Dígits i andròmines
Misc 24/08/2013

Les claus mestres de la web

i
Albert Cuesta
4 min

Mauritania Attacker és un pirata informàtic que s'ha guanyat certa fama en el món digital amb les seves intrusions en les pàgines web d'empreses petrolieres nord-americanes i britàniques, cosa que assegura que fa en nom de l'islam des del país africà del qual agafa el nom. Dimarts passat, el hacker islamista -"no radical", aclareix- presumia d'haver tingut accés a tota la base de dades d'usuaris de Twitter, i per demostrar-ho va publicar en una web de descàrrega de fitxers els detalls de 15.000 d'aquests comptes. La taula de text conté els noms d'usuari i els respectius identificadors numèrics, però no les contrasenyes; en el seu lloc hi ha els anomenats tokens OAuth , les credencials d'autenticació que utilitzen les aplicacions alienes a Twitter per accedir al compte de cada usuari. L'alarma es va propagar immediatament: milions d'usuaris de la web 2.0 fan servir aquest mecanisme de manera més o menys conscient -per exemple, per vincular el compte d'Instagram amb el de Twitter o per poder piular des d'aplicacions mòbils de tercers- i es va recomanar que tothom revisi quines aplicacions externes té connectades amb el seu perfil, per tal d'evitar accessos no autoritzats.

L'ús de les nostres credencials de Twitter, Facebook o Google per identificar-nos en altres serveis de la xarxa és cada vegada més habitual. Resulta més còmode que haver d'empescar-nos un nom d'usuari i una contrasenya diferents cada vegada que ens donem d'alta en una nova pàgina, i encara més còmode que haver de canviar les contrasenyes de totes les webs on ens hem inscrit en cas que algú aconsegueixi el post-it on les havíem anotat: en tenim prou de canviar la del servei principal.

El sistema que s'ha imposat s'anomena OAuth. Va ser creat l'any 2007 per tècnics de Twitter i Ma.gnolia per tapar un possible forat de seguretat: fins aleshores, els usuaris que volien piular automàticament, per exemple, cada cop que publicaven una fotografia en un servei d'àlbums digital, havien de proporcionar el seu nom d'usuari i la seva contrasenya de Twitter al citat servei, confiant que els seus gestors no en farien mal ús i prendrien les mesures necessàries per evitar robatoris d'aquestes identitats digitals. Amb el nou sistema, els creadors de les aplicacions que vulguin tenir permís per publicar a Twitter en nom d'un usuari s'han de posar prèviament d'acord amb l'empresa i obtenir unes claus privades d'accés que entren en joc cada cop que un usuari vol interactuar directament des de l'aplicació externa. En comptes de donar les claus de casa a un desconegut, li deixem al porter una clau que només obre algunes de les habitacions, per tal que el desconegut l'hi demani quan li faci falta i sabent que, si cal, el porter li podrà arrencar de les mans.

Des d'aleshores, OAuth s'ha convertit en un estàndard web obert (http://oauth.net ) que també fan servir altres gegants de la xarxa: les versions més recents del protocol són el que hi ha al darrere de l'Open Graph de Facebook i del Google+ Sign-In de Google. Gràcies a això, quan anem a comentar un article en un diari o un blog, sovint trobem que al formulari ja hi apareix la fotografia que tenim al nostre perfil d'alguna xarxa social, perquè el servidor ja sap qui som sense haver de dir-l'hi explícitament. Ara ja ens sembla el més normal del món donar-nos d'alta en una web -com la d'aquest diari- o instal·lar una aplicació al mòbil fent clic en un botó que en què diu "Identifica't amb Twitter, o Facebook, o Google" i havent de donar només les dades personals (adreça de correu electrònic, data de naixement, etc.) que el servei en qüestió consideri que ens ha d'exigir per tenir-nos ben classificats, però sense haver de recordar cap contrasenya.

El problema d'OAuth és que els creadors de moltes aplicacions el fan servir de manera massa alegre: esclar que una aplicació mòbil de xarxes socials necessita que li donem permís per publicar a Twitter i Facebook en nom nostre, però ¿segur que també ha de poder accedir a la nostra llista d'amics o a les dades personals del nostre perfil? En alguns casos és possible afinar a posteriori aquests permisos dins de l'aplicació, però en molts altres no. I cada vegada és més freqüent que no hi hagi una altra manera de donar-se d'alta en un lloc que fer-ho mitjançant OAuth. A més, les aplicacions poc escrupuloses fan servir el sistema per enviar missatges brossa: el vostre amic no us envia enllaços maliciosos, ho fa -sense saber-ho ell- una aplicació que té connectada en el seu perfil.

Per això, el meu consell és doble: cada vegada que un servei d'internet us convidi a connectar-hi un o més dels vostres comptes socials, mireu bé la llista d'operacions que l'esteu autoritzant a fer i decidiu si us sembla lògica. En cas contrari, marxeu-ne sense acceptar-ho. I reviseu sovint la llista d'aplicacions externes que ja teniu autoritzades en el vostre perfil: el primer cop que ho feu, segur que us sorprendrà. La trobareu en la vostra configuració d'usuari de Twitter, Facebook, Google o LinkedIn. Probablement podeu desactivar les que ja no recordàveu haver acceptat. I si voleu anar sobre segur, esborreu-les totes i torneu a començar.

stats