No queremos tu contraseña

Desde que lanzamos 404 Media, una de las aplicaciones de funciones más comunes que hemos recibido de los lectores es la posibilidad de iniciar sesión en el sitio con un nombre de usuario y contraseña, a diferencia de los enlaces mágicos utilizados por Ghost, la plataforma de publicación de código abierto que utilizamos para nuestro sitio y boletines.

Si no tiene una cuenta de 404 Media, así es como funcionan los enlaces mágicos: en lugar de ingresar un nombre de usuario y contraseña para registrarse en nuestro sitio e iniciar sesión, nos brinda su correo electrónico. Luego le enviamos un correo electrónico con un enlace en el que hace clic y que le permite iniciar sesión en el sitio. Ese correo electrónico también viene con una URL que puede copiar y pegar en la barra de direcciones de su navegador de elección por razones que veremos en un minuto. Eso es todo. Mientras permanezcas conectado, nunca tendrás que volver a pensar en esto, y si cierras la sesión o quieres iniciar sesión en un dispositivo diferente, simplemente repite el mismo proceso.

Consideramos que este es un proceso de inicio de sesión mucho más sencillo y deseamos que sea más común en la web cuando corresponda. Pero hay una razón mucho más importante por la que hemos adoptado el método de inicio de sesión de Ghost y no tenemos prisa por desarrollar nuestra propia solución para un inicio de sesión con nombre de usuario y contraseña de la misma manera que invertimos tiempo y dinero en el desarrollo. Feeds RSS privados de texto completo para suscriptores de pago, por ejemplo. La esencia es que es más segura para nosotros y para usted no compartir ninguna contraseña con nosotros.

Es imposible decir cuál es la cifra exacta, pero una gran parte de las violaciones de ciberseguridad comienzan con credenciales certificadas. Hay algunas formas en que los piratas informáticos pueden comprometer sus contraseñas, muchos de los cuales Joseph ha cubierto recientemente en 404 Mediapero un método común es aprovechar el hecho de que la mayoría de las personas reutilizan sus contraseñas en Internet (un estudiar de 28,8 millones de usuarios encontraron que el 52 por ciento de ellos reutilizan contraseñas). Esta es la razón por la que es mucho más seguro para las personas utilizar administradores de contraseñas que generan contraseñas únicas y seguras para cada cuenta, y por qué ¿Me han engañado? es un recurso muy importante: al realizar un seguimiento de los sitios y servicios que han sido pirateados, actúa como un recordatorio constante para usar una contraseña diferente en cada servicio. De lo contrario, un pirata informático podría tomar su contraseña de ese foro aleatorio y luego usarla para ingresar a su cuenta de trabajo o cualquier otra cuenta que comparta esa contraseña.

Es una práctica estándar recomendada para los sitios que solicitan su contraseña hacer un hash, lo que significa que incluso si un sitio fue pirateado, los piratas informáticos no pueden huir con su contraseña. Sin embargo, ese no es siempre el caso, ya que algunas empresas almacenan contraseñas en texto sin formato y, dependiendo del algoritmo hash que haya utilizado el sitio, los piratas informáticos pueden descifrarlo.

¿Pero sabes cuál es la forma más segura para que mantengamos segura tu contraseña? Para empezar, no pedí uno. Al no crear una contraseña con nosotros, no corre ningún riesgo de que se filtre y nosotros no tenemos que asumir la responsabilidad de mantenerla segura. El enlace de inicio de sesión va a su correo electrónico, que presumiblemente está protegido con autenticación de dos factores, si lo tiene configurado (¡lo cual debería!).

«La razón principal (¡como usted sabe!) es la seguridad», nos dijo el director ejecutivo de Ghost, John O’Nolan, cuando se le preguntó sobre la elección de la empresa de utilizar enlaces mágicos. “Las contraseñas se piratean todo el tiempo, pero no se pueden piratear si no existen. Entonces, lo que normalmente agregaría es cómo esto permite que un equipo pequeño como 404 dedique menos tiempo a administrar la administración de seguridad y más tiempo a invertir en brindarle las historias que le interesan”.

Dicho esto, queremos reconocer que el sistema de enlace mágico no es perfecto porque ningún sistema lo es. También entendemos que a algunas personas no les gusta el sistema de enlace mágico o tienen circunstancias atenuantes en las que no les funciona y preferirían un sistema de contraseña. Estamos escribiendo este artículo en parte para explicar nuestra idea detrás del sistema de enlace mágico y para explicar por qué un sistema de contraseña no es factible para nosotros actualmente.

En un par de raras ocasiones, hemos escuchado a usuarios quejarse de que los enlaces enviados por correo electrónico tardan un poco en llegar. Esto casi nunca sucede y, cuando sucede, lo vemos resuelto en unas pocas horas. La mayoría de las veces, los usuarios se registran en nuestro sitio a través de un correo electrónico del trabajo con reglas agresivas de seguridad o filtrado de contenido que bloquean nuestros correos electrónicos. Si alguna vez cree que ese podría ser su caso, comuníquese con soporte@404media.copero también tenga en cuenta que siempre podrá cambiar el correo electrónico asociado a su cuenta por una dirección de correo electrónico personal. Queremos que el acceso a nuestros artículos sea lo más fácil posible para los suscriptores, por lo que configuramos canales RSS privados que no requieren iniciar sesión para leer nuestras historias.

Probablemente el problema más común con el que se topa la gente con los enlaces mágicos es que creen que han iniciado sesión en el sitio en su navegador normal, pero en realidad han iniciado sesión a través de un navegador integrado en la aplicación. Por ejemplo, alguien podría recibir el enlace de inicio de sesión en su correo electrónico. Abra la aplicación Gmail, haga clic en el botón «Iniciar sesión en 404 Media» y su teléfono cargue la página web. Pero esto está cargando el sitio web en Gmail navegador web, no su navegador nativo Safari. Luego, las personas navegan por el sitio como lo harían normalmente en su navegador predeterminado y se sorprenderán cuando no inicien sesión. Estos dos navegadores no comparten ninguna cookie ni inician sesión.

Es molesto cuando las aplicaciones abren cosas en sus propios navegadores en lugar del navegador nativo del teléfono. Este es un problema de diseño más fundamental con respecto a cuántas aplicaciones o sistemas operativos funcionan. Una solución en iPhone es, al recibir el enlace de inicio de sesión, hacer clic y mantener presionado el botón «Iniciar sesión en 404 Media» para que aparezca el lugar contextual y presionar «Abrir enlace». Esto abrirá el enlace y podrá iniciar sesión en su navegador nativo. O copie y pegue el enlace de inicio de sesión que también se encuentra en el correo electrónico. De todos los modos, le recomendamos que inicie sesión en 404 Media donde quiera leerlo.

Entendemos totalmente que se trata de una experiencia frustrante y, francamente, un defecto de la web móvil en general. Pero también reconocemos que para mucha más gente, no tener que recordar ni guardar una contraseña es la opción más fácil, preferida y segura que podemos ofrecer en este momento. Los beneficios del sistema de enlace mágico superan los costos, tanto para nosotros como pequeña empresa como para nuestros lectores preocupados por la privacidad.

En última instancia, es mucho más seguro para nosotros y para usted.