El problema de les contrasenyes

Tenim desenes de comptes en línia. Si fas servir la mateixa contrasenya a tot (o variacions com Contrasenya1, Contrasenya2...), estàs exposant tots els teus comptes quan un d'ells tingui una filtració.

El 2023 es van filtrar més de 8.000 milions de credencials. Hi ha moltes probabilitats que alguna de les teves estigui en aquestes llistes. Pots comprovar-ho a haveibeenpwned.com.

La solució: un gestor de contrasenyes

Un gestor de contrasenyes emmagatzema totes les teves credencials xifrades i protegides per una única contrasenya mestra. Tu només has de recordar aquesta.

Els avantatges són clars:

  • Genera contrasenyes úniques i aleatòries per a cada lloc
  • Les recorda per tu (no cal memoritzar-les)
  • Avisa si alguna contrasenya està en filtracions conegudes
  • Autocompletar al web i apps
  • Disponible a tots els teus dispositius

I si hackegen el gestor?

És la pregunta més freqüent. La resposta és que els gestors seriosos fan servir xifratge zero-knowledge: les teves contrasenyes es xifren al teu dispositiu abans d'enviar-se al servidor. El proveïdor mai veu les teves dades en text pla.

Fins i tot a la bretxa de LastPass del 2022, els atacants van obtenir voltes xifrades inútils sense la contrasenya mestra. El risc real és que facis servir una contrasenya mestra feble o que no tinguis MFA activat.

Opcions que recomano

Bitwarden (el meu favorit)

Codi obert, auditable, gratuït per a ús personal. La versió premium costa 10$/any i inclou informes de salut de contrasenyes i autenticador 2FA integrat. Fins i tot pots auto-hostejar el servidor si vols control total.

1Password

De pagament (~36$/any personal), però excel·lent experiència d'ús. Molt popular en entorns professionals i empresarials. Té el mode "Travel mode" per protegir dades en creuar fronteres.

KeePassXC (local, sense núvol)

Si no vols que les teves contrasenyes surtin de la teva màquina, KeePassXC guarda tot en un fitxer local que tu controles. La sincronització entre dispositius la gestiones tu (Syncthing, Nextcloud, etc.). Més complex però màxim control.

Contrasenya mestra: com triar-la bé

Aquesta és l'única que has de recordar i és crítica. La meva recomanació:

  • Fes servir una frase de pas en lloc d'una contrasenya: 4-5 paraules aleatòries juntes són més segures i més fàcils de recordar que P@ssw0rd#2024
  • Exemple: llampada-teclat-platja-núvol-cadira — fàcil de recordar, molt difícil d'atacar per força bruta
  • Mai la facis servir en cap altre lloc
  • Activa MFA al compte del gestor

MFA: la segona capa imprescindible

Multi-Factor Authentication afegeix un segon pas al login. Encara que algú robi la teva contrasenya, no pot accedir sense el segon factor. Opcions:

  • App autenticadora (Aegis, Authy, Google Authenticator): genera codis de 6 dígits que canvien cada 30 segons. És el que recomano
  • Clau de maquinari (YubiKey): màxima seguretat, no interceptable remotament
  • SMS: evita-ho si pots. És vulnerable a SIM swapping

Per on começar

  1. Descarrega Bitwarden (gratuït) al teu navegador i mòbil
  2. Crea compte amb una contrasenya mestra forta
  3. Activa 2FA al compte de Bitwarden
  4. Importa contrasenyes des del navegador o comença a afegir-les poc a poc
  5. Cada vegada que accedeixis a un lloc nou, deixa que Bitwarden generi i guardi la contrasenya

En un parell de setmanes hauràs migrat la majoria dels teus comptes importants sense esforç.