Olvidarse de las contraseñas DEFINITIVAMENTE en Android

Una de las preguntas más redundantes que nos han hecho en los múltiples eventos en los que hemos presentado NoMorePass es ¿Puedo usarlo para hacer login en el propio móvil? Nuestra respuesta, como siempre, era positiva, pero con restricciones, hasta el momento solo podíamos copiar-pegar la contraseña… Y digo hasta ahora porque Android 8 incluyó una novedad que nos venía al pelo: el Autofill Framework.

Este framework permite a algunas aplicaciones registrarse como servicio proveedor de credenciales de forma que, si el usuario selecciona esa aplicación, el sistema permite que la aplicación «recomiende» valores posibles para los campos a rellenar en las aplicaciones… Dicho y hecho, esto es lo que los usuarios de NoMorePass nos estaban pidiendo y esto es lo que hemos conseguido (dentro video:)

Autocompletar con NoMorePass

Como véis es algo sumamente sencillo, seleccionar NoMorePass como proveedor de autocompletar y a partir de ese momento todas las contraseñas estarán disponibles para autorellenado cuando las necesitemos.

La primera vez que usamos una contraseña para una app nos preguntará qué contraseña enviar (y usaremos el mismo método que con las webs) y, lo que es más, si metemos a mano una contraseña se nos preguntará si queremos registrar esa contraseña en NoMorePass y así no tener que volver a meterla nunca más… Así hacemos realidad nuestro lema: Olvida tus contraseñas.

¿Y qué pasa con iOS? bueno, apple nunca nos ha puesto las cosas fáciles, más teniendo en cuenta su empeño con quedarse con las credenciales de todo el mundo en su iCloud. Sin embargo, a partir de iOS 12, Apple ha abierto un poco la mano a esta posibilidad y ofrece Servicios de autenticación que, cómo no, vamos a integrar lo antes que podamos.

Mientras… Si tienes Android 8.0 o superior, puedes disfrutar de esta nueva funcionalidad descargádote la versión 1.11.1 o superior de la app.

Varias versiones php en tu servidor

Esto de las versiones del php me ha traído de cabeza desde que decidieron que algunas versiones iban a ser incompatibles con otras… Tan traumático fue el cambio a php5 que la comunidad ha tardado muchos años en decidirse a utilizar otra versión, tanto que se han saltado un número y ahora vivimos con la versión 7.x. En este caso os dejo la receta para poder cambiar de una versión a otra de php en un servidor ubuntu y así poder probar si algo funciona con la versión más nueva o hay que seguir «pegado a la versión anterior».

Yo me he creado dos archivos para hacerlo: 

switchTo5.6.sh

!/bin/bash
a2dismod php7.2
a2enmod php5.6
update-alternatives --set php /usr/bin/php5.6
update-alternatives --set phar /usr/bin/phar5.6
update-alternatives --set phar.phar /usr/bin/phar.phar5.6 
update-alternatives --set phpize /usr/bin/phpize5.6
update-alternatives --set php-config /usr/bin/php-config5.6
service apache2 restart

switchTo7.2.sh

#!/bin/bash
a2dismod php5.6
a2enmod php7.2
update-alternatives --set php /usr/bin/php7.2
update-alternatives --set phar /usr/bin/phar7.2
update-alternatives --set phar.phar /usr/bin/phar.phar7.2 
update-alternatives --set phpize /usr/bin/phpize7.2
update-alternatives --set php-config /usr/bin/php-config7.2
service apache2 restart

Recordad que para que todo funcione habéis tenido que incluir los repositorios que tengan las distintas versiones de php. En mi caso incluí este:

sudo add-apt-repository ppa:ondrej/php

Y que tenéis que instalar todas las dependencias del proyecto en cuestión. En mi caso fueron estas (es un proyecto LAMP):

sudo apt-get install -y apache2 libapache2-mpm-itksudo apt-get install php php-mysql php-curl php-gd php-intl php-pear php-imagick php-imap php-memcache php-pspell php-recode php-tidy php-xmlrpc php7.2-xml  php-mbstring libapache2-mod-php

No es la solución ideal pero permite cambiar a una versión más «segura» en cualquier momento y asegurar que los proyectos siguen funcionando al margen de la versión actual de php.

En cualquier caso, seguro que surgen más problemas con el versionado de las librerías, ahí ya no queda más que rezar y esperar que todo siga funcionando «más o menos» como antes.

Ellos ya conocen tu contraseña

Ultimamente estoy recibiendo este tipo de correo (tengo que revisar el spam porque Google sabiamente me los clasifica como correos peligrosos):

La cuestión es que sabían mi contraseña (no, no es la que aparece en el ejemplo que acabo de poner) y eso no es nada raro, ya que hay más de 1.400 millones de emails y contraseñas circulando por la red proveniente de filtraciones y hackeos varios. Si quieres saber si estás afectado (antes de que intenten chantajearte por email) puedes hacerlo en esta página:

Comprobar si tienen mi contraseña

Aquí puedes comprobar si ya tienen tu contraseña

El resto del correo electrónico es pura ingeniería social… Te amenazan con hacer público algo que a ti no te interesa y que, dado que conocen una de tus contraseñas, podrían haber capturado si no tenemos cuidado… Es totalmente falso, y si tuviesen algo que enseñar ya te lo habrían enseñado, así que, por favor, no pagues.

Para estar protegido (dentro de lo que cabe) intenta no repetir contraseñas en distintos sitios, usar contraseñas que no sean comunies o variaciones de datos propios (si, las variaciones tampoco aportan seguridad) y nunca hagas caso de correos que te manden desconocidos. Por mi parte yo aporto mi granito de arena con NoMorePass, para que no tengas que recordar ninguna contraseña y te mantengas a salvo de todas estas cosas. ¿Qué esperas para probarlo? Es el unico gestor de contraseñas que mantiene solo en tu teléfono todas tus contraseñas y te evita el tener que recordarlas o teclearlas. De hecho el enlace que os puse antes está patrocinado por un gestor de contraseñas de la competencia que ya ha sido comprometido más de una vez. Se bueno, mantente seguro y usa nomorepass…

Como pollo sin cabeza

Me encanta esta expresión, «como pollo sin cabeza», siempre que la utilizo es para indicar que lo que se está haciendo se hace simplemente por mantenerse en movimiento, no con un objetivo claro (como el pollo decapitado de la expresión). A veces me siento que estoy en el mismo caso… Con cabeza pero corriendo de un lado a otro sin pararme a sacar todo el jugo de lo que hago.

Y digo esto por mi experiencia de esta semana, en la que he tenido un trancazo importante (lo sigo teniendo) que a ratos me hace estallar la cabeza, otros me parece que tengo otitis y la mayor parte me deja hecho polvo pero, aún así, se me han juntado tantas cosas que hacer y en tantos sitios que he tenido que aparcar toda precaución y seguir adelante «como pollo sin cabeza».

LUNES

La congestión ya me atenaza, empiezo a toser como un condenado y la garganta me duele, pero no hay problema, tenemos que preparar todo para el startup-olé del día siguiente y nos vamos de compras por la tarde para complementar los materiales que, por suerte, ya habían llegado por la mañana, luego en casa, preparar la maleta y todo lo demás… Espero que no me dure demasiado el trancazo.

MARTES

No me levanto mejor que el día anterior, pero la adrenalina del viaje me permite moverme con soltura, primero a la oficina y, a media mañana, ya nos metemos en el coche rumbo a Salamanca… Se supone que no habría demasiado problema en llegar tarde, pero nos gusta cumplir con los horarios y prefiero llegar antes de las 14:00 que es la hora en la que deberían estar los stands preparados… Y así que lo hacemos, algo más de dos horas de viaje y 220 kilómetros después ya estamos listos para montar el chiringuito… Que no nos queda nada mál:


En cualquier caso, ya que era pronto nos reservamos un poco de tiempo para comer (hace un día expléndido y lo hacemos en una terraza cercana a la plaza mayor) y volvemos por la tarde donde nos quedamos atendiendo al poco público que pasa por allí (básicamente a los vecinos de expositor que son los únicos que están por la zona).

Mi resfriado parece que se ha estancado, quizá el buen tiempo haga que mejore, no se, la esperanza es lo último que se pierde y hay que acumular fuerzas para el día siguiente que, según todos los indicios, será el día grande de la feria y donde tendremos que darlo todo.

MIERCOLES

Definitivamente el resfriado ha empeorado, tras la ducha creo que me ha entrado agua en el oído drecho porque lo tengo parcialmente taponado… Me pongo a dar saltos a la pata coja y parece que no evoluciona… Quien sabe, igual es el resfriado que se está convirtiendo en otitis.

A las 8 de la mañana, después de tomar un frugal desayuno nos plantamos a las puertas de la capilla en la que tenemos nuestro stand… Y resulta que hay un control de seguridad montado «a la española», solo hay una persona con la lista actualizada de quien puede entrar y quien no ¡¡EN UN MÓVIL!! y luego el control de seguridad posterior como si fuese un aeropuerto… Total media hora perdida esperando para entrar… Pero una vez que estoy dentro me doy cuenta que no tengo ni un mísero analgésico y que lo del oido me está doliendo cada vez más… Salir a comprarlo no es una opción, la cola de fuera ya ha tomado dimensiones bíblicas y volver a entrar puede costarme otra hora… En fin, a esperar.

La razón de toda esta seguridad era la visita que, a eso del medio día recibiríamos… El Rey y el presidente de Portugal (acompañados del ministro de exteriores) se pasaban para mostrar su apoyo a los emprendedores…

Menos mal que, en un momento en que vi que la cola de entrada había menguado salí a la farmacia más cercana a comprar algo para «doparme» mientras durase el sarao… Claro que el efecto tampoco es que me durase demasiado.

Por lo menos la mañana, una vez que la regia visita nos dejó, fue productiva, se pasaron más personas a las que presentamos nomorepass y conseguimos hablar con más gente que conocíamos o que nos querían conocer… Pero llegó el momento en que mi resfriado pudo más que yo y tuve que decidir volver al hotel, aunque fuese a descansar un rato, para recuperarme, en estas circunstancias era más sencillo hablar con un zombie que conmigo.

Y como Murphy es así, justo mientras estoy en el hotel empiezan a llegar personas con las que yo quería hablar… Total que solo pude estar poco más de media hora antes de tener que volver al stand. Menos mal que la comida se pudo hacer con el cocktail que nos había preparado la organización, no me veía con ganas de volver a buscar un restaurante.

Este día todavía tendría alguna sorpresa, antes de ir al concurso de pitch en el que estábamos todavía tuve tiempo de quedar encerrado en uno de los aseos, se rompió el mecanismo (me quedé con la maneta en la mano) y resulta que estaba en medio de los muros de medio metro del claustro y no había ni siqueira cobertura… En fin, que gracias a una señora de la limpieza que me oyó y al de mantenimiento que terminó por romper todo el cierre para que pudiese salir, que si no allí me quedaba.

A las 17:30 nos entrevistaron en una radio por internet para su podcast (vistodeotrolado) y a las 18:30 ya estabamos listos para la competición de pitch en la que estábamos englobados como fintech… En el interim nos perdimos una reunión que teníamos programada con Prosegur y que, debido a la maliiiiiiiisima app que disponía la organización pasaba 100% desapercibida. El caso es que dimos el pitch (que no ganamos) y a eso de las 8 de la noche, con un calor insoportable dentro del edificio, terminamos nuestra jornada maratoniana… Salvo mis virus que seguían activos a toda máquina.

Decidimos recoger los bártulos y aprovechamos para tomar algo en el networking cocktail que nos prepararon y vuelta al hotel, las fuerzas ya flaqueaban.

JUEVES

Si alguien creía que esto se había acabado, se equivocaba. Para el jueves teníamos previsto el mentor’s day de la fundación madri+d que me obligaba a estar en Madrid a las 16:30 de la tarde… Así que tuvimos el tiempo justo de recoger las cosas, desayunar, comprar el hornazo (esto es sagrado si vas a Salamanca), volverme a tomar un chute de analgésicos y vuelta al coche… Otros 220km y otras dos horas después en Alcorcón con el tiempo justo para ducharme, comer y deshacer la maleta… Y vuelta al metro.


Soporté lo mejor que pude la falta de aire acondicionado de la sala (se que no es culpa de la fundación y ya se disculparon por ello), hice la presentación y vi las de mis otros once compañeros… Menos mal que la garganta ha soportado el tirón aunque esté medio sordo de un oído por la congestión.

VIERNES

Hoy estoy escribiendo este post porque temo que no pueda hacerlo más tarde, pero tengo que preparme para otro viaje, esta vez a Torrelavega para participar en el 1er certamen abierto de emprendimiento. Esta vez es el doble de kilómetros y, por suerte, no me va a tocar ir solo y perder todo el fin de semana, persiguiendo, como pollo sin cabeza, quien sabe qué… Eso si, prometo que a mi vuelta voy a cuidarme más, eliminar los virus en cuanto pueda y volver a calzarme la cabeza antes de empezar a correr de aquí para allá.

Seguiremos informando…

El fin del hacking por ingeniería social

La mayor parte de los sistemas de acceso a las webs, correos o cualquier otro sistema informático son técnicamente lo suficientemente robustos para que utilizar métodos de fuerza bruta o criptográficos sea muy, muy complicado (hablo de webs que ya tengan ssl, ordenadores que no tengan keyloggers ni cosas de esas). De hecho los medios para romper una clave rsa que tuvo que poner la NSA (11.000 millones de dólares) no están al alcance de cualquier hacker y, desde luego, no de cualquier hacker que ande por ahí. Sin embargo, se siguen produciendo ataques, filtraciones e intrusiones en nuestras cuentas usando el método más barato de todos: la ingeniería social.

Mediante ingeniería social lo que un hacker hace es tratar de que tu mismo le entregues tus claves o, en el peor de los casos, utilizar alguna clave tuya conocida para derivar la que puede ser tu clave para ese sistema. En 2004 el New York Post publicaba un artículo en el que se describía un experimento por el que un desconocido ofrecía un dulce a cualquiera que le diese la contraseña de su correo… Y el resultado fue sorprendente, 7 de cada 10 personas entregaron la contraseña de su correo. De esta manera da igual que tengamos SSL, TLS, un sistema límpio, y todas las medidas que queramos que mediante ingeniería social cualquier atacante puede descubir nuestras contraseñas. Además, nuestro cerebro no es capaz de recordar secuencias de caracteres aleatorios, o al menos no muchas, por lo que al final solemos usar alguna heurística para tener una sola contraseña y derivar otras en base a esas. Un sistema que conduce, irremisiblemente a regalar nuestras contraseñas a cualquiera que esté interesado por ellas.

¿Cual es mi solución? Muy sencillo, que el usuario no sepa las contraseñas, no es necesario cambiar ningún sistema, ni recordar nada, ni preocuparse lo más mínimo, simplemente olvidate de las contraseñas. Para conseguir esto he creado el sistema nomorepass, que además de generarte contraseñas y almacenarlas de manera segura en tu dispositivo móvil (y solo en tu dispositivo, nada de copiarlo en la nube, ni en nuestros servidores, ni en los ordenadores) te permite enviarlas de manera segura a la web o el dispositivo que la necesita… Todo ello sin que tu tengas que saber cual es la contraseña y, por tanto, sin poder ser presa de la ingeniería social.

Llevando esto al extremo, he desarrollado un nuevo plugin para wordpress que permite hacer los registros de usuario de manera automática, sin tener que elegir un password y que lo almacena directamente y de forma segura en tu app nomorepass. Puedes hacer la prueba registrándote en este blog, simplemente pincha aquí, escribe tu nick y tu email, pincha en el icono de nomorepass y luego escanea el qr con la app usando el botón rojo. ¡voila! ya estás registrado y con tus credenciales en tu teléfono… ¡Y ni siquiera sabes qué contraseña has usado!!

Deja de usar sistemas obsoletos, de escribir las contraseñas en papeles, tener una sola contraseña (con variaciones) para todas tus cuentas o, simplemente, deja de acordarte de tus contraseñas… Usa nomorepass. Es gratis, pero si, además, quieres tener una seguridad extra puedes suscribirte, si dejas un comentario en esta entrada te enviaré un código para que puedas disfrutar de todas las funcionalidades premium durante un mes… ¿Qué esperas?