Hoy estaba navegando un poco en la interweb y me topé con una plataforma que me agradó bastante porque podía sacarle provecho a algunos de sus recursos, pensé, bueno vamos a registrarme pero vino un dilema… el registro.
Hace años la cuestión era: Cuando te registres, en cada web, usa una contraseña, diferente… y no la guardes en lugares inseguros… ¿qué es inseguro?, ¿un post-it como el de la contraseña de la agencia de emergencias en Hawaii?
¿O por qué no, en un bloc de notas en la computadora no?… pero de aquí empezaron a surgir los actualmente famosos y no tan seguros gestores de contraseñas (incluso yo hice uno hace muchos ayeres llamado “aPass” (a password, una contraseña) para el extinto Firefox OS, porque “hueva mil tener contraseñas por todos lados” pero empezaron a integrarlos al navegador que hoy en día Edge, Chrome, Firefox, Brave y demás tienen gestores de contraseñas internos…
Así, nos evitamos anotar contraseñas y se la dejamos al navegador para que nos autocomplete los formularios de acceso, pero, a veces igual sentimos que es demasiada información así que por otro lado empezaron a nacer los SSO, ¿qué diablos son los SSO?
Bueno el acrónimo es: Single Sign On, en palabras sencillas, es una forma de que inicies sesión en un lugar y “en automático” te inicie sesión en otras plataformas, por ejemplo, iniciamos sesión en GMail y en automático nos inicia sesión en YouTube, en Google Drive, en X, Y y Z… pero, esto hace que Google sea un “Proveedor de Identidad”, que no solo te permita iniciar sesión en sus servicios si no en otros, como Airbnb, en juegos y en una infinidad de lugares a los que tú les des acceso.
Pero aquí viene el problema super-mega-catastrófico de ésta cochinada de tecnología, ¡el baneo!. ¿Qué diablos pasaría si tu le das permiso a todos lados para usar el SSO de Facebook y así fácilmente acceder y luego Facebook con su “modo progre-mamador” te mete un baneo porque dijiste “¿En cuánto la tinta hp negra?” o “¿A cuánto la tortilla?” (casos básicamente reales porque sí, tortilla y hp negra/o están bloqueados en FB y te pueden banear)
Entonces vas a perder acceso a cientos de sitios por eso… ¿qué pasa si te hackean una cuenta y entonces, pierdes acceso a todo?. Eso va a ser un problema… pero eso no termina ahí, los proveedores de las “big tech” (grandes tecnológicas pa’ los que no hablen ingl🤮s) creen que ellos son “los mejores, más seguros e importantes” así que lanzan sus SSO y te obligan a usarlos (sí, en iOS los formularios ahora te piden que lleve acceso con Apple), entonces terminas con un registro de este tipo:
Entonces, ¿cuál eliges?, pues “el que más utilizo” ¿No?… pero entonces dices “bueno a ver es una página de programación voy a usar Github”, pero luego resulta que se te olvidó que usaste Github le picas Facebook y te dice que ya hay una cuenta registrada con ese correo, vas le picas GMail y nada, le picas con Github y ahora sí…
Este tipo de “soluciones” termina causando más problemas así que termina uno regresándose a “la vieja escuela” usando correo + contraseña… si me banean, que al menos pueda iniciar sesi… espera, eso no termina ahí.
Ahora viene el maldito “autenticación de dos factores”, ¡sí, ese maldito servicio de seguridad extra que te obliga a sacar el celular o abrir el correo para iniciar sesión!. Carajo, ¿por qué los hackers tenían que ser tan buenos y nosotros tan malos escogiendo contraseñas como usuarios y peores como programadores que aún usamos md5($password)?
En fin, esto también le mete otra capa de problemas a los registros y accesos, porque si te roban el celular, pierdes el acceso a tu “GAuthenticator” y adiós a todo… o peor, porque como soy “Microsoft” también quiero uno, así que ahora hay otro authenticator, que está avalado en algunos otros servicios así que, para iniciar sesión en Microsoft, ocupas, un código que te mandé a otro correo para entrar a ese otro correo ocupas el autenticación de dos factores pero para acceder ahí ocupas el correo de GMail que también te pide autenticación de dos factores y de retache hasta el correo de Microsoft que ahora otra vez te pide código.
¡¿QUÉ CARAJOS?!…¿En qué momento se sobre-complicó todo?, creo que el desarrollo de software debería simplificarse, sí, debemos buscar seguridad, pero, a LastPass lo han hackeado, los SMS no son para nada seguros (experiencia profesional de haber trabajado ahí, así que no los usen), nos roban el celular y de qué sirvió la seguridad (casos bancarios donde igual les roban el dinero), etc, etc, etc…
Así que después de todo esto, creo que deberíamos empezar a usar solo registros sencillos, usuario, contraseña y listo, ya si nos obliga una app a meterle su cochinada, le pedimos que igual, agreguen un usuario y que después, en el acceso puedan usarlo y dejar “por ahí en el rincón” esos SSO, hay que simplificarle la vida al usuario, “te mandé un correo donde te dejamos saber que alguien inició sesión en tu cuenta” y le validamos que la contraseña sea segura, le recomendamos una o algo y ya, que algún gestor de contraseñas sencillo nos administre, igual, si nos hackean esa contraseña, ¿qué más da no lo creen?.
En fin, espero que si estás leyendo esto y eres programador, no sobre-compliques tus formularios de registro e inicio de sesión…
