Les contrasenyes continuen sent el mecanisme d’autenticació més utilitzat a Internet i, alhora, una de les principals vulnerabilitats en matèria de seguretat digital. Tot i els avenços en sistemes biomètrics o la verificació en dos passos, la majoria de serveis digitals actuals encara depenen d’una clau que l’usuari ha de crear, recordar i protegir. En aquest sentit, una part important dels incidents de seguretat no provenen de fallades tecnològiques, sinó dels hàbits dels usuaris.
Aquest article presenta les conclusions d’un treball de recerca enfocat a analitzar les contrasenyes com a problema de seguretat i al desenvolupament de MemoriSafe, una eina pedagògica que ajuda els usuaris a generar contrasenyes segures i fàcils de memoritzar a partir de patrons, sense generar-les automàticament ni emmagatzemar informació sensible.
L’estudi comença amb una revisió dels principals tipus d’atacs relacionats amb les contrasenyes. Els atacs per força bruta i els de diccionari encara existeixen, però el seu impacte disminueix quan les contrasenyes són llargues. En canvi, els atacs més freqüents avui dia provenen de l’enginyeria social: phishing, filtracions massives de dades i, sobretot, la reutilització de contrasenyes en diferents serveis. Si una contrasenya filtrada s’ha reutilitzat, un atacant pot accedir a diversos comptes amb un únic intent.
Les recomanacions actuals del National Institute of Standards and Technology (NIST) subratllen que el factor més determinant per a la seguretat d’una contrasenya és la seva longitud. Una contrasenya llarga (mínim 15 caràcters) incrementa exponencialment el nombre de combinacions possibles i esdevé pràcticament impossible de desxifrar amb la tecnologia actual. En canvi, obligar a incloure símbols, números o majúscules aporta una millora molt poc significativa i sovint dificulta la memorització, fet que és contraproduent per a l’objectiu d’aquest treball.
Aquesta situació genera una contradicció: les contrasenyes més segures són sovint les més difícils de recordar. No obstant això, la recerca psicològica demostra que la memòria humana funciona millor quan la informació està estructurada en patrons. Les persones no recorden bé seqüències aleatòries de caràcters, però sí estructures amb sentit.
A partir d’aquesta idea, el treball proposa un canvi d’enfocament en la creació de contrasenyes: en lloc de generar claus completament aleatòries, es proposa construir contrasenyes llargues basades en patrons únics per a cada usuari. Aquest sistema permet crear contrasenyes diferents per a cada servei, mantenint un alt nivell de seguretat i facilitant-ne la memorització sense recórrer a la reutilització.
Amb aquesta base teòrica es va desenvolupar MemoriSafe, una extensió de navegador amb una finalitat exclusivament educativa. L’eina no genera contrasenyes reals ni guarda cap dada de l’usuari. En canvi, mostra exemples de patrons segurs i explica com adaptar-los a diferents serveis digitals. Els patrons combinen una part variable relacionada amb el lloc web i una part fixa formada per paraules clau o patrons, coneguts només per l’usuari.
Durant el desenvolupament, el projecte va evolucionar notablement. La primera versió funcionava com un generador automàtic de contrasenyes, però les proves van revelar riscos associats a l’emmagatzematge de dades i a la possible deducció dels patrons per part dels atacants. Això va portar a redefinir l’objectiu del projecte i a convertir l’eina en una guia didàctica, eliminant qualsevol gestió directa de contrasenyes.
Les proves amb usuaris, van oferir resultats positius: els participants van ser capaços de crear contrasenyes llargues, úniques i fàcils de recordar seguint els patrons proposats. També es va detectar una millor comprensió de conceptes com la importància de la longitud i els riscos de la reutilització. La interfície de l’eina va ser valorada per la seva claredat i senzillesa.
MemoriSafe no pretén substituir els gestors de contrasenyes, sinó oferir una alternativa complementària centrada en l’aprenentatge. A diferència dels gestors, que concentren totes les credencials en un únic punt, aquest treball promou l’autonomia de l’usuari i distribueix el risc entre diferents contrasenyes.
En l’àmbit educatiu, el projecte evidencía la importància d’integrar la ciberseguretat en l’educació. Sovint es demana als alumnes que utilitzin contrasenyes segures, però no se’ls ensenya com fer-ho. Eines com MemoriSafe permeten entendre millor els principis de la seguretat digital i fomentar hàbits responsables en l’ús de la tecnologia des de ben joves.
Guillem Lluch
Deixa un comentari