Barrapunto

concretamente la extensión para Firefox, y los servicios de dodgeit.com tampoco vienen mal para cuando hay que dar un e-mail que sólo necesitas leer una vez. Si el sitio requiere algo de privacidad ya sí usuario y contraseña, pero siempre eso sí siempre los mismos :-|

Yo sigo investigando (el poco tiempo libre que tengo) sobre SSO biométrico casero.

En esta entrada [barrapunto.com] tienes plasmada la idea que algún dia ejecutaré ;)

En realidad estás casi en las mismas que utilizando la misma clave + sufijo a pelo para cada sitio = conocida una, conocidas todas. La ventaja es que es harto más difícil que alguien se haga con una en claro porque la codificación con md5 la haces en tu máquina y no vas a mandar ninguna clave en texto plano... ¿o sí?

En la medida en que el factor humano entre en juego, no sería difícil que algún día que estuvieras muy dormido se te olvidase pasar la clave por el pasapuré md5 y pusieras espinete_barrapunto directamente en el campo clave del sitio, y entonces el que hubiera recibido esa clave y conozca el método podría obtener todas las demás (espinete_slashdot -> md5 -> clave de slashdot).

No existe método perfecto para esto, particularmente procuro obtener claves fuertes para sistemas donde la seguridad es crítica a base de frases y algunas reglas estúpidas pero, creo, efectivas. Me invento una frase que me sea fácil de recordar, por ejemplo:

Me cago en el cabrón de Bush mil veces.

Y ahora tomo cada letra inicial de cada palabra, respetando mayúsculas y minúsculas, y evitando repeticiones:

McecdBmv

Ahora sustituyo las vocales por números como hacen los niños que quieren ser hackers:

Mc3cdBmv

Y ya tengo una clave que es en la práctica imposible de romper por fuerza bruta, difícil de deducir por lógica, y fácil de recordar para mí.

Cuando me veo obligado por las circunstancias a almacenar listas de claves, -cosa que procuro evitar siempre-, las inserto en un documento en texto plano y luego lo cifro todo utilizando gpg con una clave fuerte.

En el peor de los casos las he impreso, envuelto con un papel totalmente negro, metidas en un sobre sellado y guardado en una caja de caudales. Estas son algunas claves importantes que necesitarán en mi empresa si algún día por una fatalidad me ocurriera algo.

En lo que no son sistemas críticos, como foros de Internet, no tengo ningún reparo en dejar la tarea de recordar las claves al kwallet o al gestor de contraseñas de firefox. No creo que la remota posiblidad de que alguien obtenga mi clave de, por ejemplo, barrapunto.com y el daño que puede hacer con eso justifiquen tener que dar tropecientos pasos antes de hacer login para evitar riesgos.

Es sólo mi opinión, naturalmente.

allá donde trabajo tengo la friolera de 8 contraseñas y 8 usuarios diferentes para entrar en diferentes sistemas. Me niego a sabermelas de memoria