El blog de Carlos Díaz-Pache » Uncategorized

Category: Uncategorized

El problema de la autenticación

Acceso

Acceso

Hace poco más de 10 años la gente sólo debía recordar el usuario y la contraseña que le permitían el acceso a su correo electrónico. La aparición de tantos servicios nuevos como los que conforman lo que llamamos la web 2.0 han modificado las necesidades de autenticación de un modo radical. Actualmente un usuario puede tener un par de direcciones de correo electrónico, una cuenta de facebook y otra de twitter o tuenti. Un usuario gestiona por internet sus cuentas bancarias (probablemente en varios bancos), dispone de un blog, compra a través de ebay, amazon y Carrefour (o El Corte Inglés). La música puede descargarla en su iPod a través de iTunes o escucharla en spotify y hasta puede pagar sus impuestos o solicitar ayudas para desempleados por internet. En cada uno de esos lugares le pedirán que se identifique. ¿Quién puede recordar tantos usuarios y tantas contraseñas?

En principio el usuario lo soluciona fácilmente: mismo usuario, misma contraseña para todos los servicios. Esto supone un importante problema: no ofrece las mismas garantías de confidencialidad un gran banco que la última página de vídeos creada por unos amiguetes para enviar contenido simpático. Y cuantos más sitios conocen nuestras credenciales, menos seguro está nuestro dinero. El usuario establece entonces dos claves: la de los sitios tontos y la de los sitios importantes, pero no parece suficiente.

Conscientes del problema, quienes ofrecen los servicios empiezan a poner a su disposición otros medios de autenticarse. Ahora mismo, podríamos decir que los más populares son:

  • Usuario/password: Es el modelo tradicional. Se necesita un nombre de usuario específico para el sitio, con su correspondiente contraseña. A veces hay condiciones específicas para las contraseñas (número mínimo y máximo de caracteres, obligatoriedad de mayúsculas y minúsculas, obligatoriedad de incorporar algún número, etc.)
  • Email/password: Se soluciona el problema de olvidar el usuario. El email, por definición, debe ser único, así que solamente debe recordarse la contraseña.
  • Verificación en dos pasos: Además de validarse mediante usuario y contraseña, una vez accedido al sitio, el sistema envía un SMS al teléfono móvil del usuario con un código que debe informar para certificar su identidad. Es muy popular en entidades financieras y Google está introduciéndolo en algunos de sus servicios. El envío de SMS sustituye a la antigua tarjeta de coordenadas de los bancos.
  • Single Sign-on: Autenticación única para varias aplicaciones. Hay varios modelos, pero resumiendo, o bien se extiende la autenticación en un sitio («Acceder con la cuenta de Facebook» o «Acceder mediante Twitter»), o bien se produce una autenticación independiente como con OpenID.
  • DNI-e / Certificado electrónico: Muy utilizados en la administración pública, garantizan la identidad, permiten la firma digital (jurídicamente equivalente a la manuscrita) y ya empiezan a emplearse en la empresa privada.

Desde luego que no todos los modelos sirven para lo mismo ni son jurídicamente equivalentes, pero los usuarios deben tomar conciencia de la importancia que tiene mantener su identidad salvaguardada. Yo, humildemente, aconsejaría lo siguiente:

  • No duplicar usuario/contraseña: Replica el mismo usuario/contraseña sólo en sitios muy poco importantes: foros de uso esporádico, páginas de publicidad, etc.
  • Cambia la password hoy: Si utilizas muchos productos de Google (gmail, blogger, feedburner, reader, calendar, documents, etc.), como no lo has hecho nunca, cambia la contraseña hoy mismo. Utiliza una password con letras minúsculas, mayúsculas, números y caracteres especiales. Solo es una, y como no la vas a cambiar en mucho tiempo (desoyendo los consejos), dedícale  solamente hoy unos minutos.
  • El número del móvil sólo para quien confíes: No des el número de móvil a páginas en las que no confíes plenamente. La administración pública o los bancos hacen buen uso de él, pero otros pueden empezar a enviarte publicidad (¡y cobrarte por ello!), así que fíjate bien antes de entregar esa información.
  • Cuidado con los gadgets: Utilizamos teléfonos móviles, iPods, iPads, netbooks, portátiles y otros gadgets para conectarnos a internet, y en todos ellos metemos nuestras credenciales para acceder a nuestras páginas favoritas: redes sociales, correos o incluso bancos. Esa información la queremos grabada para mayor comodidad. Llega un momento en el que no sabemos qué información tenemos dónde. Hay que tener controladas las credenciales que residen de forma permanente. En caso de duda, hay que cambiar las contraseñas.
  • Cuidado con las aplicaciones a las que damos acceso: Hay aplicaciones de terceros a los que damos acceso a nuestras cuentas de facebook, twitter o correo. Sucede en los gadgets, pero también en aplicaciones de escritorio (lectores RSS) o en aplicaciones sobre plataformas web (como la granja de facebook). Nuevamente hay que saber a quién le estamos dando permiso y para qué, y sobre todo, informarnos de cómo revocar el permiso.
  • El certificado digital o DNI-e es intransferible: Los trámites firmados digitalmente con tu certificado digital o DNI electrónico son trámites firmados por tí. Sin excusas. Tienes el derecho a utilizarlo y el deber de custodiar tanto la tarjeta física como la clave de acceso. Si permites a otros su utilización eres responsable de las consecuencias.

En definitiva, nuestro mundo cada vez es más digital, y la información de acceso a él cada vez más importante. Usemos el sentido común.

Gobierno abierto

Gobierno abierto

Gobierno abierto

El País ha publicado un interesante reportaje sobre los movimientos de las administraciones en relación a la apertura de los datos que poseen para ponerlos a disposición de los ciudadanos (artículo al que he llegado vía Netoratón).

Cada vez son más las administraciones en el mundo que se orientan hacia una forma distinta de hacer las cosas, utilizando los recursos que la tecnología pone a disposición de ciudadanos e instituciones. Hace tiempo hablábamos de gobierno 2.0 y democracia 2.0, y este artículo vuelve a hacernos reflexionar sobre el tema. ¿Cuántas cosas se hacen como se hacen porque nunca ha habido otra posibilidad?

Las administraciones han recabado y utilizado nuestros datos para gestionar los asuntos públicos. No ha sido hasta el momento en que internet ha tenido una penetración importante en los hogares cuando se ha planteado la posibilidad de que esas administraciones nos enseñen los datos, las cuentas o el estado de los proyectos que desarrollan con nuestro dinero.

Barak Obama ha dado un impulso fundamental a lo que conocemos como Gobierno abierto, y tanto Estados Unidos como el Reino Unido han puesto a disposición de los ciudadanos miles de datos públicos a través de unos portales dedicados a esa labor. En el Reino Unido, por ejemplo, se puede conocer el destino que se ha dado a los impuestos pagados por cada contribuyente.

Se abre el debate, por lo tanto, de qué datos pueden hacerse públicos y cuales debe guardar celosamente la administración. Es evidente que los que tengan influencia en la seguridad del estado o lo que, por su naturaleza, sean datos privados de los ciudadanos, no deberían airearse. Por otra parte, el destino del dinero ingresado por el estado parece un buen candidato a hacerse público: ¿Cuánto dinero se ha gastado en educación (en qué colegios, en qué material, en qué profesores)?, ¿Cuánto se ha gastado en comedores sociales?, ¿Cuánto en infraestructuras (en cuáles, a quién se ha pagado)? También el progreso de cada proyecto parece interesante publicarlo. Todos podríamos ver los retrasos en las obras, cómo se encarecen y por tanto cómo se están gestionando.

Entre los datos evidentemente privados y los evidentemente públicos se abre un espacio de debate. En otros países es público el importe que cada ciudadano declara a hacienda. ¿Debe serlo también aquí? ¿Es privado lo que un contribuyente aporta al sostenimiento del Estado? ¿A quién perjudicaría o beneficiaría hacer pública esta información?

Como se dice en el artículo, el gobierno abierto está basado en tres pilares: transparencia, participación y colaboración. La publicación de los datos que los gobiernos poseen permitiría auditar su labor y evitar el fraude, tanto del propio gobierno como de los ciudadanos que quieren, por ejemplo, «suavizar» sus obligaciones tributarias.

Las empresas empiezan a comprender la importancia del social media y a través de sus community managers o figuras equivalentes, están abriéndose a sus clientes para permitir una relación bidireccional muy provechosa en ambos sentidos. La administración debe potenciar también esos canales para hacer la democracia más participativa. Al fin y al cabo nuestra democracia es el peor sistema del mundo a excepción de todos los demás. Quiere esto decir que está muy lejos de ser perfecto, pero no tenemos (teníamos?) otro mejor. La posiblidad de realizar propuestas, participar en debates o lanzar alertas tempranas ante posibles problemas mejora la calidad de nuestra democracia en el sentido etimológico de la palabra, evitando la perversa y antigua partitocracia.

Panorama Theme by Themocracy