Publicado el 2024-06-14
Una moda que viene en creciente adopción en el mundo web es la de restringir el pegado de texto en los campos de contraseñas. De hecho es una moda que ya se mencionaba, y repudiaba, hace casi un década según el siguiente artículo en WIRED:
Websites, Please Stop Blocking Password Managers. It's 2015
Los bancos, expertos en adoptar tarde las malas prácticas, no han demorado (más de 10 años) en implementar el último grito de la moda. Dos de los bancos locales, de los que soy cliente, ya prohíben que pueda pegar mi contraseña de 30 caracteres con alta entropía desde mi gestor de contraseñas. No señor; ellos, en su infinita sabiduría, consideran que es mas seguro® que yo elija una contraseña que pueda recordar y escribir todas las veces o, en su defecto, que utilice sus cuestionables aplicaciones, descargables únicamente de las tiendas de Google o Apple.
Pero hasta aquí nada nuevo. Lo novedoso fue que al comunicarme con ambos bancos para expresar mi descontento con la situación, uno de ellos decidió revertir su actualización.
El primer banco me respondió algo reducible a "Dale, gracias", y supongo que procedió a redirigir mi mensaje a /dev/null. El segundo respondió lo siguiente:
esta actualización protege de mejor manera la seguridad de los clientes, su información y sus cuentas, debido a qué quién no sepa realmente la contraseña no podrá ingresar al sitio "pegando" la misma
Ya que al menos se tomaron la molestia de escribir una respuesta completa, por incoherente que sea, decidí volver a insistir; esta vez con enlaces a varias publicaciones desaconsejando la medida y explicando por qué:
https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html#password-managers
https://www.ncsc.gov.uk/blog-post/let-them-paste-passwords
https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html#password-managers
https://www.w3.org/WAI/WCAG22/Understanding/accessible-authentication-enhanced
Su última repuesta fue que elevarían el reclamo y me avisarían en 30 días si se tomaba alguna medida. El aviso nunca llegó y asumí hasta ahí llegaba la historia. Vaya sorpresa, sin embargo, cuando al acceder al sitio web móvil un par de meses más tarde descubro que puedo volver a pegar mis credenciales. Nunca me avisaron del cambio ni admitieron que lo hayan hecho por mi sugerencia, pero esta victoria me la voy a anotar.
Me pregunto qué proceso de decisión lleva a implementar una funcionalidad así en un banco, ¡un banco de entre todas las empresas!, para que luego se revierta en base a una colección de enlaces que recopilé en 5 minutos. No quiero ser desagradecido cuando por fin escuchan a sus clientes y actúan en consecuencia, pero toda la situación sigue dejando mucho que desear.
Próximo paso: convencerlos de soportar 2FA con aplicaciones de terceros...