Todos necesitamos un administrador de contraseñas

Esta es la primera de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea.

No es nada nuevo que quienes trabajamos en IT, y en especial aquellos que nos enfocamos en cuestiones de ciberseguridad o seguridad informática insistamos en la necesidad de usar un administrador de contraseñas.

Siempre que hablo con alguien sobre ciberseguridad y cómo proteger los sistemas de una organización (aunque aplica perfectamente a la computadora que Mabel, de 80 años, usa para hablar por Skype con sus nietos que viven en el interior), insisto en que la responsabilidad principal recae sobre el usuario.

El usuario que está frente a su computadora o celular es, en una gran cantidad de casos, la primer barrera que debe atravesar un atacante para obtener acceso a los sistemas.

Suplantación de identidad (phishing), ingeniería social, malware, y la lista podría seguir. Todos tienen como principal punto de interés al usuario.

Pero algo que muchos pasan por alto es el tema de las contraseñas. Tenemos tan asimilado el proceso de iniciar sesión en los sitios que utilizamos a diario que nos olvidamos de la importancia de las contraseñas.

La contraseña es como la llave para entrar a tu casa. No querés perderla porque sabés que pondrías en riesgo todo lo que está adentro, inclusive a tu familia. Entonces… ¿Por qué no tener los mismos recaudos con la llave para entrar a tu casilla de e-mail?

Creo que es un tema cultural. Todo empezó con contraseñas sencillas (algunos pocos caracteres) para no olvidarlas. Los sitios web acompañaron ese concepto hasta que se dieron cuenta que estaban poniendo a los usuarios en riesgo, asi que decidieron comenzar a poner algunos requisitos mínimos que toda contraseña debía cumplir.

La excepción a esta nueva cultura parecen llevarla, al menos en Argentina, bancos y organimos estatales. De hecho el sitio de autogestión del SUBE (Sistema Único de Boleto Electrónico) solo admite contraseñas de cuatro caracteres numéricos, al igual que muchos bancos privados.

Tener algunos numeritos incrementaría la complejidad de las contraseñas. Pero eso también incrementó la complejidad para recordarlas, asi que los usuarios empezaron a anotarlas en papelitos o en un archivo de Excel llamado “Claves.xlsx“.

Como algunos sitios nos imponían las mismas reglas de contraseñas, descubrimos que podíamos empezar a repetir algunas de ellas simplificando el inicio de sesión. Error.

Imaginemos por un momento que usan la misma contraseña en Gmail y en LinkedIn. En Mayo del 2016 LinkedIn sufrió su mayor violación de datos desde su nacimiento. 164 millones de direcciones de e-mail y contraseñas empezaron a divulgarse en Internet, por lo que se vieron obligados a alertar a sus usuarios y guiarlos a través del proceso de recuperación de contraseña para volver a entrar a sus cuentas.

La cuestión es que de manera indirecta, ustedes también pusieron en riesgo sus correos electrónicos y toda la información que tienen en Gmail frente a los ataques conocidos como credential stuffing. Y esto no se trata solo de “algunos poquitos correos”, sino de la posibilidad de que quien ya conoce nuestra dirección de correo y su contraseña pueda obtener acceso a otros servicios utilizando la funcionalidad de recupero de contraseña y enviando las instrucciones a Gmail. ¿Se entiende la gravedad?

En los últimos cuatro años la violación de datos y su publicación/divulgación en Internet no ha dejado de crecer. Por eso es que insistimos en la necesidad de que los usuarios se comprometan y entiendan que un mínimo error puede traerles grandes dolores de cabeza.

Administradores de contraseñas

Los administradores de contraseñas (también conocidos como gestores de Contraseñas o password managers) nos permiten tener en un lugar “seguro” todas nuestras contraseñas. Y permítanme dejar “seguro” entre comillas porque también hay que tener algunas consideraciones con respecto a la clave maestra que se utiliza para ingresar a él.

Pero no se trata solo de almacenarlas de manera segura, sino también de aprovechar otras ventajas que traen estos administradores de contraseñas como son las contraseñas aleatorias.

Se que puede sonar exagerado, pero la extensión promedio de mis contraseñas es de 60 caracteres, siendo el máximo 100 en algunos pocos sitios.

En serio, no es exagerar. Es aprovechar las funcionalidades de la herramienta al máximo. Como no necesito recordar mis contraseñas porque el administrador lo hace por mi, y como tampoco necesito escribirlas (ni siquiera copiarlas) porque los complementos de los navegadores y apps para smartphones autocompletan la información en la página de inicio de sesión, puedo usar el máximo de caracteres que me permiten los sitios y todas las combinaciones posibles (letras en mayúscula, letras en minúscula, números y símbolos). Así luciría una de mis contraseñas:

pJG6tXPMA2VqfnRzp*il15x02u#z5Lasu*66o$S9FoU2CEMg8&IRJB4xBJ12#ooQ

La oferta de administradores de contraseñas es variada. Pero lejos de querer convencerlos de usar uno u otro, les voy a dejar unas pequeñas líneas sobre los tres principales del mercado: LastPass, 1Password y KeePass.

Los tres son excelentes opciones, pero cada uno tiene su funcionalidad estrella.

LastPass


Lo bueno:
Diseño sencillo y fácil de usar. La versión gratuita tiene todo lo que cualquiera de nosotros necesita, pero para los más insaciables hay una versión Premium con algunas características adicionales que cuesta apenas 3 dólares al mes. También tiene un plan familiar por 4 dólares al mes que permite incluir hasta seis cuentas individuales. Tiene complementos para casi todos los navegadores (funciona MUY bien en Chrome y Edge) y también aplicaciones para smartphones. Tiene una funcionalidad llamada Security Challenge que analiza las contraseñas en busca de debilidades o contraseñas que hayan podido ser comprometidas.

Lo malo: En caso de perder acceso a la cuenta, la recuperación es posible solo que un poco más complicada que la de sus competidores.

1Password

Lo bueno: Fácil de usar y con un diseño super intuitivo. Recientemente agregaron la integración con Have I been pwned Passwords para comparar nuestras contraseñas contra la base de contraseñas publicada en Internet más grande la historia. También soportan llaves de autenticación, como las YubiKeys, via U2F (a diferencia de LastPass que lo hace via OTP).

Lo malo: Hasta ahora no le encontré nada, pero si tuviera que elegir sí o sí diría que la falta de una versión gratuita. Los 3 dólares al mes que cuesta valen cada centavo, asi que si se animan pueden darse de alta con 30 gratis desde acá.

KeePass

Lo bueno: Totalmente gratuito y de código abierto. Funciona en la mayoría de los navegadores y sistemas operativos y permite controlar dónde estarán almacenados los datos.

Lo malo: No es muy intuitivo y depende de plataformas de terceros para, por ejemplo, sincronizar los datos entre dispositivos (lo hace a través de Dropbox).

It’s up to you

La elección ahora queda en sus manos. Cualquiera sea la opción que elijan, les recomiendo usar una contraseña maestra fuerte y única, y que se aseguren de habilitar al menos un factor de doble autenticación (Authy, Yubikey, etc.).

1Password es mi preferido. Tengo, al día de hoy, más de 500 contraseñas guardadas allí. Todas generadas de manera aleatoria.

¡Hasta la próxima!

Un comentario en “Todos necesitamos un administrador de contraseñas”

  1. Yo utilizo KeepassXC tanto en PC como android, y la sincronizacion lo tengo con OneDrive. Funciona de maravillas. La vantaja de usar dropbox es que lo podes usar en linux y bsd

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.