Desde hace varias semanas ya no recomiendo aplicaciones para Twitter, especialmente online, que pidan el usuario y clave de Twiter y hagan lo que digan que vaya a hacer. Simplemente es que no me fío lo que hagan con la contraseña. Pero esto afecta a muchas otras aplicaciones que seguro son muy interesantes y que sin embargo habrá blogs como esTwitter que no les hagan promoción, no por su culpa, sino porque no nos fiamos ya en conjunto y no queremos facilitar nuestra clave de Twitter. No en vano, ya las cuentas de Twitter tienen bastante importancia personal y para algunos incluso profesional.
Yo haría una petición conjunta a Twitter para que de alguna manera incluyan el ‘login’ en la API o de otra manera, es decir, que facilitemos usuario y contraseña exclusivamente a Twitter, y que sea éste el que facilite o no la información en función de si el logueo es correcto. ¿Qué os parece?
Creo que el reparto de contraseñas en aplicaciones de terceros que acceden a las originarias es un problema, en Twitter y en muchos otros servicios. Pero en el caso de Twitter es mucho más grave porque aquí dices cosas y en el caso de un robo de identidad, lo que se diga se pueden volver en contra del propietario de la cuenta.
Con sistemas como OpenID todo estaría resuelto ya que la contraseña nunca está del lado del propietario del servicio, sino de un servidor seguro que recibe la contraseña y le dice a la web a la que quieres acceder si estás o no autorizado para entrar. Este sistema es mucho más seguro que el que propones en el que la contraseña está siempre verificada por las API del servicio.
Por otro lado, ¿qué me garantiza que las contraseñas en Twitter están más seguras que en iTweet, lugar desde el que yo accedo a Twitter? O incluso ¿Por qué debo pensar que el Firefox de la oficina es más seguro que el propio Twitter? Y allí están muchas contraseñas de muchos servicios.
Este tema no es un sí o un no rotundos. Habrá servicios de acceso a Twitter gestionados por empresas seguras y los habrá que estarán gestionados por “piratas asociados S.A.” Escoger uno u otro, creo que radica en la transparencia de sus políticas de privacidad.
Siempre deberíamos fiarnos más de la empresa que gestiona el servicio. Yo me fío más de Twitter que de ITweet, por ejemplo, aunque sólo sea por el hecho que al estar en iTweet ya pasan por ellos para acabar logueándose en Twitter (pasa la contraseña por dos sitios).
Respecto a las contraseñas en el navegador, hay por ahí una herramienta que dicen hackea las contraseñas del Firefox.
Debería tener una mejor protección y una clave colectiva antes de poder usarlas.
Desde luego que con Openid todo sería mucho más seguro, pero hoy por hoy podemos dar contraseñas de poco valor en sitios de poco valor, y en los sitios donde sí nos importa darla utilizar contraseñas distintas a otros sitios importantes.
Ya hay robos de cuentas de Hotmail, o usos indebidos como spam y demás por las herramientas falsas de “quién no te admite” y similares, no te extrañe que salga dentro de poco una historia de una web con buena pinta pero que luego ha robado usuarios de Twitter.