Internet ha devorado muchas facetas de nuestras vidas, provocando que los usuarios estén ya registrados, a veces casi sin darse cuenta, en decenas de servicios que en la mayoría de los casos funcionan mediante una interfaz web. Esto tiene una consecuencia: la tendencia de gestionar una gran cantidad de contraseñas.
Si el usuario las gestiona con el cerebro, posiblemente se encuentre repitiendo algunas en varios sitios web. Esta es una situación realmente peligrosa, ya que la obtención de una contraseña podría servir a un actor malicioso para acceder a varios sitios y provocar un daño mayor.
Cuando el usuario está registrado en muchos sitios web y servicios lo aconsejable es que delegue la gestión a un gestor de contraseñas, un tipo de aplicación que por lo general facilita el almacenamiento seguro de las contraseñas y la generación segura de estas. En muchos casos ofrecen sincronización en la nube, ya que actualmente la mayoría de los usuarios utilizan varios dispositivos que van alternando según los contextos en los que se encuentran.
¿Qué es un gestor de contraseñas?
Es una aplicación dedicada almacenar contraseñas en una base de datos cifrada, la cual está protegida por una contraseña maestra. Su principal ventaja es que ahorra tiempo en la gestión y mejora el nivel de la seguridad.
Los gestores suelen generar contraseñas fuertes, con una longitud suficiente y combinando letras, números y caracteres extraños para crear palabras sin sentido y así aumentar su fortaleza. Esto permite esquivar los ataques de fuerza de bruta y el uso de patrones predecibles.
Aunque no en todos los casos, la mayoría de los gestores modernos suelen incluir sincronización en la nube para así tener disponibles las contraseñas desde varios dispositivos.
¿Qué características debe tener un buen gestor de contraseñas?
- Acceso online y offline: No todos los gestores soportan sincronización en la nube, aunque posiblemente esa sea una característica que haga desconfiar a los más recelosos con su privacidad, sin embargo, es extraño ver un servicio que la utilice sin cifrado. Por su parte, los gestores offline gestionan las contraseñas localmente en el disco o en un dispositivo USB.
- Autenticación en dos pasos: La autenticación en dos pasos es muy importante en la actualidad y sería muy recomendable activarla al menos para las principales cuentas que utiliza el usuario, entre ellas, como no, la perteneciente al gestor de contraseñas.
- Integración con los navegadores: Ayuda a minimizar la interacción con las contraseñas y automatizar el proceso de acceso.
- Captura automática de la contraseña: Esta característica está relacionada con la anterior y hace referencia a que el gestor detecta cuando una nueva contraseña es introducida para preguntarle al usuario si quiere guardarla. Algunos gestores también son capaces de detectar las que son actualizadas.
- Alertas automáticas de seguridad: Algunos gestores avisan al usuario cuando uno de los servicios que utiliza o uno de los sitios web en los que está registrado ha recibido un ataque que ha podido comprometer las contraseñas.
- Que sea portable y con soporte para móviles: Lo ideal sería que el gestor fuese portable, pudiéndose llevar en un pendrive y sin requerir instalación. Que soporte plataformas móviles es otra característica recomendable para gestionar las contraseñas desde cualquier lugar.
- Auditoría de seguridad: Algunos gestores permiten realizar auditorías de seguridad sobre la propia base de datos de contraseñas, detectando las que sean débiles o repetidas, entre otros problemas.
- Contraseñas de un solo uso: Un sistema de usar y tirar permite designar contraseñas para que sean de un solo uso. Esto abre la puerta incluso a usar el gestor sobre un sistema comprometido debido a que la contraseña para acceder solo puede usarse una vez.
- Compartir contraseñas: Algunos gestores permiten compartirlas de forma segura. Esta función puede servir con un amigo o bien en entornos laborales.
Gestores de contraseñas populares
En este apartado vamos a mencionar algunos de los gestores de contraseñas más populares del mercado, abarcando distintas alternativas tanto privativas como Open Source para que el usuario pueda elegir la que más le convenga.
LastPass
LastPass es posiblemente la solución más conocida dentro de su segmento. Es un servicio bien presentado, con una interfaz sencilla, sincronización en la nube, auditoría de seguridad y es totalmente multiplataforma, funcionando sobre Windows, macOS, Linux, Android e iOS.
Pone a disposición una aplicación que se puede instalar, pero la base de su éxito está sobre todo en su complemento para navegadores web, que soporta Internet Explorer, Microsoft Edge, Mozilla Firefox, Google Chrome y Opera, permitiendo utilizar una misma “cartera” de contraseñas entre distintos navegadores y distintos dispositivos. Puede ser usado de forma gratuita, aunque tiene distintos paquetes de pago para obtener características adicionales.
A pesar de que su utilización es bastante sencilla e intuitiva, su complemento para navegadores resulta un tanto pesado, algo que se acusa sobre todo cuando se utiliza Mozilla Firefox. Además de almacenar contraseñas y poder sincronizarlas mediante la nube, también es capaz de generar contraseñas fuertes que no se repitan.
KeePass
KeePass es el gestor de contraseñas Open Source por excelencia, ya que está certificada por al Open Source Initiative y su código está publicado bajo la licencia GPLv2. Debido a esto, existen muchas reimplementaciones disponibles para todos los sistemas operativos y hasta una extensión llamada CKP. Es conocido sobre todo entre los usuarios de Linux.
KeePass no ofrece sincronización en la nube, siendo así un producto idóneo para los más recelosos de su privacidad. También es a niveles generales una solución muy conocida, aunque posiblemente su interfaz no resulte tan atractiva ni intuitiva como la de LastPass, requiriendo de software adicional para poder integrarlo en los distintos navegadores.
Como en cualquier software, más cuando maneja datos sensibles, lo recomendable es que en la instalación se habiliten las actualizaciones automáticas. Para poder integrarlo en los distintos navegadores requiere de instalar extensiones.
KeePass permite guardar contraseñas desde la propia aplicación, teniendo que indicar el usuario el sitio web y las credenciales de acceso. También puede generar contraseñas aleatorias que posteriormente son guardadas mediante unas extensiones para navegadores web que ofrecen la posibilidad de rellenar los campos de contraseñas cuando el usuario visita un sitio web en el que está registrado.
Dashlane
Dashlane es un gestor de contraseñas que maneja un concepto similar al de LastPass. Resulta sencillo de utilizar y ofrece sincronización en la nube, aunque sus planes de pago son más caros que los de su competidor. Anteriormente era una aplicación que solo soportaba los sistemas operativos mayoritarios (Windows, macOS, iOS y Android), pero recientemente ha añadido a Linux y Chrome OS a modo de extensiones para Chrome y Firefox.
Su principal ventaja es que ofrece acceso a la cartera de contraseñas tanto en modo online como offline.
Bitwarden
Bitwarden es, como bien dijeron en su momento nuestros compañeros de MuyLinux, una alternativa Open Source y gratuita a LastPass con extensiones para Firefox, Chrome, Opera y Edge, además de aplicaciones para iOS y Android.
Bitwarden cifra la base de datos con AES-256 con hash salteado y PBKDF2 SHA-256, apoyándose en Microsoft Azure como infraestructura de servidor. Una de sus características es la puesta a disposición de una página de ayuda para importar contraseñas de otros gestores, como el mencionado LastPass y 1Password. El hecho de ser Open Source le da un plus de transparencia y confiabilidad en aspectos como la privacidad y la seguridad.
Encrypt
Encrypt es el gestor de contraseñas de SpiderOak y consiste en una aplicación que se instala a nivel del sistema operativo, soportando Windows, Mac, Linux, Android e iOS. Al igual que Bitwarden, es Open Source y presume de ser fácil de usar.
Una característica muy interesante de Encrypt es que no requiere de una cuenta de correo electrónico para crear las carteras, sino que basta con establecer un nombre de usuario y una contraseña. Según la descripción del propio servicio, “genera y almacena contraseñas seguras. Todo es accesible solo para usted en nuestra nube Sin Conocimiento, ya sea desde el móvil o el escritorio”. Otro aspecto importante a recalcar es su gratuidad.
Conclusiones
Como ya dijimos al comienzo, el hecho de que Internet haya devorado una parte muy importante de nuestras vidas hace que los usuarios manejemos una gran cantidad de contraseñas, y eso ha abierto un nicho de mercado con soluciones desde todas las perspectivas posibles.
Tras dejar claro qué es un gestor de contraseñas y para qué sirve, ahora queda en manos del usuario elegir cuál es el que mejor se ajusta a sus necesidades y su forma de utilizar los distintos dispositivos que posea.
Fuente:https://www.muyseguridad.net/2018/02/07/guia-gestor-de-contrasenas/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad