir de filtracions de dades anteriors. Després d’una gran filtració de dades, aquestes contrasenyes exposades es tornen fàcils de trobar en línia. Aquesta és una altra debilitat de les contrasenyes: si la mateixa contrasenya es fa servir per a diversos llocs web, una contrasenya compromesa en un lloc web podria conduir a un compromís a tots els llocs web en els quals s’utilitza aquesta contrasenya.

La meva contrasenya ja està compromesa?

Segons l’Identity Theft Resource Center, hi va haver més de 3.000 filtracions de dades el 2024, que podrien exposar centenars de milions de comptes en línia. Com que les filtracions de contrasenyes no són infreqüents, algunes de les vostres contrasenyes ja podrien estar en llistes disponibles públicament. Podeu comprovar si alguna de les contrasenyes que feu servir s’ha vist compromesa mitjançant una eina com Have I Been Pwned? Aquest lloc web gratuït et permet veure si la teva adreça de correu electrònic ha estat víctima d’una filtració de dades. Gairebé tothom ha estat enxampat alguna vegada.

Ara, potser us preguntareu, què he de fer llavors? Si les contrasenyes no són segures, com puc protegir els meus comptes en línia? Aquí teniu les recomanacions del NIST.

El primer que hauries de fer és afegir l’autenticació multifactor.

Què és l’autenticació multifactor?

Si l’aplicació o el lloc web que fas servir requereix una contrasenya per iniciar la sessió, has de comprovar si et dona l’opció d’activar una cosa coneguda com a autenticació multifactor o MFA. L’MFA proporciona una capa addicional de seguretat que pot ajudar a protegir el compte d’un usuari fins i tot si la seva contrasenya està compromesa.

L’MFA es presenta en moltes formes, com ara connectors USB, aplicacions d’autenticació, notificacions push o codis de missatges de text. Quan l’MFA està activat, un pirata informàtic no només hauria de comprometre la teva contrasenya, sinó també obtenir el control del segon factor. Aquest segon factor és molt més difícil de comprometre, perquè normalment és quelcom que tens físicament en possessió, com el telèfon. Alguns mètodes d’MFA són més segurs que d’altres (els codis de text són particularment vulnerables), però en general, tenir més d’un factor d’autenticació fa que els teus comptes siguin més segurs.

Si et frustren les contrasenyes, hi ha una tecnologia nova i més convenient a punt de substituir-les completament. S’anomena clau d’accés.

Què és una clau d’accés (passkeys)?

Les claus d’accés són una nova manera de demostrar la teva identitat en línia. Funcionen emmagatzemant una clau digital privada en un dispositiu que ja portes a sobre, com ara el telèfon. Si fas servir el telèfon per configurar una contrasenya per a un lloc web, podràs iniciar la sessió tan fàcilment com quan desbloqueges el telèfon: introduint el PIN o utilitzant el reconeixement facial. A diferència de les contrasenyes, les claus d’accés no es poden robar fàcilment mitjançant pesca i no requereixen memorització.

La clau d’accés és diferent per a cada inici de sessió, de manera que, fins i tot si un atacant pogués obtenir el codi secret del teu dispositiu, no podria fer-la servir per a cap altre lloc web. I les claus d’accés no són només per a telèfons; també es poden utilitzar a través d’ordinadors portàtils, adaptadors o fins i tot alguns navegadors web.

Com funciona un gestor de contrasenyes?

Per als comptes que requereixen contrasenyes, els experts del NIST recomanen fermament que facis servir un gestor de contrasenyes.

Els gestors de contrasenyes són aplicacions que faciliten el procés de creació i ús de contrasenyes mitjançant la generació de contrasenyes llargues i complexes, i emmagatzemar-les de manera segura perquè no les hagis de recordar ni escriure. Resolen moltes de les frustracions que pots tenir amb les contrasenyes, ja que creen contrasenyes molt úniques a les quals pots accedir des de gairebé qualsevol dispositiu.

Tanmateix, els gestors de contrasenyes encara requereixen un inici de sessió. Com que aquest inici de sessió protegeix totes les teves contrasenyes, és important triar un gestor de contrasenyes que admeti l’autenticació multifactor (MFA) per garantir que sigui el més segur possible.

Si no pots utilitzar MFA, una clau d’accés o un gestor de contrasenyes i has de crear-ne una tu mateix, els investigadors del NIST tenen algunes recomanacions.

Quines són les directrius del NIST per a les contrasenyes?

La part més important d’una bona contrasenya és la seva longitud. Cada caràcter addicional augmenta dràsticament el nombre d’endevinacions que un atacant hauria d’intentar. Per exemple, una contrasenya d’un caràcter feta amb lletres minúscules requeriria com a màxim 26 endevinacions. Afegir un segon caràcter augmenta aquest nombre a 26 per 26, que són 676 endevinacions. Una contrasenya de vuit caràcters requeriria uns 200.000 milions d’endevinacions. Això són massa perquè un humà les pugui endevinar, però recorda que un ordinador portàtil modern pot fer còmodament 100.000 milions d’endevinacions per segon, per tant, vuit caràcters no és gens segur.

Les directrius del NIST recomanen que una contrasenya tingui com a mínim 15 caràcters. Amb 100.000 milions d’endevinacions per segon, un ordinador trigaria més de cinc-cents anys a endevinar totes les combinacions possibles de 15 lletres minúscules.

Pot semblar que són molts caràcters per memoritzar, però us ho podeu facilitar creant el que Galluzzo anomena una «frase de contrasenya». Una frase de contrasenya combina diverses paraules reals per crear alguna cosa més fàcil d’inventar i recordar.

Per exemple, «cassette lava baby» té 18 caràcters, és memorable i prou aleatori per ser difícil d’endevinar. (Per descomptat, et recomanem que no facis servir aquesta contrasenya ara que hem creat en aquest exemple)

Tot i que això et pot fer sentir segur, recorda que si un atacant obté accés a una base de dades fora de línia amb la teva contrasenya xifrada, pot fer tantes conjectures com li calgui i té molts trucs per accelerar el procés d’endevinació. Fins i tot les contrasenyes llargues acabaran caient en mans d’un atacant dedicat.

La meva contrasenya hauria de tenir caràcters especials i números?

El NIST ja no recomana que les contrasenyes requereixin caràcters especials i números. Però això no vol dir que no els puguis incloure a les teves contrasenyes. En última instància, afegir aquestes complexitats addicionals farà que la contrasenya sigui més difícil d’endevinar, però és més important que la contrasenya sigui llarga, per la qual cosa aquesta hauria de ser la vostra prioritat principal. Dit això, és possible que no tingueu cap altra opció, ja que molts llocs web encara requereixen números, majúscules i caràcters especials, però això pot canviar a mesura que més llocs web adoptin les noves directrius del NIST.

S’estan extingint les contrasenyes?

En un món ideal, podríem deixar d’utilitzar contrasenyes completament en favor de tecnologies més fiables, però no desapareixeran aviat.

«Caldrà recórrer un camí llarg per eliminar completament la contrasenya», diu Galluzzo. «Hi ha moltes alternatives excel·lents, però sempre estaràs limitat per la tecnologia que la gent té disponible». Gairebé tothom pot escriure una contrasenya en gairebé qualsevol màquina. Aquesta versatilitat ha fet que sigui difícil descartar-les completament.

Per protegir els teus comptes en línia, recorda aquests tres consells principals:

1. Configura l’autenticació multifactor. Les claus d’accés són una bona opció.
2. Fes servir un gestor de contrasenyes.
3. Si has de crear una contrasenya, assegura’t que tingui com a mínim 15 caràcters. Una contrasenya et pot ajudar a crear alguna cosa llarga i fàcil de recordar.

En resum, si has de crear una contrasenya, no triïs «contrasenya»! I, el que és més important, no facis servir només una contrasenya: aprofita altres passos per protegir el teu compte, com ara l’autenticació multifactor. Aquests passos addicionals són la clau veritable per protegir el teu compte de la manera més bona possible.