Cada vez es más complicado tener a salvo nuestros datos, porque ya sabéis: la seguridad siempre falla en ese eslabón más débil que hace que todo el resto de nuestros mecanismos acaben cayendo igualmente, así que la medida por antonomasia, las contraseñas, no tiene porqué ser efectiva sobre todo cuando actualmente hay bastantes formas de lograr averiguar básicamente cualquier contraseña en un periodo de tiempo razonable.
Por esa razón ideas como la del chico de NoPassword es singular: en lugar de tener que recordar una contraseña por cada servicio, lo que hacemos es pedir que se nos envíe una contraseña (o enlace codificado para entrar en el servicio) por correo electrónico. Sin más. Uno llega a la web de turno, introduce su correo electrónico, y al momento le llega el mensaje con ese enlace que, esa vez sí, le permite iniciar sesión en el servicio deseado.
Hay quien cree que la cosa puede fallar igualmente, pero si uno tiene cierto cuidado y por ejemplo crea un filtro automatizado que borre ese tipo de mensajes a los 5 minutos de ser recibidos los problemas se reducen de forma aún más clara, así que este mecanismo es aún más interesante. El código creado por Alex Smolen está disponible en Github para que quien quiera lo ponga en marcha, y puede que yo trastee un poco con él para algunos servicios propios que tengo montados (Owncloud, Diaspora…), porque la verdad es que me parece una opción súper curiosa. Lo chulo sería que los Facebook, Twitter, Instagram, Pinterest, etc, se aprovecharan de la idea.
Veo un problema a ese servicio: si el enlace (a modo de «one time password») viaja por la Internet en texto claro (sin cifrar) es susceptible de visualizacion y captura y su utilizacion inmediata por un tercero.
Sigo pensando que la mejor forma de proteccion es usar contraseñas complejas y largas, y cambiarlas a menudo, de tal forma que si eventualmente se averiguan o crackean por fuerza bruta o cualquier otro mecanismo, ya han dejado de temer validez cuando fueran a utilizarse.
y sino, lo ideal es autenticacion de doble factor: pero encarece las soluciones.
saludos!
Pingback: La solución a las contraseñas es... ¿nada de contraseñas?
Pingback: NoPassword: no usar contraseñas para ingresar a un sitio | B1nary0's Web
Yo veo otro problema, en vez de recordar las contraseñas tienes que recordar las urls? no veo el avance, por lo menos las contraseñas las eliges tú. No?
Qué más da que la url sea site.com/ucxsdaauosdd que site.com/usr=yo&pass=mipass ?
orto problema que veo es que para todo requieres la contraseña de tu correo electrónico y generalmente la autencitación el los correos no es exigente con el password es decir no te exigen la actualización de tu cave cada cierto tiempo, y dependiendo del correo la complejidad es de media a baja no obliga a introducir una clave de complejidad alta, en caso de aplicar al correo corporativo de outlook el mismo no te obliga a intruducir ninguna clave a no ser que cada usuario lo configure, lo cual aumenta el riego al momento de descubrir las claves.