En la actualidad contamos con acceso a tantos servicios online que se vuelve un verdadero lío llevar un registro seguro y accesible de todas las credenciales. Además, todos estos sitios almacenan información cada vez más sensible, así como dan acceso a funciones que posiblemente sean fundamentales para nuestro día a día. Desde una red social que nos expone ante la sociedad o servicios más críticos como bancos, aplicaciones o tiendas online donde se encuentran vulnerables tarjetas y dinero.
Por todo esto, hoy es fundamental implementar para nuestra "vida en la red" un gestor de contraseñas que nos permita hacer las cosas más fáciles y nos garantice la mayor seguridad posible.
¿Qué es y qué hace un gestor de contraseñas?
De forma resumida, un gestor de contraseñas es un servicio que se encarga de almacenar y administrar todos los accesos a diferentes plataformas. Se suele brindar una aplicación para nuestro sistema o una extensión para los navegadores webs. Estas permiten automatizar ciertas tareas, de forma que el usuario no tenga que recordar nombres, correos y contraseñas diferentes, ni escribirlos o buscarlos manualmente. Por otro lado, busca garantizar el acceso seguro a esta información, bloqueando es acceso a cualquiera que no sea el dueño. La idea principal es que el usuario solo tenga que saber una única clave maestra para poder acceder a todas sus credenciales.
Está es la premisa que utiliza el gestor de contraseñas LastPass, almacenar todas las credenciales, recordar solo una y tener acceso desde cualquier lugar.Existe el pensamiento de que no hay nada mas seguro que contar con un registro escrito de credenciales. O que es mejor tener la información anotada en un papel fuera de cualquier equipo. Si bien estás practicas son mejores que no tomar ninguna medida, tiene sus limitaciones cuanto más información se tenga y más seguido se quiera leer o actualizarla. Los gestores de contraseñas, a diferencia con un simple archivo de texto o papel, cuentan con ciertas funciones generales que permiten automatizar tareas rutinarias, aportando facilidades para el usuario.
Autocompletado y autoguardado
La dificultad en la usabilidad de cualquier método "análogico", como una libreta o papel, es que la búsqueda y tipeo de las credenciales se debe hacer manualmente. Esto se vuelve muy tedioso a medida que se acumulen más y más credenciales. Ni hablar de lo complicado que puede ser escribir una contraseña segura, con caracteres raros y de una gran longitud. Lo mismo sucede al momento de actualizar una contraseña.
Aquí es donde brilla la automatización de los gestores, los cuales al detectar que uno se encuentra en un sitio registrado ofrecen la posibilidad de insertar sus correspondientes datos con unos simples clicks. Lo mismo cuando se realice un registro o una actualización de datos, estas aplicaciones suelen detectar estos eventos y realizar con pocos pasos el guardado o modificación de los datos.
La extensión del gestor de contraseñas está detectando que tiene credenciales para esa página y en el popup se muestra el ítem que si se le hace click completará el formulario de login.Seguridad y disponibilidad
Si una persona almacena datos de acceso en una hoja de papel o archivo de texto, corre riesgo de perder dicho archivo/papel. Otra limitación, es que si se requiere acceso a esa información requerimos tener siempre encima ese papel o tener acceso al equipo donde se encuentre el archivo. Además, en caso de una archivo de texto, en caso de caer en manos ajenas, la información queda completamente expuesta sin ninguna medida de seguridad adicional.
Un gestor de contraseñas suele contener la información encriptada, es decir codificada, de forma que solo puede ser legible al desbloquear el baúl con la contraseña maestra. Y este suele estar alojado en la nube, de forma que el acceso se puede realizar desde cualquier lugar con acceso a internet. De esta forma, el usuario solo tiene que saber una contraseña para acceder a toda su información. Y en caso en un poco probable caso de que esa información caiga en manos extrañas, este debe saber la clave maestra para poder acceder a esta información.
Siendo críticos, es más probable que alguien logre acceder a un equipo personal, donde la gente no suele ser muy prudente, antes que a un servidor de un proveedor especializado en el tema. Donde también se suelen tener medidas mucho mas estrictas para garantizar la seguridad e integridad de la información versus cualquiera de nosotros con nuestros equipos.
Generación de claves seguras
Otra de las características más importantes es la generación de contraseñas seguras. Cuando uno inventa una clave por su propia cuenta, suele generar credenciales poco seguras y no seguir estándares de seguridad. La mayoría de los gestores de contraseñas proveen una función para generar claves aleatorias, basándose en buenas practicas, permitiendo definir ciertos aspectos como largo o tipo de caracteres a incluir o excluir. Además, no se van a ofrecer combinaciones repetidas o ya existentes en el baúl.
Aquí se puede ver mi gestor de contraseñas ya detectó la página de registro y asoció el registro a la pagina de dropbox. En la segunda captura se muestra el generador de contraseña, en el cual se le definió largo de 18 caracteres y los tipos a incluir.Malas practicas
Más allá de que me hagas caso o no implementando un gestor de contraseña con tus datos, existen una serie de practicas inseguras que se deben evitar a toda costa. A continuación propongo repasar alguna de ellas, para que si no las conocías, se cambien los hábitos en internet.
Contraseñas inseguras
Esta es la obvia, contraseñas predecibles como "123456", "abc123", "qwerty" o "contraseña" están en el top de contraseñas más usadas y vulnerada, por lo cual son cosas que se tienen que evitar. Y más allá de estos ejemplos que son exagerados, se deben evitar utilizar palabras predecibles, como por ejemplo nombres, apodos, años, equipos, palabras en base a gustos, etc. Es importante que las claves generadas carezcan de sentido legible y que la combinación de caracteres no se limite solo a letras. Mezclar mayúsculas, minúsculas, números y si es posible símbolos especiales es la mejor practica que se puede realizar. Aquí es donde se vuelve muy productivo un gestor de contraseñas que cuente con la función de generar claves seguras.
Repetición de contraseñas
Otra de las practicas a evitar es utilizar las mismas claves para diferentes accesos. Un cyber-delincuente que logra obtener acceso a un servicio, lo primero que va a intentar es utilizar las credenciales en otros sitios populares. Por lo cual, no es muy descabellado pensar que si se vulnera la clave de instagram (por dar un ejemplo), se va a intentar usar las mismas credenciales en Google, otras redes sociales, etc. Una medida tan simple como utilizar contraseñas diferentes para cada login dificulta la total vulnerabilidad de nuestra información.
Recordar las credenciales en el navegador
Esta practica es muy común y muy cómoda, pero tiene una serie de problemas. El más simple es que si se borra la caché o no se encuentra sincronizado las credenciales se pierden. Lo cual es un peligro, sobre todo teniendo en cuenta las costumbres de consumo en la que nos encontramos por la cual cambiamos de dispositivos con bastante regularidad.
Por otro lado, una de las formas de "hackeos" que mas se encuentran de moda es el robo de cookies o sesiones del navegador. Existe una vulnerabilidad en los navegadores más populares, en el cual si se extrae el archivo con el almacenamiento local y se importa en otro equipo se tiene acceso a todas las credenciales y sesiones. Cabe destacar, que el almacenamiento de claven en un navegador, como por ejemplo chrome, se realiza en texto plano. Es decir, la información no tienen ninguna capa de protección.
En resumen, es mejor ingresar las claves manualmente cada vez que se accede a un servicio antes que recordarla. Por esto, los bancos no suelen exigir re-ingresar las credenciales cada vez que se quiere acceder. Estas acciones repetitivas de ingreso o login se ven minimizadas si se utiliza un gestor, ya que como se dijo más arriba, se realiza con unos pocos clicks.
Segundo factor o autenticación en dos pasos
Ya sea que se apliquen o no las buenas practicas de los puntos vistos anteriormente, siempre es recomendable tener un segundo factor de autenticación. De esta forma se pide una autorización extra y manual adicionalmente de las credenciales. Los expertos en el area de seguridad suelen recomendar evitar usar un segundo factor por sms o llamadas telefónicas, ya que suele ser un método bastante vulnerable y que últimamente fue la forma de varios "hackeos".
La mejor practica que recomiendo para este caso es implementar una aplicación de autenticación como Google Authenticator, Microsoft Authenticator u otros como Twilio Authy. En estos autenticadores, básicamente hay que asociar una sesión, de forma que cada vez que se realicé un login se pida un token temporal como segundo factor.
Links para descargar Google Authenticator en Android, Apple o Chrome Store.
Links para descargar Microsoft Authenticator en Android, Apple.
Links para descargar Twilio Authy en Android, Apple.
¿Qué gestor de contraseña usar?
Responder esta pregunta es un poco difícil, ya que depende un poco de los gustos de cada uno y por sobre todas las cosas de los usos particulares. Sin embargo, voy a recomendar los que son a mi parecer las mejores opciones para que cada uno pruebe y decida cual es el que mejor se le adapta. No está de más mencionar que hay otras opciones, por lo cual te invito a investigar otras alternativas si ninguna de las opciones mencionadas se adapta a los requerimientos.
1Password
Entre los gestores más conocidos se encuentra 1Password. Este servicio es una apuesta segura, es de los más completos y seguros, es de los primeros y pioneros en este tipo de servicios. La aplicación cliente está muy orientada al entorno de Apple, ya que allí es donde se volvió popular. Sin embargo, posee aplicación para todos los sistemas operativos (incluso un cliente para Bash) y extensiones para los navegadores más populares como los son Safari, Chrome y sus derivados, Firefox, Opera e incluso Edge.
Al tener tanto recorrido, las aplicaciones nativas tienen los métodos de biometría propios de cada uno de los sistemas operativos, como por ejemplo touchID y faceID para iOS y MacOS, SmartLock en Android y Windows Hello para el sistema de Microsoft. La contra de este servicio es que requiere una suscripción de pago, ya que la versión de prueba es por tiempo limitado. Sin embargo, si el costo del servicio no es un problema, el servicio es uno de los mejores.
Estos son los precios de los diferentes planes que ofrece 1Password.LastPass
Otro de los más conocidos es LastPass y de los pioneros en el rubro es LastPass. Sin ser usuario activo de este servicio, tiene la misma cantidad de características que 1Password pero a un precio inferior. Sin embargo tiene menor integración, ya que en mobile tiene soporte para Android e iOS, mientras que para escritorio solo tiene soporte para Windows y MacOS, dejando de lado Linux. No obstante, tiene extensiones para la totalidad de los navegadores web, por lo cual sea cual sea el sistema operativo que se use el servicio se puede aprovechar.
La principal contra que tiene LastPass es que su popularidad bajó en los últimos años debido a que tuvo más de un caso de penetración a sus bases de datos. Aunque estos servicios se caracterizan por tener la información almacenada de forma segura, estos hechos no le jugaron a favor siendo del rubro al que pertenece.
BitWarden
Este es el servicio más redondo a mi parecer, es el que uso y recomiendo. BitWarden no es el servicio más sofisticado, ni el que posee la app más bonita, todo lo contrario. Más allá de eso, su fuerte está en ser de código abierto, lo cual es muy importante y por esta naturaliza posee integración casi total con los diferentes sistemas operativos y sistemas biométricos. En mobile dispone de aplicación nativa para Android e iOS, para PC cuenta con clientes para Windows, MacOS y Linux (contando con paquetes .deb, .rpm, flatpak y snap). En cuanto a navegadores web, el plugin se encuentra disponible para Chrome, Firefox, Safari, Edge, Opera, Brave, Vivaldi y ¡Tor!. Cabe destacar que también cuenta con un cliente para cmd y bash, los cuales se pueden instalar tanto por homebrew, yarn o npm entre otros. Si a pesar de todo esto no se encuentra un cliente compatible, el servicio es completamente usable a través de la webapp.
Sin dudas el punto fuerte de Bitwarden es la completa integración con todos los sistemas operativos y navegadores.Más allá de las características mencionadas, quiero hacer hincapié en lo que es el principal punto a tener en cuenta: ser un proyecto open-source. Esto también trae beneficios a nivel seguridad, ya que, como todo proyecto código abierto la comunidad tiene acceso a descubrir potenciales vulnerabilidades, a solucionar errores, a evolucionar el desarrollo y a integrarlo a casi cualquier entorno que se proponga. Cabe destacar que el servicio es completamente usable sin pagar un dólar por él, pero para los que requieran características más específicas, se ofrecen planes premium con la posibilidad de disponer de soporte para empresas entre otras. Si te interesa entrar más en detalle, se puede acceder al código fuente de este proyecto desde su repositorio público en GitHub.
Pese a ser completamente utilizable de forma gratuita la bóveda de BitWarden implementa cifrado AES-256bits que hoy en día es un estándar.No más libretas de contraseñas
Para cerrar este artículo quiero que te quedes con el entendimiento de que la información que tenemos hoy en día en internet es muy importante como para descuidar la seguridad. Por esto, contar con un gestor de contraseña es algo tan importante como tener el celular con bloqueo biométrico.
Para los más paranoicos, no hay que temer por el tema de hackeos y filtraciones, ya que todos los servicios mencionados cuentan con encriptación y cifrado extremo a extremo (end to end) por lo que nuestros datos no viajan por la red expuestos. Es más probable fácil perder la libreta de contraseñas o que te “hackeen" el txt con tus credenciales que los servidores y encriptación de estos sistemas.
Si llegaste hasta acá quiero agradecerte por dedicar el tiempo en leerme y espero que te lleves información importante. Si estás aplicando algún otro método, o conoces un gestor importante a mencionar, así como si queres hacer una corrección o sugerencia te animo a escribirme por correo electrónico o hablarme directamente desde Telegram. Sin más que agregar, les dejo saludos y nos leemos en otra publicación.
Dejame tú comentario:
Comentarios anteriores