Cinco claves para evitar la fatiga de la contraseña

Recordar todas las contraseñas (correo electrónico, acceso a ordenadores, aplicaciones bancarias, intranets, redes sociales, newsletters) cada vez es más difícil, hasta el punto que algunas personas sufren un fenómeno conocido como fatiga de la contraseña: la necesidad de recordar y gestionar las contraseñas les genera estrés.

"Nos vemos forzados a recordar la contraseña cuando queremos llevar a cabo una acción concreta y sabemos que, si no lo conseguimos, las consecuencias serán negativas. Si olvidamos la contraseña, tenemos que pedir otra, con el consiguiente gasto de tiempo y de esfuerzo, y, sobre todo, corremos el riesgo de perder información o no tener acceso cuando la necesitamos", explica Modesta Pousada, profesora de los Estudios de Psicología y Ciencias de la Educación de la UOC.

Sin embargo, las nuevas tendencias en seguridad informática reducen la presión que tenemos para recordar contraseñas, una tarea que también podemos facilitar con las estrategias que apuntan los expertos de la UOC.

El auge de las contraseñas permanentes

Uno de los hechos que pueden desencadenar el estrés de la fatiga de la contraseña es que el sistema nos exija periódicamente cambiar la contraseña porque la que tenemos ha caducado. "Si después de un tiempo hemos conseguido recordar las dos, tres o cuatro contraseñas que utilizamos con más frecuencia, es normal que nos genere malestar recibir un aviso para cambiarlas", explica Pousada, que es directora del grado de Psicología de la UOC. La profesora afirma que "existe un fenómeno denominado interferencia que explica algunos de los errores más habituales a la hora de recordar información. Consiste en el hecho de que, si tenemos que eliminar de la memoria una información que ya tenemos consolidada y lo tenemos que sustituir por otra, es frecuente que cuando la queremos recordar aparezca la primera en lugar de la segunda. Y eso es lo que nos pasa cuando nos piden un cambio de contraseña".

Los expertos en seguridad informática son conscientes de que esta obligación de cambiar contraseñas periódicamente fomenta prácticas poco fiables. Pedir que se renueve la contraseña cada medio año acaba siendo perjudicial: se acaba optando por tener una contraseña muy fácil o bien para ir intercambiando unas cuantas", explica Helena Rifà, profesora de los Estudios de Informática, Multimedia y Telecomunicación. "Esta obligación de renovarlas constantemente hace que cada vez se utilicen contraseñas más similares y sencillas y se va pervirtiendo el sistema, por|para lo cual cada vez es menos seguro", añade. Según Rifà, directora del máster de Seguridad de las Tecnologías de la Información y de las Comunicaciones de la UOC, "las prácticas más modernas evitan hacer cambiar las contraseñas y limitan este recurso para cuando|cuándo se intuye que ha podido haber un problema de seguridad. Así, excepto en entornos muy sensibles, sólo se pide el cambio si se sospecha que ha habido un ataque informático".

Para comprobar si tu contraseña ha sido comprometida en un ataque informático se puede acceder a la web Have I been pwnd?, tal como recomienda el profesor colaborador de los Estudios de Informática, Multimedia y Telecomunicación de la UOC Diego Miranda-Saavedra.

La aportación creciente de la biometría

Cambios de políticas como el de Microsoft, que propone un acceso a la nueva versión de Windows 10 sin contraseña o promueve el acceso con reconocimiento facial, demuestran que el avance de la biometría hace que esta vaya sustituyendo en algunos entornos la función que hacían las contraseñas. "La mejor forma de control es utilizar varios factores de autenticación", apunta a Helena Rifà. "Si a la contraseña sumamos un control biométrico, el sistema será más seguro", considera.

De todos modos, según la profesora Rifà, la biometría todavía tiene problemas para superar, ya que por una parte puede haber reconocimientos dudosos porque no es un sistema inequívoco como el uso de una contraseña, y, de la otra, plantea problemas vinculados con la privacidad y la imposibilidad de sustituir la prueba de identificación si hay un problema de seguridad, porque no podemos modificar nuestros rasgos|tiros físicos. "La identificación por medio de la biometría actualmente no es suficiente para responder a todas las necesidades de seguridad informática, pero es un buen complemento del uso de contraseñas", opina Rifó, que es investigadora del grupo de investigación|búsqueda KISON de la UOC. Coincide Diego Miranda-Saavedra: "La imagen de nuestro iris o de la huella dactilar son vulnerables y un hacker las podría obtener. De momento la biometría no es lo bastante fiable".

El uso de gestores de contraseñas

Mientras todavía sea necesario recordar códigos de acceso, una opción para evitar memorizarlos todos son los gestores de contraseñas. Estos sistemas guardan la información de nuestros códigos personales encriptada, y hay que lo graban|registran localmente en nuestro dispositivo mientras que otros lo hacen en un servidor, en la nube. "Con este sistema sólo tienes que recordar la contraseña maestra y el gestor se ocupa de administrar una contraseña diferente para cada cuenta de correo. Así se evita que el usuario utilice la misma contraseña en todas partes|a todas partes, cosa que sería muy peligrosa, según Diego Miranda-Saavedra. El profesor colaborador de la UOC recomienda «no tenerlas en un servicio en nube, porque las estarías exponiendo conjuntamente. Utilizaría un gestor instalado localmente y que no comparta las contraseñas fuera del teléfono o el ordenador", tal como explica en este artículo. "Los gestores de contraseñas son una buena alternativa para no tener que recordar los códigos, pero se tiene que estar informado sobre los posibles riesgos", considera Helena Rifà. La profesora recomienda que antes de instalarlos se compruebe que se trata de un sistema fiable: "es prudente que sean sistemas ya ampliamente probados, que tengan buenas referencias y evaluaciones. En este sentido, los de código abierto es más fácil que hayan sido ampliamente testados", afirma. También es relevante saber cómo funciona el sistema de acceso: "Si la información se encripta mediante una contraseña que sólo tú conoces, estás obligado a recordarla. Por otra parte, hay sistemas a los cuales se puede acceder por ejemplo respondiendo a una serie de preguntas personales, pero en estos casos la información está en manos de una empresa, que es quien genera la encriptación de los datos", afirma Rifà.

La creación de contraseñas con sentido

A la hora de decidir la contraseña, hay pautas que nos pueden facilitar la tarea de recordarla. Según explica Modesta Pousada, "a menudo nuestras contraseñas son combinaciones de símbolos sin significado que no tienen ninguna relación con el contexto y, por lo tanto, no nos ofrecen ninguna pista para recordarlas". Como, además, es habitual tener muchas contraseñas y algunas se utilizan de vez en cuando, "es muy difícil recordar una cosa que no tiene significado, de la cual no tenemos pistas para recuperarla y que además hace mucho que no utilizamos", añade Pousada, que es investigadora del grupo de investigación|búsqueda Psicología, Salud y Red (PSINET) de la UOC.

Miranda-Saavedra propone encadenar palabras que no estén relacionadas de manera lógica y que sean fáciles de recordar. Por ejemplo, explica que si se ponen las ciudades españolas por orden de población, separadas y con asteriscos al principio y al final (**Madrid_1_Barcelona_2_Valencia_3_Sevilla_4**), se genera una contraseña muy segura, ya que según la web How Secure Is My Password tardaría en ser adivinada al azar miles de millones de años.

Para evitar olvidar los códigos, Pousada recomienda construir pistas para el recuerdo, es decir, asociar la contraseña a alguna cosa con sentido y fácil de recordar, como|cómo sería el nombre de la calle donde viven tus padres combinado con el número de hermanos que tienes o el lugar|sitio donde pasaste las últimas vacaciones y los días que estuviste, por ejemplo. Además, propone añadir algún elemento que asocie la contraseña en el ámbito al cual pertenece —sea un cajero electrónico, un carné de la biblioteca o una red social— para poder tener una pista que ayude a recuperarla. Se puede referir a su función, la ubicación donde se encuentra o incluso a un color, según la profesora Pousada.

Inventarse historias que lleven a la contraseña

Las pistas que nos hacen recordar una contraseña pueden consistir en "pequeñas historias –sean|estén visuales, recreadas mentalmente o asociadas a sensaciones como los olores, los colores y los sonidos— en las cuales se inserten informaciones", explica Pousada. "A menudo pensamos que como|cuanto más simple sea un elemento, más fácil será recordarlo, pero en realidad la memoria funciona a la inversa. Es decir, cuantos más elementos tengamos asociados a la información que queremos recordar, más fácil será que alguno actúe como el hilo de Ariadna, y estirándolo llegamos a la salida", concluye la profesora Pousada.