Si ves tu password escrito desconfía…

por Santiago Álvarez

Última actualización: 02 09 2010

No te fies. No hay excusas. Si ves tu password escrito en una pantalla, en un mail, o como parte de la dirección de la página que estás visitando, huye. Aléjate todo lo posible, corre sin mirar atrás. Estás jugándotela con alguien que no es de fiar, alguien que conoce tu secreto.

Cualquier sistema informático que visualice el password de un usuario de la forma que sea es un sistema mal construido y que pone en peligro toda la información de los usuarios. La llave para entrar a toda la información de un usuario es su password y si éste no está bien custodiado, el resto de la información también peligra. Casos de sistemas mal construidos los tenemos cuando nuestro password aparece en un mail, se visualiza durante nuestra navegación web, forma parte de la dirección de la página que estamos visitando, e incluso cuando nuestro administrador de sistemas o departamento técnico puede acceder a nuestro password – ni siquiera ellos deberían ser capaces de conocer nuestra contraseña si el sistema estuviese bien construido.

Tal vez nos ponemos un poco tremendistas, pero es solo para que veas la importancia de este asunto. Prácticamente todos los sistemas informáticos se construyen a partir de un módulo que gestiona a los usuarios con sus passwords y aquí empieza toda la historia. Un buen sistema de gestión de contraseñas no debería ser capaz de recuperar el password de ningún usuario, esto es, las contraseñas se deberían almacenar codificadas de tal forma que sea imposible su vuelta atrás. El sistema debe ser capaz de responder afirmativa o negativamente sobre si la contraseña de un usuario es una determinada secuencia de letras, pero jamás debería ser capaz de decir cuál es la contraseña de un usuario. Puede parecer una sutil diferencia, pero no es así.

Yo me indigno cada vez que veo una contraseña mía escrita, porque eso significa que el sistema de seguridad es malo y, claro, a partir de ahí puede pasar cualquier cosa con la información que tengan sobre mí. En múltiples ocasiones me he encontrado en esta situación, os cuento las últimas:

  • Haciendo la compra en Mercadona online y accediendo al olvido de contraseña, me envían un mail con mi password escrito.
  • Blauden es una tienda online de tecnología que funciona realmente bien en cuanto a su logística – son rápidos y te informan puntualmente de cómo va tu pedido – pero en cuanto al sistema de contraseñas dejan mucho que desear. Generan un password y te lo envían por correo electrónico (los passwords los debe elegir el usuario, nunca el sistema).
  • El mismo WordPress me decepcionó cuando me envió por correo electrónico mi nueva password.
  • Hace unos días en @santi_alvarez: «Idealista guarda las passwords en abierto ME CABREO cuando un recordar contraseña me envía mi password en el mail»

De cuestiones relacionadas con el password se puede hablar largo y tendido – recordatorio de contraseña, sistemas de passwords seguras, políticas de cambios de passwords, autenticación delegada a terceros,… – pero la primera premisa que se debe cumplir es ésta: el password no se puede decodificar, nadie debería poder averiguar mi contraseña. Si esta primera premisa no se cumple, el sistema no es de fiar.

Santiago Álvarez
Jefe de máquinas

Deja tu comentario

Los campos con * son obligatorios