Accesos seguros con los gestores de contraseñas

4
1718

Recibes un mensaje con un enlace a un sitio que ya ni te acordabas que existía; entras y te piden poner tu nombre de usuario y contraseña… En el mejor de los casos, recuerdas tu usuario y pones la contraseña que usas para todo: una combinación de letras, números y signos que hacen de tu acceso algo seguro (o eso crees tú); en el peor, no sabes ni qué usuario tienes y mucho menos la contraseña.

Este panorama le ha vivido casi a cualquiera alguna vez en la vida, si no es que sigue siendo un episodio frecuente en el día a día. Sabemos que es muy importante tener una contraseña segura, pero algo así es muy difícil de recordar, por eso «lo más práctico» es tener algo fácil que no sea tan obvio, el problema es que, desafortunadamente, hacer lo «menos obvio» suele ser lo mismo que muchos pensaron y acabas con una contraseña sumamente insegura (y obvia, además). Por el contrario, lograr crear una contraseña segura, difícil de adivinar para los demás pero fácil para ti, suele ser un evento único, por lo que esa misma contraseña la repites en todas tus credenciales, lo que tampoco es tan buena idea.


Como coinciden la mayoría de los que se preocupan por la seguridad, lo mejor que puedes hacer es usar gestores de contraseñas. En general existen de dos tipos: los que almacenan tu base de datos en sus servidores de manera cifrada (en el mejor de los casos) y los que crean una base de datos local cifrada (aunque hay servicios que se mueven entre las dos categorías a gusto del usuario).

Gestores de contraseñas sincronizados

En esta categoría entran la mayoría de los gestores comerciales: 1password, LastPass, Dashlane, y otros más que cobran una cuota mensual o anual por gestionar tu bóveda de contraseñas. Como su objetivo es llegar a la mayoría de personas (y a la mayoría de los bolsillos), su filosofía es ser lo más práctico posible, por lo que lo más fácil es tener aplicaciones para escritorio y móviles y sincronizar las contraseñas a través de sus propios servidores. En general son aplicaciones de código cerrado que no son auditables para comprobar su seguridad; también su fin es generar una base de usuarios de pago a los cuales cobrarles por hacerles la vida más fácil y que de paso den para continuar con el negocio (aunque claro, hay excepciones como BitWarden, que es de código abierto y gratuita).

Gestores de contraseñas sin sincronización

Estos gestores no sincronizan en Internet sobre todo pensando en la seguridad. Su argumento es que la única manera de estar a salvo de los hackers es manteniendo las cosas offline y, como la base de datos de contraseñas es literalmente la llave maestra de nuestros servicios digitales, lo mejor es que el usuario se haga cargo de la seguridad de su propia base de datos. Tiene la desventaja de que requiere voluntad y algo de conocimientos por parte del usuario, por lo que no es la primera opción del grueso de la población. El mejor ejemplo de esta categoría es KeePass, software libre, multiplataforma y gratuito.

Gestores de contraseñas híbridos

Son gestores que le dan la opción al usuario de tener base de datos local sincronizar en sus servidores, en Dropbox, Google Drive u otro servicio comercial o incluso en servidores privados que el mismo usuario pueda administrar (NextCloud u Owncloud). Un buen ejemplo es Enpass, que aunque el código de su aplicación es privado, solamente cobra por el cliente de celular, lo que lo hace una opción económica y flexible que se ajusta a los deseos de quien lo use.

Pensando en la seguridad, la mejor opción es tener una base de datos local o tenerla en un servidor propio, de esa manera se evitan filtraciones masivas como cuando el sitio de LastPass fue vulnerado. El problema evidente es que no cualquiera tiene un servidor privado y tampoco quiere tener su base de datos en servicios comerciales vigilados por gobiernos o corporaciones, entonces, ¿qué otras opciones hay?

Less pass, un gestor de contraseñas diferente

Less pass, más que un gestor es una idea, la idea de que sólo hay una forma de tener seguridad total en una base de datos de contraseñas: no tener una base de datos. ¿Cómo es posible tener contraseñas sin una base de datos en donde almacenarlas? Less Pass genera contraseñas seguras en vivo a partir del sitio, nombre de usuario y una contraseña maestra. Con estos tres elementos (conocidos sólo por ti), las contraseñas generadas son siempre iguales, lo que evita crear bases de datos que puedan ser luego vulneradas por algún hacker curioso o por algún ataque masivo a un servicio concreto.

Su código es público y también es multiplaforma; incluso tiene una versión para utilizar desde la línea de comando. La desventaja es que necesitas recordar y tener claro siempre esos tres elementos o la contraseña no coincidirá, lo que puede ser frustrante y hacer las cosas más complicadas en vez de simples. Independientemente de eso, esta opción implica una pequeña revolución en la gestión de contraseñas, por lo que definitivamente es una idea a tener en cuenta.

4 COMENTARIOS

  1. Lo que es yo, pese a la filtración de LastPass hace un par de años continuó usándolo por la gran cantidad de contraseñas que utilizo y son varias, creo que solo ahora mantengo 3 contraseñas solo en mi cabeza.

  2. KeePass deberia entrar dentro de la categoria hibrida (aunque yo lo sincronizo manualmente via KDE connect). Recomiendo esta configuracion para aprobecharlo al maxico

    Linux:
    – KeePass v2.30 configurado con el plug in
    – KeePassHttp y el AddOn
    – Passlfox (para firefox)
    Resultado, se autocompleta el usuario y contraseña en la web (no confundir con KeePassX)

    Android:
    -KeePass2Android

    • Sí, algunos se pueden mover entre categorías. KeePass es una opción popular precisamente por su flexibilidad y porque es de código libre; la receta que nos compartes es muy buena para no volverse loco y estar seguro. Gracias.

Dejar una respuesta