Publicitat
Publicitat

Dígits i andròmines

Les claus mestres de la web

Mauritania Attacker és un pirata informàtic que s'ha guanyat certa fama en el món digital amb les seves intrusions en les pàgines web d'empreses petrolieres nord-americanes i britàniques, cosa que assegura que fa en nom de l'islam des del país africà del qual agafa el nom. Dimarts passat, el hacker islamista -"no radical", aclareix- presumia d'haver tingut accés a tota la base de dades d'usuaris de Twitter, i per demostrar-ho va publicar en una web de descàrrega de fitxers els detalls de 15.000 d'aquests comptes. La taula de text conté els noms d'usuari i els respectius identificadors numèrics, però no les contrasenyes; en el seu lloc hi ha els anomenats tokens OAuth , les credencials d'autenticació que utilitzen les aplicacions alienes a Twitter per accedir al compte de cada usuari. L'alarma es va propagar immediatament: milions d'usuaris de la web 2.0 fan servir aquest mecanisme de manera més o menys conscient -per exemple, per vincular el compte d'Instagram amb el de Twitter o per poder piular des d'aplicacions mòbils de tercers- i es va recomanar que tothom revisi quines aplicacions externes té connectades amb el seu perfil, per tal d'evitar accessos no autoritzats.

L'ús de les nostres credencials de Twitter, Facebook o Google per identificar-nos en altres serveis de la xarxa és cada vegada més habitual. Resulta més còmode que haver d'empescar-nos un nom d'usuari i una contrasenya diferents cada vegada que ens donem d'alta en una nova pàgina, i encara més còmode que haver de canviar les contrasenyes de totes les webs on ens hem inscrit en cas que algú aconsegueixi el post-it on les havíem anotat: en tenim prou de canviar la del servei principal.

El sistema que s'ha imposat s'anomena OAuth. Va ser creat l'any 2007 per tècnics de Twitter i Ma.gnolia per tapar un possible forat de seguretat: fins aleshores, els usuaris que volien piular automàticament, per exemple, cada cop que publicaven una fotografia en un servei d'àlbums digital, havien de proporcionar el seu nom d'usuari i la seva contrasenya de Twitter al citat servei, confiant que els seus gestors no en farien mal ús i prendrien les mesures necessàries per evitar robatoris d'aquestes identitats digitals. Amb el nou sistema, els creadors de les aplicacions que vulguin tenir permís per publicar a Twitter en nom d'un usuari s'han de posar prèviament d'acord amb l'empresa i obtenir unes claus privades d'accés que entren en joc cada cop que un usuari vol interactuar directament des de l'aplicació externa. En comptes de donar les claus de casa a un desconegut, li deixem al porter una clau que només obre algunes de les habitacions, per tal que el desconegut l'hi demani quan li faci falta i sabent que, si cal, el porter li podrà arrencar de les mans.

Des d'aleshores, OAuth s'ha convertit en un estàndard web obert ( http://oauth.net ) que també fan servir altres gegants de la xarxa: les versions més recents del protocol són el que hi ha al darrere de l'Open Graph de Facebook i del Google+ Sign-In de Google. Gràcies a això, quan anem a comentar un article en un diari o un blog, sovint trobem que al formulari ja hi apareix la fotografia que tenim al nostre perfil d'alguna xarxa social, perquè el servidor ja sap qui som sense haver de dir-l'hi explícitament. Ara ja ens sembla el més normal del món donar-nos d'alta en una web -com la d'aquest diari- o instal·lar una aplicació al mòbil fent clic en un botó que en què diu "Identifica't amb Twitter, o Facebook, o Google" i havent de donar només les dades personals (adreça de correu electrònic, data de naixement, etc.) que el servei en qüestió consideri que ens ha d'exigir per tenir-nos ben classificats, però sense haver de recordar cap contrasenya.

El problema d'OAuth és que els creadors de moltes aplicacions el fan servir de manera massa alegre: esclar que una aplicació mòbil de xarxes socials necessita que li donem permís per publicar a Twitter i Facebook en nom nostre, però ¿segur que també ha de poder accedir a la nostra llista d'amics o a les dades personals del nostre perfil? En alguns casos és possible afinar a posteriori aquests permisos dins de l'aplicació, però en molts altres no. I cada vegada és més freqüent que no hi hagi una altra manera de donar-se d'alta en un lloc que fer-ho mitjançant OAuth. A més, les aplicacions poc escrupuloses fan servir el sistema per enviar missatges brossa: el vostre amic no us envia enllaços maliciosos, ho fa -sense saber-ho ell- una aplicació que té connectada en el seu perfil.

Per això, el meu consell és doble: cada vegada que un servei d'internet us convidi a connectar-hi un o més dels vostres comptes socials, mireu bé la llista d'operacions que l'esteu autoritzant a fer i decidiu si us sembla lògica. En cas contrari, marxeu-ne sense acceptar-ho. I reviseu sovint la llista d'aplicacions externes que ja teniu autoritzades en el vostre perfil: el primer cop que ho feu, segur que us sorprendrà. La trobareu en la vostra configuració d'usuari de Twitter, Facebook, Google o LinkedIn. Probablement podeu desactivar les que ja no recordàveu haver acceptat. I si voleu anar sobre segur, esborreu-les totes i torneu a començar.

PUBLICITAT
PUBLICITAT
PUBLICITAT

EDICIÓ PAPER 24/09/2017

Consultar aquesta edició en PDF