Antígona i els Fenicis

[Català – Castellano] Traducción humana cortesía de Ander Romero. ¡Gracias!

Vivimos un boom de noticias escalofriantes sobre datos biométricos. [Edit: Me siento obligado a recopilar a posteriori unas cuantas más, según van saliendo.] Menores venden su iris por cryptos en un esquema ponzi, Un gimnasio escanea ojos sin permiso, La empresa que sabrá si estás deprimido antes que tú, Alarma por máquinas de vending con reconocimiento facial...

Tras la buena recepción del artículo sobre navegar de forma segura con Firefox en personas de mi entorno poco amigas de la tecnología, voy a recomendar como organizar bien, pero bien-bien, nuestras contraseñas.

Hay mucha gente que a día de hoy todavía utiliza contraseñas inseguras, ya sea porque son débiles o por ser la misma en todas partes, aunque sea compleja. Estas personas saben que lo están haciendo mal y se sienten culpables por ello, pero el estrés del día a día no les permite parar y organizarse como toca. Se dicen a sí mismas “soy un desastre”... y ese es el estado de ánimo que aprovechan las Big Tech para pedir nuestros datos biométricos (reconocimiento facial, iris ocular, huella dactilar) prometiéndonos un futuro en el que no necesitaremos contraseñas. Además, captan estos datos utilizando patrones oscuros de diseño, como es esconder la opción de “no aceptar y no volver a preguntar”. Atizando nuestro miedo y mercadeando con nuestra privacidad a cambio de orden y protección. No hace falta que explique qué riesgos comporta todo esto para las libertades individuales y colectivas.

Pop-up de Google al entrar en Gmail, dice “Simplifica el inicio de sesión”, con un botón de “Continuar” mucho más visible que el de “Ahora no”. No existe la opción “No volver a preguntar”.

Como uso yo algunos datos biométricos

Admito que utilizo la huella dactilar (no el reconocimiento facial) en algunos de mis dispositivos. Este dato se almacena cifrado y en local, según la fuente oficial de Apple y Samsung/Android. Sirve para desbloquear el aparato, pero por precaución no lo activo para acceder a cuentas online. ¿Por qué uso la huella? Considero el riesgo de que alguien acceda a mi dispositivo conociendo el PIN o el patrón, sea por pérdida, robo o requisa policial. Como mi huella está almacenada en dispositivos Apple y Android/Samsung, evito los servicios en la nube de estas empresas (iCloud, Samsung Cloud y Google Drive), especialmente el guardado de contraseñas online (Safari, Samsung Pass, Chrome).

Para no enredarnos en detalles, no voy a explicar en profundidad las razones por las que recomiendo unas cosas y no otras. Los llamados “passkeys” o claves de acceso son una buena herramienta y suponen una mejora al clásico “usuario y contraseña”, pero no es necesario que las uses con datos biométricos. Un gestor de contraseñas (Bitwarden) y un 2FA (FreeOTP) debería ser más que suficiente. Quien busque lecturas más detalladas puede empezar por Fido Alliance, EFF – Biometrics y EFF – Passkeys. Cada persona es libre de contrastar y personalizar su método: En eso consiste la Soberanía Tecnológica.

Proyecto GTD para poner orden en tus contraseñas

Suponemos que no has nacido ayer, por lo que ya tienes bastantes cuentas y contraseñas, e incluso es probable que no recuerdes algunas y otras hayan sido hackeadas sin que lo sepas. Esta guía te permitirá ir reordenando el caos por orden de prioridades. Los pasos están pensados como un proyecto GTD (Capturar > Planificar > Ejecutar) para poder realizar cada paso de una sentada, sin prisa pero sin pausa.

Paso 1. La lista

Papel y boli para hacer una lista en cuatro columnas. No apuntes contraseñas, solo el nombre de la web o app.

• La primera columna, sitios muy importantes, incluyendo los correos electrónicos que usas para entrar en otros sitios.
• La segunda, sitios que tienen datos personales (DNI, dirección postal, teléfono), datos bancarios o datos biométricos.
• La tercera, sitios con contraseñas que vas a compartir con otras personas. (Ej: plataforma de streaming o un correo colectivo).
• La cuarta, todo aquello que “te da igual”. Esta lista podría ser interminable, pero sienta bien hacerla porque ocupa espacio en tu mente y más adelante puedes valorar qué hacer con cada una de las cuentas.

Tendrás algo así (empresas ficticias):

Primer nivel de seguridad – GPOST (Correo personal) – ACME S.A. (Correo de la empresa) – UEPBOX (Mi nube) – FAKTUR (Mi programa de facturación) – ENERGO (El panel de clientes de la compañía eléctrica) – MOVILEA (El panel de clientes de la compañía telefónica)
Segundo nivel de seguridad – PICTAM (La red social de fotos y stories) – BIRDER (La red social de microblogging) – LAMAÑANAONLINE (El medio de comunicación) – BLUEBANANAS.ORG (El WordPress de mi web) – HOSTEA (El hosting de mi web) – COLDMAIL (Un correo antiguo, que aún tiene información importante) – BARRABAS (La tienda online de deportes) – VOLEO (La cuenta de cliente de la aerolínea)
Tercer nivel de seguridad – FILMNET (La plataforma de streaming que comparto) – Otro GPOST (Un correo compartido de la asociación) – Otro PICTAM (Para promocionar nuestro grupo de música)
Cuarto nivel de seguridad – Aquella newsletter que no deja de molestar... Algun día lo revisaré. – Aquella tontería que me pidió crear cuenta. ¿Por qué no cerrarla?

Paso 2. La variable

Para los dos primeros niveles de seguridad, vamos a inventarnos una regla de cifrado que descodifique todas ellas. Esto generará una variable que permitirá que todas sean diferentes (y a la vez fáciles de recordar, porque el resto de la cadena será igual).

Por ejemplo, tu regla de cifrado podría ser las tres primeras letras del sitio, la segunda en mayúscula, seguidas de un signo de exclamación. No escribas ni compartas esta regla con nadie. Será tu secreto.

La lista de arriba quedaría algo así:

Primer nivel de seguridad: – gPo! – aCm! – uEp! – fAk! – eNe! – mOv!
Segundo nivel de seguridad: – pIc! – bIr! – lAm! – bLu! – hOs! – cOl! – bAr! – vOl!

Ahora añade la variable a tu contraseña habitual (constante), con un + o un & de conector, y así generarás una contraseña segura por arte de magia. Si no tienes una buena constante, te enseño a crear una a continuación.

Paso 3. La constante

Piensa en tres palabras divertidas. Algo que, sin ser personal de un modo obvio para otras personas, signifique algo gracioso para ti. No necesitarás escribirla cada vez que entres en los sitios porque vamos a utilizar un gestor de contraseñas, pero necesitarás poder recordarla sin recurrir al gestor en casos excepcionales. No deberían ser palabras comunes en internet. Si hablas varios idiomas y alguno es minoritario, aprovéchalo. Si te gustan las esdrújulas y los trabalenguas, aprovéchalo. Juega con mayúsculas, minúsculas y números, aunque sea con el viejo truco de sustituir A-E-I-O-U por 4-3-1-0-8. Hay quien dice que este método está desfasado, pero no lo combina con el resto de capas de seguridad que proponemos en esta guía.

Por ejemplo: “JulioCesarEmperador” o “J8l10C3s4r3mp3r4ad0r” sin ser una malísima opción, es mejorable.
“SalsifiHundoAritmetiques”, es decir, “S4ls1f1H8nd0Ar1tm3t1q83s” es muchísimo mejor. Nadie que conozca esta asterácea sabe decir perro en Esperanto y tiene un buen recuerdo de aquel profe catalán de matemáticas... ¡Excepto tú!

Puedes probar la seguridad de tu constante aquí y recuerda que siempre añadirás la variable, como medida adicional, más otras capas que veremos a continuación.

La ventaja de este método sobre otros, es que puedes recordar contraseñas en situaciones de emergencia. Si generas una contraseña aleatoria y la almacenas en tu teléfono, puedes tener problemas al quedarte sin batería. Imaginar todas las situaciones posibles es fundamental para diseñar el laberinto de almacenamiento de tus datos.

Imagina varias situaciones hipotéticas:

Necesito cambiar un billete de avión, pero estoy de viaje y no tengo mi ordenador: Voy a un ordenador público y pienso: Salsifí Hundo Aritmétiques & vOl!, es decir: S4ls1f1H8nd0Ar1tm3t1q83s&vOl!
Quiero compartir mi cuenta de streaming de FILMNET con mis amigos... No usaré S4ls1f1H8nd0Ar1tm3t1q83s&fIl!, porque pondría en riesgo, aunque sea con amigos y familiares, la constante y el método de obtener variables. Por eso FILMNET está en el tercer nivel.

Paso 4. El “nivel cero”

Si te quieres sentir como Neo, debes saber que hay otra capa, una más profunda… El “nivel cero” por así decirlo.

Crea un correo gratuito en Tuta o Proton con un nombre de usuario diferente del habitual. El nivel cero es aquel desde el que podrías cambiar las contraseñas de todas las cuentas de todos los niveles, incluidas cuentas de correo personal y profesional del nivel uno. Piensa que entrando en el nivel uno, cualquiera podría usar un simple “recuperar contraseña” y entrar en todas partes.

(Y sí, si te preguntas si hay un nivel por debajo del cero… claro que hay. Consistiría, por lo pronto, en que esa cuenta cero no se pueda rastrear, creandola desde Tor. Pero yo no voy a bucear tan profundo, Calbasi da más detalles).

Tu cuenta en Tuta o Proton servirá como “cuenta de recuperación” para las cuentas importantes y también para abrir una cuenta en Bitwarden, el gestor de contraseñas con el que ya no necesitarás escribir ninguna contraseña en tu día a día (salvo la que desbloquea Bitwarden). Una vez instalado, puedes importar todas las contraseñas que guardabas en el navegador con un par de clicks. Recuerda borrarlas del navegador y de cualquier otra parte (documentos online, papelitos...) cuando ya las tengas en Bitwarden.

Al final de este paso, tendrás algo como:

Un mail “limpio” en Tuta o Proton con un nombre de usuario distinto al habitual (sisoyyo) sisoyyo@proton.me y su contraseña (Salsifí Hundo Aritmétiques & Pro!) S4ls1f1H8nd0Ar1tm3t1q83s&pRo! No uses esta dirección de correo para comunicarte, sino como llave maestra.
Una cuenta en Bitwarden con el usuario “sisoyyo@proton.me” y su contraseña: S4ls1f1H8nd0Ar1tm3t1q83s&bIt!

Paso 5. 2FA con FreeOTP

En la actualidad (2024) solo hay un método comparable en seguridad criptográfica al uso de datos biométricos, pero más seguro en términos socio-políticos: 2FA o Factor de Doble Autenticación Es un PIN temporal (OTP significa One-Time-Password) en otro dispositivo. Atención, el mismo sistema por SMS ya no es seguro y no debería utilizarse.

Las dos apps de 2FA más utilizadas son Google Authenticator y Authy, pero son propietarias, es decir, comerciales y de código cerrado. FreeOTP es la mejor alternativa FOSS y funciona exactamente igual. Además de ser libre y de código abierto (pública y auditable), está promocionada por un grande, Red Hat, por lo que su continuidad y mantenimiento está más garantizado que otras iniciativas más pequeñas.

Al configurar 2FA, es importante cerrar el círculo sin bloquearse a una misma por “exceso de celo”. No bloquees el “nivel cero” a menos que imprimas en papel los códigos de recuperación, ya que una simple rotura de pantalla del móvil podría ser fatídica. Además, FreeOTP te permite exportar un backup con todos los códigos. La rotura de pantalla o la pérdida de móvil son más frecuentes de lo que puedes imaginar. Puedes enviartela a la cuenta cero, o guardarla en local en varios dispositivos.

Código de recuperación de Tuta en papel

Todas tus contraseñas del nivel uno deben tener obligatoriamente 2FA activado. Para las del segundo nivel, es recomendable. Las del tercer y cuarto nivel no lo necesitan.

Paso 6. El tercer y cuarto nivel

Recordemos que en la tercera lista que hiciste al principio tienes aquellas cuentas que compartes con otras personas. Aunque hay servicios 2FA para estos casos, aún son un poco experimentales. Yo te recomiendo que uses Bitwarden para crear una contraseña aleatoria y se la pases a las otras personas. Cambia esta contraseña una vez al año o si lees en la prensa que esa empresa ha sufrido un ataque. Además, Bitwarden te permite comprobar si la contraseña ha aparecido en listas robadas o no.

Para el cuarto nivel, la recomendación de la contraseña aleatoria es la misma. Simplemente utiliza Bitwarden, no trates ni de recordarla, y ya la recuperarás con “he olvidado mi contraseña” si hace falta. Además, puedes acostumbrarte a no registrarte con tu correo habitual, sino con uno secundario o una máscara. Hay varios servicios gratuitos para esto, como Firefox Relay o DuckDuckGo Email. De este modo, puedes tener una dirección “falsa” como anaperez@duck.com que redirija a anaperez@gpost.com. Pero no uses la cuenta “limpia” que hiciste en sisoyyo@proton.me, resérvala para las grandes ocasiones.

Listo. Si has seguido los pasos hasta aquí sin perder los estribos... ¡Felicidades! Cuéntame como ha ido la experiencia en el Telegram de Permacultura Digital o con el hashtag #PermaculturaDigital en el Fediverso.

En los próximos días es probable que modifique algún detalle, corrija faltas de ortografía y cosas así, pero no creo que cambie en lo fundamental. Espero que esta guía siga vigente para todo 2024. La revisaré y republicaré en 2025.

Esta entrada se ha escrito basada en mi experiencia personal y reutilizando consejos de Corio, Calbasi, EFF, Som Connexió… Si me dejo a alguien, que me disculpe, iré ampliando la lista.

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design

[Català – Castellano] Traducció humana cortesia d'Ander Romero. Gràcies!

Vivim un boom de notícies esgarrifoses sobre dades biomètriques. [Edit: Em sento obliga a recopilar a posteriori unes quantes més segons van sortint]. Menors que venen els seus iris en un esquema ponzi (en castellà), Un gimnàs escaneja ulls sense permís (en castellà), L'empresa que sabrà si estàs deprimit abans que tu (en castellà), Alarma per màquines de vending amb reconeixement facial...

Després de la bona rebuda de l'article sobre navegar de forma segura amb Firefox (en castellà) entre persones del meu entorn poc amigues de la tecnologia, recomanaré com organitzar bé, però bé-bé, les nostres contrasenyes.

Hi ha molta gent que avui dia encara fa servir contrasenyes insegures, tant pel fet de ser dèbils o per ser la mateixa arreu, per més complexa que sigui. Aquestes persones saben que ho estan fent malament i se'n senten culpables, però l'estrès del dia a dia no els permet aturar-se i organitzar-se com cal. Es diuen a elles mateixes «soc un desastre»… i aquest és l'estat d'ànim de què s'aprofiten les Big Tech per demanar-nos les dades biomètriques (reconeixement facial, iris ocular, empremta dactilar) prometent-nos un futur en què no ens caldran contrasenyes. A més a més, capten aquestes dades amb patrons foscos de disseny, com ho és amagar l'opció de «no accepto i no em tornis a preguntar». Alimentant la nostra por i mercadejant amb la nostra privadesa a canvi d'ordre i protecció. No cal que expliqui els perills que comporta tot això per les llibertats individuals i col·lectives.

Pop-up de Google en entrar a Gmail, diu «Simplifica l'inici de sessió», amb un botó de continuar molt més visible que el d'«Ara no». No existeix l'opció «No tornis a preguntar».

Com faig servir jo algunes dades biomètriques

Admeto que faig servir l'empremta dactilar (no el reconeixement facial)en alguns dels meus dispositius. Aquesta dada s'emmagatzema xifrada i en local, segons la font oficial d'Apple i Samsung/Android. Serveix per desblocar l'aparell, però per precaució no l'activo per accedir a comptes en línia. Per què faig servir l'empremta? Considero el risc que algú accedeixi al meu dispositiu coneixent el PIN o el patró, sigui per pèrdua, robatori o requisa policial. Com que la meva empremta ja està emmagatzemada en dispositius Apple i Android/Samsung, evito els serveis al núvol d'aquestes empreses (iCloud, Samsung Cloud i Google Drive), especialment la desada de contrasenyes en línia (Safari, Samsung Pass, Chrome).

Per no enredar-nos en detalls, no explicaré en profunditat les raons per les quals recomano unes coses i no altres. Els anomenats “passkeys” o claus d'accés són una bona eina i suposen una millora al clàssic “usuari i contrasenya”, però no és necessari que les utilitzis amb dades biomètriques. Un gestor de contrasenyes (Bitwarden) i un 2FA (FreeOTP) hauria de ser més que suficient. Qui cerqui lectures més detallades pot començar per Fido Alliance, EFF – Biometrics i EFF – Passkeys. Cadascú és lliure de contrastar i personalitzar el seu mètode: en això consisteix la Sobirania Tecnològica.

Projecte GTD per posar ordre a les teves contrasenyes

Suposem que no vas néixer ahir, per la qual cosa ja tens bastants comptes i contrasenyes, i fins i tot és probable que no en recordis algunes i que altres hagin estat hackejades sense que ho sàpigues. Aquesta guia et permetrà anar endreçant el caos per ordre de prioritats. Els passos estan pensats com un projecte GTD (Recopilar > Planificar > Executar) per poder realitzar cada pas d'una asseguda, a poc a poc i bona lletra.

1r pas. La llista

Paper i boli per fer una llista en quatre columnes. No hi apuntis contrasenyes, només el nom de la web o l'app.

• La primera columna, llocs molt importants, incloent-hi els correus electrònics que fas servir per entrar a altres llocs.
• La segona, llocs que tenen dades personals (DNI, l'adreça postal, telèfon), dades bancàries o dades biomètriques.
• La tercera, llocs amb contrasenyes que compartiràs amb altres persones. (P. ex: una plataforma d'streaming o un correu col·lectiu).
• La quarta, tots aquells que «tant et facin». Aquesta llista podria ser interminable, però va bé fer-la perquè t'ocupa espai al cap i més endavant pots valorar què fer amb cadascun dels comptes.

Tindràs alguna cosa així (empreses fictícies):

Primer nivell de seguretat – GPOST (Correu personal) – ACME S.A. (Correu de l'empresa) – UEPBOX (El meu núvol) – FAKTUR (El meu programa de facturació) – ENERGO (El panell de clients de la companyia elèctrica) – MOVILEA (El panell de clients de la companyia telefònica)
– Segon nivell de seguretat – PICTAM (La xarxa social de fotos i stories) – BIRDER (La xarxa social de microblogging) – LAMAÑANAONLINE (El mitjà de comunicació) – BLUEBANANAS.ORG (El WordPress de la meva web) – HOSTEA (L'allotjament de la meva web) – COLDMAIL (Un correu antic, que encara té informació important) – BARRABAS (La botiga en línia d'esports) – VOLEO (El compte de client de l'aerolínia)
– Tercer nivell de seguretat – FILMNET (La plataforma d'streaming que comparteixo) – Un altre GPOST (Un correu compartit de l'associació) – Un altre PICTAM (Per promocionar el nostre grup de música)
– Quart nivell de seguretat – Aquella newsletter que no deixa de molestar… Algun dia ho revisaré. – Aquella ximpleria que em va demanar que em fes un compte. Per què no tancar-lo?

2n pas. La variable

Per als dos primers nivells de seguretat, ens inventarem una regla de xifrat que les descodifiqui totes. Això generarà una variable que permetrà que totes siguin diferents (i a la vegada fàcils de recordar, perquè la resta de la cadena serà igual).

Per exemple, la teva regla de xifratge podria serles tres primeres lletres del lloc, la segona en majúscula, seguides d'un signe d'exclamació. No escriguis ni comparteixis aquesta regla amb ningú. Serà el teu secret.

La llista de dalt quedaria així:

Primer nivell de seguretat: – gPo! – aCm! – uEp! – fAk! – eNe! – mOv!
Segon nivell de seguretat: – pIc! – bIr! – lAm! – bLu! – hOs! – cOl! – bAr! – vOl!

Ara afegeix la variable a la teva contrasenya habitual (constant), amb un + o un & de connector, i així generaràs una contrasenya segura per art de màgia. Si no tens una bona constant, t'ensenyo a crear-ne una a continuació.

3r pas. La constant

Pensa en tres paraules divertides. Alguna cosa que, sense ser personal de forma òbvia per a altres persones, tingui un significat graciós per a tu. No hauràs d'escriure-la cada vegada que entris dins els llocs perquè farem servir un gestor de contrasenyes, però et caldrà recordar-la sense recórrer al gestor de contrasenyes en casos excepcionals. No haurien de ser paraules comunes a internet. Si parles diverses llengües i alguna és minoritària, aprofita-ho. Si t'agraden les esdrúixoles i els embarbussaments, aprofita-ho. Juga amb les majúscules, minúscules i nombres, encara que sigui amb el vell truc de substituir A-E-I-O-U per 4-3-1-0-8. Hi ha qui diu que aquest mètode està desfasat, però no el combina amb la resta de capes de seguretat que proposem en aquesta guia.

Per exemple: «JuliCesarEmperador» o «J8l1C3s4r3mp3r4ad0r» sense ser una opció molt dolenta, és prou millorable.
«SalsifiHundoAritmetiques», és a dir, «S4ls1f1H8nd0Ar1tm3t1q83s» és molt millor. Ningú que conegui aquesta asteràcea sap dir gos en esperanto i té un bon record d'aquell profe català de matemàtiques… Excepte tu!

Pots comprovar la seguretat de la teva constant aquí i recorda que sempre hi afegiràs la variable com a mesura addicional, més les altres capes que veurem a continuació.

L'avantatge d'aquest mètode sobre altres és que pots recordar contrasenyes en situacions d'emergència. Si generes una contrasenya aleatòria i l'emmagatzemes al teu telèfon, pots tenir problemes en quedar-te sense bateria. Imaginar totes les situacions possibles és fonamental per dissenyar el laberint d'emmagatzematge de les teves dades.

Imagina algunes situacions hipotètiques:

Haig de canviar un bitllet d'avió, però estic de viatge i no porto l'ordinador. Vaig a un ordinador públic i penso: Salsifí Hundo Aritmétiques & vOl!, és a dir: S4ls1f1H8nd0Ar1tm3t1q83s&vOl!
Vull compartir el meu compte d'streaming de FILMNET amb els meus amics… No faré servir S4ls1f1H8nd0Ar1tm3t1q83s&fIl!, perquè posaria en risc, tot i que sigui amb amics i familiars, la constant i el mètode per obtenir variables. Per això FILMNET és al tercer nivell.

4t pas. El «nivell zero»

Si et vols sentir com en Neo, has de saber que hi ha una altra capa, una de més profunda… El «nivell zero» per dir-ho d'alguna manera.

Crea un correu gratuït a Tuta o Proton amb un nom d'usuari diferent de l'habitual. El nivell zero és aquell des del que podries canviar les contrasenyes de tots els comptes de tots els nivells, inclosos els comptes de correu personal i professional de nivell u. Pensa que entrant dins el nivell u, qualsevol podria fer servir un simple «recuperar contrasenya» i entrar a totes bandes.

(I sí, si et preguntes si hi ha un nivell per sota del zero… és clar que n'hi ha. Consistiria, d'entrada, en què aquest compte no pogués ser rastrejat, creant-lo des de Tor. Però no hi aprofundiré tant, Calbasi en dona més detalls).

El teu compte de Tuta o Proton servirà com a «compte de recuperació» per als teus comptes importants i també per obrir un compte de Bitwarden, el gestor de contrasenyes amb el que ja no hauràs d'escriure cap contrasenya en el teu dia a dia (excepte la que desbloca Bitwarden). Una vegada instal·lat, pots importar totes les contrasenyes que desaves al navegador amb un parell de clics. Recorda esborrar-les del navegador i de qualsevol altre lloc (documents en línia, paperets…) quan ja les tinguis a Bitwarden.

Un cop acabat aquest pas, tindràs alguna cosa així:

Un mail «net» a Tuta o Proton amb un nom d'usuari diferent de l'habitual (sisocjo) sisocjo@proton.me amb la corresponent contrasenya: (Salsifí Hundo Aritmétiques & Pro!) S4ls1f1H8nd0Ar1tm3t1q83s&pRo! No facis servir aquesta adreça de correu per comunicar-te, sinó com a clau mestra.
Un compte de Bitwarden amb l'usuari «sisocjo@proton.me» i la seva contrasenya:S4ls1f1H8nd0Ar1tm3t1q83s&bIt!

5è pas. 2FA amb FreeOTP

En l'actualitat (2024) només hi ha un mètode comparable en seguretat criptogràfica a l'ús de dades biomètriques, però més segur en termes sociopolítics: 2FA o Autentificació de doble factor. És un PIN temporal (OTP vol dir One-Time-Password) en un altre dispositiu. Atenció, el mateix sistema per SMS ja no és segur i no s'hauria de fer servir.

Les dues aplicacions de 2FA més utilitzades són Google Authenticator i Authy, però són propietàries, és a dir, comercials i de codi tancat. FreeOTP és la millor alternativa FOSS i funciona exactament igual. A banda de ser lliure i de codi obert (pública i auditable), està promocionada per un gran, Red Hat, i per això la seva continuïtat i manteniment està més garantit que en altres iniciatives més petites.

En configurar 2FA, és important tancar el cercle sense bloquejar-se a una mateixa per «excés de cel». No bloquegis el «nivell zero» tret que imprimeixis en paper els codis de recuperació, ja que el simple fet que se't trenqui la pantalla del mòbil podria ser fatídic. A més a més, FreeOTP et permet exportar una còpia de seguretat de tots els codis. Que se't trenqui la pantalla o que perdis el mòbil passa més del que pots imaginar. Pots enviar-te-la al compte zero, o desar-la en local a diversos dispositius.

Codi de recuperació de Tuta en paper

Totes les teves contrasenyes del primer nivell han de tenir obligatòriament el 2FA activat. Per al segon nivell, és recomanable. Les del tercer i quart nivell no el necessiten.

6è pas. El tercer i quart nivell

Recordem que a la tercera llista que has fet al principi hi tens aquells comptes que comparteixes amb altres persones. Tot i que hi ha serveis de 2FA per a aquests casos, encara són una mica experimentals. Jo et recomano que facis servir Bitwarden per crear una contrasenya aleatòria i l'enviïs als altres. Canvia aquesta contrasenya un cop a l'any o si llegeixes a la premsa que aquella empresa ha patit un atac. A més a més, Bitwarden et permet comprovar si la contrasenya ha aparegut a llistes robades o no.

Per al quart nivell, la recomanació de la contrasenya aleatòria és la mateixa. Simplement fes servir Bitwarden, no provis ni tan sols de recordar-la, i ja la recuperaràs amb «he oblidat la contrasenya» si cal. A més a més, pots acostumar-te a no registrar-te amb el teu correu habitual, sinó amb un de secundari o una màscara. Hi ha diversos serveis gratuïts amb aquest objectiu, com Firefox Relay o DuckDuckGo Email. Així, pots tenir una direcció «falsa» com anaperez@duck.com que redirigeixi a anaperez@gpost.com. Però no facis servir l'adreça «neta» que vas crear a sisocjo@proton.me, reserva-la per a les grans ocasions.

Llestos. Si has seguit els passos fins aquí sense perdre els estreps… Enhorabona! Explica'm com ha estat l'experiència al Telegram de Permacultura Digital o amb el hashtag #PermaculturaDigital al Fedivers.

Durant els pròxims dies és probable que modifiqui algun detall, corregeixi faltes d'ortografia i coses així, però no crec que canviï res fonamental. Espero que aquesta guia sigui vigent durant tot el 2024. La revisaré i republicaré el 2025.

Aquesta entrada s'ha escrit a partir de la meva experiència personal i reutilitzant consells de Corio, Calbasi, EFF, Som Connexió… Si em deixo algú, que em disculpi, aniré ampliant la llista. [I gràcies de nou, Ander, per la necessària traducció al català. Entre totes, tot].

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design

---

Ojo, esta entrada ha quedado desfasada en sólo unos meses. Puedes leer mi nueva recomendación actualizada a julio de 2024 en ((en construcción)).

---

Como dice Samcre (en el artículo que ha inspirado este), internet es cada vez más insufrible. Si no teníamos suficiente con dejarnos la vista entre anuncios, popups y paywalls, desde hace unos meses se nos chantajea con dos opciones: o pagamos, o nos rastrean. Pero otro internet es posible, y está a unos pocos clics de distancia.

Así es como veo yo una noticia con Chrome vs. con un Firefox bien configurado, como las leo habitualmente:

Un artículo de prensa en Chrome vs el Modo Lectura de Firefox. Limpio y legible.

Si eres ciberactivista o periodista de investigación, esta guía es solo el principio, pero para el común de los mortales es suficiente para evitar la mayoría de trackers, anuncios, malware y pasarelas de pago abusivas. Para hacerlo aún más fácil, no voy a explicar las razones por las que recomiendo cada cosa. Eres libre de buscar, contrastar y personalizar esta guía. La puedes compartir con quien quieras y sugerirme cambios.

Vamos allá:

0. Configura una DNS pública y europea en dns0.eu. Hay tres tipos, la normal, la “zero” (reforzada) y la “kids” (parental). Elige la que más se ajuste a tus necesidades. Sigue las instrucciones de la página sin miedo. Como norma general, lo más adecuado es instalarlo en cada ordenador y móvil que tengas (iOS, Android, Windows, MacOS o Linux).

1. Instala Firefox en tu dispositivo y asígnalo como navegador predeterminado. Como segundo navegador, instala Tor Browser que es un Firefox tuneado con otras medidas de seguridad. Ten en cuenta que Tor es más lento y no funcionarán todas las páginas.

Recordad que una de las características más desconocidas y útiles de Firefox es el Modo Lectura (el botoncito en forma de documento) que permite leer los artículos completos de forma accesible, sin distracciones y con la letra grande. Además, puedes imprimir a PDF la página en esa versión.

2. En Firefox, ve a Configuración > General y cambia el idioma, especialmente si hablas un idioma minoritario. Además de promover su uso, tendrás una experiencia en Internet menos mainstream y más local. Olvida el resto de opciones de la configuración, puedes revisarlas después de instalar las extensiones que proponemos a continuación, que configurarán todo automáticamente.

3. Instala la extensión Duckduckgo. (Para Android, instala el navegador del mismo nombre. Aunque no lo uses como navegador predeterminado, activa la opción App Tracking Protection y te protegerá del resto de apps).

4. Instala la extensión Consent-O-Matic

5. Instala la extensión uBlock Origin

6. Instala la extensión Ghostery

7. Instala la extensión Privacy Badger

8. Instala la extensión Bypass Paywalls

9. Instala la extensión Bitwarden para gestionar todas tus contraseñas. Tendrás que crearte una cuenta en bitwarden.com.

Es una buena idea crear primero un nuevo correo “limpio” en Tuta o Proton y utilizarlo para crear la cuenta de Bitwarden con su contraseña maestra. Aquí tienes más detalles de todo el proceso.

10. Finalmente, instala RiseupVPN o ProtonVPN. No es necesario que la tengas siempre activada: Úsala cuando estés en una WIFI pública (como un aeropuerto o un coworking) o si sospechas que un gobierno o una empresa está censurándo contenido (en ese caso, también puedes probar con tu segundo navegador, Tor Browser).

¡Listo!

---

Esta entrada se ha escrito basada en mi experiencia personal y reutilizando consejos de Samcre, Dnmrules, ciberseguridad.com, Calbasi, Lindk, EFF, Som Connexió… Si me dejo a alguien, que me disculpe, iré ampliando la lista.

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design

s3squ1d1p3ntag0n0r0nd0d3c43dr0br0ntas1gu13n1nu3vn3run0ukasdes1gv13n1nu3v0ukast3gqu3unbbr0r0s0tas3sd3p3nurt3g13

Ningú sabrà mai què vol dir ni quina porta podria obrir. Jo tampoc.

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design

Poesía. Para lo que nos queda. Para qué. Poesía. Por qué.

Por eso.

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design

No es pot dir això* a la gent. * Això: La veritat.

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design

La generació hereta

l'iris no el xip.

El temps s'en_sorra

se'nsen_sorra a les mans

al segle de la gran prova.

La naturalesa sempre em (et) ens transformarà

en dissolucions salines, marítimes.

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design

Pensaba escribir algo, y me he puesto a leer.

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design

La desgracia de tener amigos adoradores de esquirlas integristas del templo caído afirmacionistas con máster en mirar para otro lado.

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design

Des que tinc un hort les males herbes només creixen al meu INBOX.

Dame un LikeFreely | Antigona i els Fenicis es el blog personal de Pau Kokura con licencia CC BY-NC-SA 4.0 | Escrito con Inteligencia Animal | Contacta en kokura.design