Siempre se suele recomendar utilizar contraseñas diferentes para cada sitio ya que utilizar la misma para todo es muy riesgoso, además es recomendable que sean fuertes (con mayúsculas, minúsculas, números y caracteres especiales) para evitar que alguien las pueda adivinar, y también cambiarlas cada cierto tiempo.
Puede parecer una locura tener 5, 10 o más contraseñas diferentes y encima difíciles de recordar, pero para eso se han inventado los gestores de contraseñas que las recuerdan por nosotros cada vez que las necesitamos.
Pero hoy en día la seguridad de las contraseñas está puesta en dudas por las numerosas filtraciones que se han producido en sitios importantes, además son relativamente sencillas de obtener mediante ataques de phishing, sniffing de redes o computadoras infectadas y en estos casos por más compleja que sea una contraseña te la roban igual.
Incluso a Mark Zuckerberg, el creador de Facebook, le hackearon recientemente las cuentas de Twitter, Pinterest y LinkedIn por una filtración de datos que se produjo en esta última red social, pues utilizaba la misma en los tres servicios.
Las contraseñas como método de login se seguirán utilizando aunque poco a poco se irán sustituyendo por alternativas más tecnológicas y que incluso pueden ser más prácticas, un ejemplo claro de ello es el lector de huellas digitales de viene en todos los smartphones y que sustituye al clásico PIN.
Activar la verificación de dos pasos:
Con la verificación de dos pasos la idea es que si alguien lograr robar una contraseña aún deba completar un segundo paso para lograr acceder.
Este segundo paso suele ser algo que los usuarios tenemos y podemos controlar físicamente como el teléfono para recibir un código que llega por mensaje de texto, una aplicación que los genera de forma aleatoria (como Google Authenticator) o un llamada de voz.
Si bien este segundo paso también puede ser vulnerado (por ejemplo cuando se tiene habiltiada la previsualización de los mensajes), no hay dudas de que se vuelve mucho más complicado para un atacante.
Servicios como Twitter, Facebook, Gmail, entre muchos otros los incluyen y son muy sencillos de configurar. Incluso se pueden utilizar herramientas de terceros como Latch para incorporar un segundo paso de verificación en diversos servicios y plataformas como por ejemplo WordPress o Prestashop.
Gmail (y los servicios de Google en general) también permiten el uso de llaves de seguridad USB o Security Keys que son pequeños dispositivos USB que utilizan criptografía en lugar de códigos de verificación y se deben conectar en el equipo como segundo paso de autenticación.
Google se encarga de configurar la llave automáticamente para que se asocie con la cuenta, esto se hace desde https://myaccount.google.com y luego accediendo a Inicio de sesión en Google / Verificación de dos pasos. En caso de no tenerla disponible o perderla, se puede continuar con el login con otro método de verificación como el SMS o Google Autenticador.
Desde hace tiempo tengo una de estas llaves que me regalaron y la verdad es que funciona muy bien teniendo como único requisito el uso del navegador Chrome.
El kit incluía además un cable de carga USB para el móvil que bloquea las conexiones de datos no autorizadas. Por medio de un pequeño botón es posible cambiar entre dos modos que son carga + datos o sólo carga lo cual además aumenta la velocidad con la cual se recarga la batería.
Esto es especialmente útil cuando se utilizan cargadores públicos o se carga el celular en un equipo desconocido, ya que al tener habilitado el intercambio de datos pueden realizar ataques sobre el aparato para intentar robar información.
Las llaves USB que utiliza Google son las que cumplen con el estándar FIDO U2F (Universal 2nd Factor), en esta página del centro de ayuda incluyen enlaces a la tienda de Amazon donde se pueden adquirir. Además otros servicios, como por ejemplo Dropbox, también las soportan como segundo factor de verificación.
También como alternativa al cable de carga que antes comentaba, se pueden utilizar adaptadores USB como el siguiente de la marca PortaPow y también disponible en Amazon, cumplen la misma función al bloquear la transferencia de datos.
Si aún no tienes activada la verificación de dos pasos te recomiendo que la actives, al menos en los sitios donde manejes información sensible como el correo y las redes sociales donde generalmente se almacenan cientos de conversaciones de chat y mensajes privados.
De esta forma si alguna vez te roban la contraseña tendrás un As bajo la manga.