Accessos segurs amb els gestors de contrasenyes

Reps un missatge amb un enllaç a un lloc que ja ni te'n recordaves que existia; entres i et demanen posar el teu nom d'usuari i contrasenya ... En el millor dels casos, recordes el teu usuari i poses la contrasenya que fas servir per a tot: una combinació de lletres, números i signes que fan de la teva accés alguna cosa segur (o això creus tu); en el pitjor, no saps ni quin usuari tens i molt menys la contrasenya.

Aquest panorama li ha viscut gairebé a qualsevol alguna vegada a la vida, si no és que segueix sent un episodi freqüent en el dia a dia. Sabem que és molt important tenir una contrasenya segura, però alguna cosa així és molt difícil de recordar, per això «el més pràctic» és tenir alguna cosa fàcil que no sigui tan obvi, el problema és que, malauradament, fer el «menys obvi» sol ser el mateix que molts van pensar i acabes amb una contrasenya summament insegura (i òbvia, a més). Per contra, aconseguir crear una contrasenya segura, difícil d'endevinar per als altres però fàcil per a tu, sol ser un esdeveniment únic, de manera que aquesta mateixa contrasenya la repeteixes en totes les teves credencials, el que tampoc és tan bona idea.

Com coincideixen la majoria dels que es preocupen per la seguretat, el millor que pots fer és utilitzar gestors de contrasenyes. En general hi ha de dos tipus: els que emmagatzemen la teva base de dades en els seus servidors de manera xifrada (en el millor dels casos) i els que creen una base de dades local xifrada (encara que hi ha serveis que es mouen entre les dues categories a gust de l'usuari).

Gestors de contrasenyes sincronitzats

En aquesta categoria entren la majoria dels gestors comercials: 1password, LastPass, Dashlane, I altres més que cobren una quota mensual o anual per gestionar la teva volta de contrasenyes. Com el seu objectiu és arribar a la majoria de persones (ia la majoria de les butxaques), la seva filosofia és ser el més pràctic possible, de manera que el més fàcil és tenir aplicacions per escriptori i mòbils i sincronitzar les contrasenyes a través dels seus propis servidors. En general són aplicacions de codi tancat que no són auditables per comprovar la seva seguretat; també la seva fi és generar una base d'usuaris de pagament als quals cobrar-los per fer-los la vida més fàcil i que de passada donin per continuar amb el negoci (encara que clar, hi ha excepcions com BitWarden, Que és de codi obert i gratuïta).

Gestors de contrasenyes sense sincronització

Aquests gestors no sincronitzen a Internet sobretot pensant en la seguretat. El seu argument és que l'única manera d'estar fora de perill dels hackers és mantenint les coses fora de línia i, com la base de dades de contrasenyes és literalment la clau mestra dels nostres serveis digitals, el millor és que l'usuari es faci càrrec de la seguretat de la seva pròpia base de dades. Té el desavantatge que requereix voluntat i una mica de coneixements per part de l'usuari, de manera que no és la primera opció de el gruix de la població. El millor exemple d'aquesta categoria és KeePass, Programari lliure, multiplataforma i gratuït.

Gestors de contrasenyes híbrids

Són gestors que li donen l'opció a l'usuari de tenir base de dades local sincronitzar en els seus servidors, en Dropbox, Google Drive o un altre servei comercial o fins i tot en servidors privats que el mateix usuari pugui administrar (NextCloud o Owncloud). Un bon exemple és Passar, Que encara que el codi de la seva aplicació és privat, només cobra pel client de cel lular, el que ho fa una opció econòmica i flexible que s'ajusta als desitjos de qui el faci servir.

Pensant en la seguretat, la millor opció és tenir una base de dades local o tenir-la en un servidor propi, d'aquesta manera s'eviten filtracions massives com quan el lloc de LastPass va ser vulnerat. El problema evident és que no qualsevol té un servidor privat i tampoc vol tenir la seva base de dades en serveis comercials vigilats per governs o corporacions, llavors, quines altres opcions hi ha?

Less pass, un gestor de contrasenyes diferent

less pass, Més que un gestor és una idea, la idea que només hi ha una manera de tenir seguretat total en una base de dades de contrasenyes: no tenir una base de dades. Com és possible tenir contrasenyes sense una base de dades on emmagatzemar-les? less Pass gèneres contrasenyes segures en viu a partir de el lloc, nom d'usuari i una contrasenya mestra. Amb aquests tres elements (coneguts només per tu), les contrasenyes generades són sempre iguals, el que evita crear bases de dades que puguin ser després vulnerades per algun hackers curiós o per algun atac massiu a un servei concret.

El seu codi és públic i també és multiplaforma; fins i tot té una versió per a utilitzar des la línia d'ordres. El desavantatge és que necessites recordar i tenir clar sempre aquests tres elements o la contrasenya no coincidirà, el que pot ser frustrant i fer les coses més complicades en comptes de simples. Independentment d'això, aquesta opció implica una petita revolució en la gestió de contrasenyes, de manera que definitivament és una idea a tenir en compte.


El contingut d'l'article s'adhereix als nostres principis de ètica editorial. Per notificar un error punxa aquí.

4 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà.

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   modem va dir

    El que és jo, tot i la filtració d'LastPass fa un parell d'anys va continuar usant-ho per la gran quantitat de contrasenyes que utilitzo i són diverses, crec que només ara mantinc 3 contrasenyes només al meu cap.

  2.   Martin va dir

    KeePass hauria entrar dins de la categoria hibrida (encara que jo ho sincronitzo manualment via KDE connect). Recomano aquesta configuració per aprobecharlo a l'maxico

    Linux:
    - KeePass v2.30 configurat amb el plug in
    - KeePassHttp i el AddOn
    - Passlfox (per firefox)
    Resultat, es autocompleta l'usuari i contrasenya a la web (no confondre amb KeePassX)

    Android:
    -KeePass2Android

    1.    Babel va dir

      Sí, alguns es poden moure entre categories. KeePass és una opció freqüent precisament per la seva flexibilitat i perquè és de codi lliure; la recepta que ens comparteixes és molt bona per no tornar-se boig i estar segur. Gràcies.

  3.   Franco va dir

    A mi m'agrada KeePass sobretot perquè no se sincronitza en línia, aquest desavantatge es pot convertir en avantatge.

bool (true)