Guia en 6 passos per organitzar bé les contrasenyes sense cedir dades biomètriques. (2024)

26 de febrer de 2024

[Català – Castellano] Traducció humana cortesia d'Ander Romero. Gràcies!

Vivim un boom de notícies esgarrifoses sobre dades biomètriques. [Edit: Em sento obliga a recopilar a posteriori unes quantes més segons van sortint]. Menors que venen els seus iris en un esquema ponzi (en castellà), Un gimnàs escaneja ulls sense permís (en castellà), L'empresa que sabrà si estàs deprimit abans que tu (en castellà), Alarma per màquines de vending amb reconeixement facial...

Després de la bona rebuda de l'article sobre navegar de forma segura amb Firefox (en castellà) entre persones del meu entorn poc amigues de la tecnologia, recomanaré com organitzar bé, però bé-bé, les nostres contrasenyes.

Hi ha molta gent que avui dia encara fa servir contrasenyes insegures, tant pel fet de ser dèbils o per ser la mateixa arreu, per més complexa que sigui. Aquestes persones saben que ho estan fent malament i se'n senten culpables, però l'estrès del dia a dia no els permet aturar-se i organitzar-se com cal. Es diuen a elles mateixes «soc un desastre»… i aquest és l'estat d'ànim de què s'aprofiten les Big Tech per demanar-nos les dades biomètriques (reconeixement facial, iris ocular, empremta dactilar) prometent-nos un futur en què no ens caldran contrasenyes. A més a més, capten aquestes dades amb patrons foscos de disseny, com ho és amagar l'opció de «no accepto i no em tornis a preguntar». Alimentant la nostra por i mercadejant amb la nostra privadesa a canvi d'ordre i protecció. No cal que expliqui els perills que comporta tot això per les llibertats individuals i col·lectives.

Pop-up de Google en entrar a Gmail, diu «Simplifica l'inici de sessió», amb un botó de continuar molt més visible que el d'«Ara no». No existeix l'opció «No tornis a preguntar».

Com faig servir jo algunes dades biomètriques

Admeto que faig servir l'empremta dactilar (no el reconeixement facial)en alguns dels meus dispositius. Aquesta dada s'emmagatzema xifrada i en local, segons la font oficial d'Apple i Samsung/Android. Serveix per desblocar l'aparell, però per precaució no l'activo per accedir a comptes en línia. Per què faig servir l'empremta? Considero el risc que algú accedeixi al meu dispositiu coneixent el PIN o el patró, sigui per pèrdua, robatori o requisa policial. Com que la meva empremta ja està emmagatzemada en dispositius Apple i Android/Samsung, evito els serveis al núvol d'aquestes empreses (iCloud, Samsung Cloud i Google Drive), especialment la desada de contrasenyes en línia (Safari, Samsung Pass, Chrome).

Per no enredar-nos en detalls, no explicaré en profunditat les raons per les quals recomano unes coses i no altres. Els anomenats “passkeys” o claus d'accés són una bona eina i suposen una millora al clàssic “usuari i contrasenya”, però no és necessari que les utilitzis amb dades biomètriques. Un gestor de contrasenyes (Bitwarden) i un 2FA (FreeOTP) hauria de ser més que suficient. Qui cerqui lectures més detallades pot començar per Fido Alliance, EFF – Biometrics i EFF – Passkeys. Cadascú és lliure de contrastar i personalitzar el seu mètode: en això consisteix la Sobirania Tecnològica.

Projecte GTD per posar ordre a les teves contrasenyes

Suposem que no vas néixer ahir, per la qual cosa ja tens bastants comptes i contrasenyes, i fins i tot és probable que no en recordis algunes i que altres hagin estat hackejades sense que ho sàpigues. Aquesta guia et permetrà anar endreçant el caos per ordre de prioritats. Els passos estan pensats com un projecte GTD (Recopilar > Planificar > Executar) per poder realitzar cada pas d'una asseguda, a poc a poc i bona lletra.

1r pas. La llista

Paper i boli per fer una llista en quatre columnes. No hi apuntis contrasenyes, només el nom de la web o l'app.

La primera columna, llocs molt importants, incloent-hi els correus electrònics que fas servir per entrar a altres llocs.
La segona, llocs que tenen dades personals (DNI, l'adreça postal, telèfon), dades bancàries o dades biomètriques.
La tercera, llocs amb contrasenyes que compartiràs amb altres persones. (P. ex: una plataforma d'streaming o un correu col·lectiu).
La quarta, tots aquells que «tant et facin». Aquesta llista podria ser interminable, però va bé fer-la perquè t'ocupa espai al cap i més endavant pots valorar què fer amb cadascun dels comptes.

Tindràs alguna cosa així (empreses fictícies):

Primer nivell de seguretat – GPOST (Correu personal) – ACME S.A. (Correu de l'empresa) – UEPBOX (El meu núvol) – FAKTUR (El meu programa de facturació) – ENERGO (El panell de clients de la companyia elèctrica) – MOVILEA (El panell de clients de la companyia telefònica)
– Segon nivell de seguretat – PICTAM (La xarxa social de fotos i stories) – BIRDER (La xarxa social de microblogging) – LAMAÑANAONLINE (El mitjà de comunicació) – BLUEBANANAS.ORG (El WordPress de la meva web) – HOSTEA (L'allotjament de la meva web) – COLDMAIL (Un correu antic, que encara té informació important) – BARRABAS (La botiga en línia d'esports) – VOLEO (El compte de client de l'aerolínia)
– Tercer nivell de seguretat – FILMNET (La plataforma d'streaming que comparteixo) – Un altre GPOST (Un correu compartit de l'associació) – Un altre PICTAM (Per promocionar el nostre grup de música)
– Quart nivell de seguretat – Aquella newsletter que no deixa de molestar… Algun dia ho revisaré. – Aquella ximpleria que em va demanar que em fes un compte. Per què no tancar-lo?

2n pas. La variable

Per als dos primers nivells de seguretat, ens inventarem una regla de xifrat que les descodifiqui totes. Això generarà una variable que permetrà que totes siguin diferents (i a la vegada fàcils de recordar, perquè la resta de la cadena serà igual).

Per exemple, la teva regla de xifratge podria serles tres primeres lletres del lloc, la segona en majúscula, seguides d'un signe d'exclamació. No escriguis ni comparteixis aquesta regla amb ningú. Serà el teu secret.

La llista de dalt quedaria així:

Primer nivell de seguretat: – gPo! – aCm! – uEp! – fAk! – eNe! – mOv!
Segon nivell de seguretat: – pIc! – bIr! – lAm! – bLu! – hOs! – cOl! – bAr! – vOl!

Ara afegeix la variable a la teva contrasenya habitual (constant), amb un + o un & de connector, i així generaràs una contrasenya segura per art de màgia. Si no tens una bona constant, t'ensenyo a crear-ne una a continuació.

3r pas. La constant

Pensa en tres paraules divertides. Alguna cosa que, sense ser personal de forma òbvia per a altres persones, tingui un significat graciós per a tu. No hauràs d'escriure-la cada vegada que entris dins els llocs perquè farem servir un gestor de contrasenyes, però et caldrà recordar-la sense recórrer al gestor de contrasenyes en casos excepcionals. No haurien de ser paraules comunes a internet. Si parles diverses llengües i alguna és minoritària, aprofita-ho. Si t'agraden les esdrúixoles i els embarbussaments, aprofita-ho. Juga amb les majúscules, minúscules i nombres, encara que sigui amb el vell truc de substituir A-E-I-O-U per 4-3-1-0-8. Hi ha qui diu que aquest mètode està desfasat, però no el combina amb la resta de capes de seguretat que proposem en aquesta guia.

Per exemple: «JuliCesarEmperador» o «J8l1C3s4r3mp3r4ad0r» sense ser una opció molt dolenta, és prou millorable.
«SalsifiHundoAritmetiques», és a dir, «S4ls1f1H8nd0Ar1tm3t1q83s» és molt millor. Ningú que conegui aquesta asteràcea sap dir gos en esperanto i té un bon record d'aquell profe català de matemàtiques… Excepte tu!

Pots comprovar la seguretat de la teva constant aquí i recorda que sempre hi afegiràs la variable com a mesura addicional, més les altres capes que veurem a continuació.

L'avantatge d'aquest mètode sobre altres és que pots recordar contrasenyes en situacions d'emergència. Si generes una contrasenya aleatòria i l'emmagatzemes al teu telèfon, pots tenir problemes en quedar-te sense bateria. Imaginar totes les situacions possibles és fonamental per dissenyar el laberint d'emmagatzematge de les teves dades.

Imagina algunes situacions hipotètiques:

Haig de canviar un bitllet d'avió, però estic de viatge i no porto l'ordinador. Vaig a un ordinador públic i penso: Salsifí Hundo Aritmétiques & vOl!, és a dir: S4ls1f1H8nd0Ar1tm3t1q83s&vOl!
Vull compartir el meu compte d'streaming de FILMNET amb els meus amics… No faré servir S4ls1f1H8nd0Ar1tm3t1q83s&fIl!, perquè posaria en risc, tot i que sigui amb amics i familiars, la constant i el mètode per obtenir variables. Per això FILMNET és al tercer nivell.

4t pas. El «nivell zero»

Si et vols sentir com en Neo, has de saber que hi ha una altra capa, una de més profunda… El «nivell zero» per dir-ho d'alguna manera.

Crea un correu gratuït a Tuta o Proton amb un nom d'usuari diferent de l'habitual. El nivell zero és aquell des del que podries canviar les contrasenyes de tots els comptes de tots els nivells, inclosos els comptes de correu personal i professional de nivell u. Pensa que entrant dins el nivell u, qualsevol podria fer servir un simple «recuperar contrasenya» i entrar a totes bandes.

(I sí, si et preguntes si hi ha un nivell per sota del zero… és clar que n'hi ha. Consistiria, d'entrada, en què aquest compte no pogués ser rastrejat, creant-lo des de Tor. Però no hi aprofundiré tant, Calbasi en dona més detalls).

El teu compte de Tuta o Proton servirà com a «compte de recuperació» per als teus comptes importants i també per obrir un compte de Bitwarden, el gestor de contrasenyes amb el que ja no hauràs d'escriure cap contrasenya en el teu dia a dia (excepte la que desbloca Bitwarden). Una vegada instal·lat, pots importar totes les contrasenyes que desaves al navegador amb un parell de clics. Recorda esborrar-les del navegador i de qualsevol altre lloc (documents en línia, paperets…) quan ja les tinguis a Bitwarden.

Un cop acabat aquest pas, tindràs alguna cosa així:

Un mail «net» a Tuta o Proton amb un nom d'usuari diferent de l'habitual (sisocjo) sisocjo@proton.me amb la corresponent contrasenya: (Salsifí Hundo Aritmétiques & Pro!) S4ls1f1H8nd0Ar1tm3t1q83s&pRo! No facis servir aquesta adreça de correu per comunicar-te, sinó com a clau mestra.
Un compte de Bitwarden amb l'usuari «sisocjo@proton.me» i la seva contrasenya:S4ls1f1H8nd0Ar1tm3t1q83s&bIt!

5è pas. 2FA amb FreeOTP

En l'actualitat (2024) només hi ha un mètode comparable en seguretat criptogràfica a l'ús de dades biomètriques, però més segur en termes sociopolítics: 2FA o Autentificació de doble factor. És un PIN temporal (OTP vol dir One-Time-Password) en un altre dispositiu. Atenció, el mateix sistema per SMS ja no és segur i no s'hauria de fer servir.

Les dues aplicacions de 2FA més utilitzades són Google Authenticator i Authy, però són propietàries, és a dir, comercials i de codi tancat. FreeOTP és la millor alternativa FOSS i funciona exactament igual. A banda de ser lliure i de codi obert (pública i auditable), està promocionada per un gran, Red Hat, i per això la seva continuïtat i manteniment està més garantit que en altres iniciatives més petites.

En configurar 2FA, és important tancar el cercle sense bloquejar-se a una mateixa per «excés de cel». No bloquegis el «nivell zero» tret que imprimeixis en paper els codis de recuperació, ja que el simple fet que se't trenqui la pantalla del mòbil podria ser fatídic. A més a més, FreeOTP et permet exportar una còpia de seguretat de tots els codis. Que se't trenqui la pantalla o que perdis el mòbil passa més del que pots imaginar. Pots enviar-te-la al compte zero, o desar-la en local a diversos dispositius.

Codi de recuperació de Tuta en paper

Totes les teves contrasenyes del primer nivell han de tenir obligatòriament el 2FA activat. Per al segon nivell, és recomanable. Les del tercer i quart nivell no el necessiten.

6è pas. El tercer i quart nivell

Recordem que a la tercera llista que has fet al principi hi tens aquells comptes que comparteixes amb altres persones. Tot i que hi ha serveis de 2FA per a aquests casos, encara són una mica experimentals. Jo et recomano que facis servir Bitwarden per crear una contrasenya aleatòria i l'enviïs als altres. Canvia aquesta contrasenya un cop a l'any o si llegeixes a la premsa que aquella empresa ha patit un atac. A més a més, Bitwarden et permet comprovar si la contrasenya ha aparegut a llistes robades o no.

Per al quart nivell, la recomanació de la contrasenya aleatòria és la mateixa. Simplement fes servir Bitwarden, no provis ni tan sols de recordar-la, i ja la recuperaràs amb «he oblidat la contrasenya» si cal. A més a més, pots acostumar-te a no registrar-te amb el teu correu habitual, sinó amb un de secundari o una màscara. Hi ha diversos serveis gratuïts amb aquest objectiu, com Firefox Relay o DuckDuckGo Email. Així, pots tenir una direcció «falsa» com anaperez@duck.com que redirigeixi a anaperez@gpost.com. Però no facis servir l'adreça «neta» que vas crear a sisocjo@proton.me, reserva-la per a les grans ocasions.

Llestos. Si has seguit els passos fins aquí sense perdre els estreps… Enhorabona! Explica'm com ha estat l'experiència al Telegram de Permacultura Digital o amb el hashtag #PermaculturaDigital al Fedivers.

Durant els pròxims dies és probable que modifiqui algun detall, corregeixi faltes d'ortografia i coses així, però no crec que canviï res fonamental. Espero que aquesta guia sigui vigent durant tot el 2024. La revisaré i republicaré el 2025.

Aquesta entrada s'ha escrit a partir de la meva experiència personal i reutilitzant consells de Corio, Calbasi, EFF, Som Connexió… Si em deixo algú, que em disculpi, aniré ampliant la llista. [I gràcies de nou, Ander, per la necessària traducció al català. Entre totes, tot].

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design