Contraseñas, usabilidad y uso

El otro día en Buenas prácticas sobre claves y bloqueo de cuentas ‘amenazábamos’ con volver sobre el tema. Lo hacemos con tres artículos que he leído recientemente sobre el asunto:

El primero, Where Do Security Policies Come From? que se basa en el examen de la política de claves de 75 sitios web para concluir que, en general, las políticas son bastante absurdas y no tienen una base sólida sobre la que sustentarse: en general, los sitios con políticas más restrictivas no son los que más requisitos de seguridad tienen, sino los que se lo pueden permitir (sitios gubernamentales y universidades); los que compiten por los usuarios y el tráfico no son muy exigentes, seguramente porque no quieren desanimar a los clientes (y porque les va bien así, luego las exageraciones en cuanto a las claves han de tomarse con una pizca de sal).

El segundo, [PDF] The password thicket: technical and market failures in human authentication on the web. Se analiza la forma en que está implantado en 150 sitios el sistema de autentificación. En este caso lo que se encuentra es que hay bastantes inconsistencias: sitios que son muy exigentes en algunos aspectos, lo son menos en otros. Definitivamente, muy interesante.

Finalmente, uno que no estoy seguro de comprender del todo, Popularity is Everything: A new approach to protecting passwords from statistical-guessing attacks. Se trataría de fortalecer las claves de los usuarios contra ataques de intentos de adivinarlas, evitando que los usuarios utilicen claves demasdiado populares (y lo que no entiendo bien es si no sería una manera de conocer qué claves eran más populares en un sistema).

Métodos formales y desarrollo

No se si es mi impresión o realmente estamos volviendo a prestar atención a los métodos formales para desarrollar programas. En todo caso, un par de artículos recientes sobre el tema: Really Rethinking ‘Formal Methods’ (si no se puede descargar de ese enlace es fácil de encontrar por ahí; si no, seguro que conocen a alguien que se lo puede pasar ;) ) que se pregunta por qué los métodos conocidos no han sido adoptados y traza una panorámica. Además, Formal methods versus engineering donde se incide en que estos temas deberían formar parte de lo que aprenden los estudiantes, incluyendo las matemáticas necesarias.

La propagación de la información

Me encantó leer Rumorología antivirus que nos muestra como, en un mundo pequeño y cerrado, la información puede propargarse bien aunque sea mala: se trata de la historia del «AlertVir», un producto de seguridad que algunos antivirus empezaron a detectar como peligroso y que nadie ‘defendió’, de manera que el resto de empresas empezaron a incluir en sus firmas mencanismos para detectarlo y señalarlo como malicioso.

A las empresas les traía más cuenta seguir a la manada que preocuparse de un producto que no conocían y en el que tendrían que invertir tiempo y recursos para determinar que era inocuo.