Bitácora de fernand0 Cambiando de aires

El correo como sistema de acceso sin contraseña

Google SMS

Hace tiempo que en algunos sitios a los que no damos mucha importancia, o que no usamos demasiado no nos aprendemos las contraseñas, ni tampoco las apuntamos, ni usamos ‘la de siempre’ (que es algo que no deberíamos hacer). De eso nos hablaban en The “email is authentication” pattern

1. Get to a login page 2. Click “I forgot my password” 3. Go to their email 4. Click the recovery link 5. Type a throwaway password they won’t retain 6. Rinse, and repeat

El autor se pregunta, ¿cómo es que la gente ha llegado a ese patrón de uso?

How do you decide that using “I forgot my password” as authentication makes sense to you? Or more specifically, the most sense to you, out of all possible options?

Y llega a la conclusión de que no es una decisión, sino una consecuencia de los usos y costumbres.

I think people can’t answer why they do this because it’s not a concious decision. [...] Instead, this is a process that has coalesced over time and become rote. It offers a guaranteed, repeatable, low-effort solution (of sorts) to passphrases they don’t need to think about (there’s those brackets again).

Desde mi punto de vista también es una línea de mínimo esfuerzo: intento conectarme con la que creo que puede ser la contraseña, no lo consigo (porque no era, o porque la tecleé mal) y me cuesta menos esfuerzo reinicilizarla.

Se pregunta si no deberíamos diseñar sistemas pensando en ello.

What if we could somehow design systems so that the people who use them evolve to use them in better ways?

Pero lo cierto es que ya es así: no será la primera vez que Discord, o Slack (y alguna otra) que nos mandan directamente un enlace, en lugar de preguntarnos la contraseña. Tiene todo el sentido (salvo cuando tenemos dificultades con el correo y no podemos recibirlo adecuadamente, que también pasa). De hecho, cuando nos enfrentamos a algún sistema más ‘creativo’ donde lo de recuperar contraseña no es tan sencillo, la operación se convierte en un auténtico problema. El otro día me pasaba en un sitio de estos que para mi tienen poco valor, pero que ellos creen que tienen que proteger como si fueran las joyas de la corona:

Cuidado porque, a veces, esas contraseñas son las más importantes (no la del ejemplo), pero son de poco uso y en momentos muy concretos, así que más vale que sea fácil acceder. También me pasa, a veces, con sistemas que añaden restricciones adicionales a las contraseñas (que ya sabemos que producen contraseñas menos seguras, Why Enforced Password Complexity Is Worse for Security (and What to Do About It), pero eso es otra batalla).