Todos necesitamos un administrador de contraseñas

[Post actualizado al 8 de Julio de 2020 con nuevas referencias]

Hasta hace algunos años utilizaba un mecanismo para almacenar contraseñas que, a mi criterio, era infalible. Pero la tecnología evolucionó, y con ella los riesgos asociados a utilizar contraseñas no del todo seguras.

Credential stuffing, suplantación de identidad (phishing), ingeniería social, malware, y la lista podría seguir. Todos estos vectores de ataque tienen como objetivo obtener acceso a la información de la víctima y, en la mayoría de los casos, generar un daño a posteriori.

Y acá es donde los administradores de contraseñas, en combinación con la autenticación multifactor (o verificación de dos pasos), pueden hacer la diferencia.

Tenemos tan asimilado el proceso de iniciar sesión en los sitios que utilizamos a diario que nos olvidamos de la importancia de las contraseñas.

Las contraseñas son para un sitio o una app lo que las llaves para entrar a nuestra casa. No queremos perderlas porque sabemos que pondríamos en riesgo todo lo que tenemos dentro. Entonces… ¿Por qué no tener los mismos recaudos con las llaves para entrar a nuestras casillas de e-mail o redes sociales?

Mi mecanismo era bastante sencillo; el primero fragmento de la contraseña era siempre el mismo, y lo que cambiaba era la última parte. Pero llegó un momento en que se volvió inmanejable.

Todo empezó con contraseñas de algunos pocos caracteres para no olvidarlas. Los sitios web acompañaron ese concepto hasta que se dieron cuenta que estaban poniendo en riesgo a los usuarios, asi que decidieron comenzar a poner algunos requisitos mínimos que toda contraseña debía cumplir.

Tener algunos números o caracteres especiales incrementaría la complejidad de las contraseñas, y con ello la dificultad para recordarlas.

Como algunos sitios nos imponían las mismas reglas de contraseñas descubrimos que podíamos empezar a reutilizarlas, simplificando el inicio de sesión. Pero esto trajo aparejados otros desafíos.

‪El peligro de la reutilización de contraseñas‬

Imaginemos por un momento que usamos la misma contraseña en Gmail y en LinkedIn. En Mayo del 2016 LinkedIn sufrió su mayor filtración de datos desde su nacimiento. 164 millones de direcciones de e-mail y contraseñas de sus usuarios empezaron a divulgarse en Internet, por lo que se vieron obligados a alertar a los afectados y guiarlos a través del proceso de recuperación de contraseña para poder volver a ingresar a sus cuentas.

La cuestión es que de manera indirecta pusimos en riesgo nuestra cuenta de Gmail, todos nuestros emails, archivos almacenados en Drive, y sitios a los que se puede acceder mediante el botón “Iniciar sesión con Google”, o enviando un enlace de restablecimiento de contraseña a la cuenta de Gmail.

En los últimos años ha crecido a pasos agigantados la cantidad de filtraciones de datos y de ataques por credential stuffing como el que sufrieron algunos usuarios de la plataforma de videoconferencias Zoom hace tan solo unas semanas. Por eso es que insistimos en la necesidad de que los usuarios se comprometan y entiendan que un mínimo error puede traerles grandes dolores de cabeza.

Administradores de contraseñas

Muchos habrán pensado en crear un archivo “Claves.xlsx” y almacenar todas las contraseñas allí, hasta que se dieron cuenta que no era la mejor opción. Otros habrán caído en la tentación.

Los administradores de contraseñas (también conocidos como gestores de contraseñas o password managers) nos permiten tener en un lugar seguro toda nuestra información.

Pero no se trata solo de almacenarlas de manera segura, sino también de aprovechar las funcionalidades adicionales que nos ofrecen.

Un ejemplo es la posibilidad de generar contraseñas aleatorias. Esto nos permite tener una única contraseña para cada sitio, reduciendo de esta manera las probabilidades de ser víctimas de un ataque por credential stuffing.

Sabías que 123456 seguía siendo la contraseña más utilizada a principios del año 2019?

Al no necesitar recordar mis contraseñas porque el administrador lo hace por mi, y como tampoco necesito escribirlas (ni siquiera copiarlas) porque los complementos para los navegadores y apps para smartphones lo hacen automáticamente, puedo usar el máximo de caracteres que me permiten los sitios y todas las combinaciones posibles (letras en mayúscula, letras en minúscula, números, y símbolos).

La oferta de administradores de contraseñas es variada: 1Password, Bitwarden, Dashlane, KeePass, Keeper, LastPass, entre otros.

Les recomiendo evaluar las distintas alternativas en función de los sistemas operativos y navegadores que utilicen, y características adicionales que estén buscando. Los administradores de contraseñas como 1Password y LastPass les permitirán mantener su información sincronizada en la nube, mientras que otros trabajan con un vault único en cada dispositivo.

Usen una contraseña maestra fuerte y única (al fin y al cabo será la única que tengan que recordar de ahora en adelante), y asegúrense que el administrador de contraseñas soporte al menos un mecanismo de autenticación multifactor (Authy, Yubikey, etc.).

Casi todos ofrecen planes familiares que permiten compartir contraseñas con otros usuarios, manteniendo la seguridad de los datos de inicio de sesión. ¿Quién no comparte su cuenta de Netflix con alguien más? 🤓

En Octubre del 2018, el banco HSBC debió notificar a miles de clientes que sus cuentas habían sido accedidas por atacantes mediante la técnica conocida como credential stuffing.

Mi elección

Frecuentemente me consultan sobre los administradores de contraseñas integrados a los navegadores, como Google Password Manager, Firefox Lockwise, o incluso iCloud Keychain.

Yo prefiero utilizar un administrador de contraseñas que sea lo más neutral posible. Por ello es que opté por 1Password que, además de permitirme utilizar llaves de autenticación (como la YubiKey) para autenticación multifactor, posee una funcionalidad llamada Watchtower que se encarga de analizar constantemente mis datos de inicio de sesión en busca de contraseñas débiles, repetidas, o comprometidas.

Utilizando la API de Have I been pwned Passwords, compara mis contraseñas contra la base de contraseñas filtradas más grande la historia y me notifica si alguna de ellas se encuentra comprometida.

Yo personalmente no elegiría un administrador de contraseñas que en el año 2020 no ofrezca esta funcionalidad.

Asi se ve el flujo de inicio de sesión en GitHub, utilizando 1Password en macOS:

Para cerrar el post quiero dejar una frase que utilizo frecuentemente en redes sociales: cualquier administrador de contraseñas es mejor que ninguno.

La idea de usar uno es delegar el almacenamiento de información sensible que podemos olvidar fácilmente o poner en riesgo almacenándola en lugares que no fueron específicamente diseñados para ello.

¡Hasta la próxima!

1 pensamiento en “Todos necesitamos un administrador de contraseñas”

  1. Yo utilizo KeepassXC tanto en PC como android, y la sincronizacion lo tengo con OneDrive. Funciona de maravillas. La vantaja de usar dropbox es que lo podes usar en linux y bsd

Comentarios

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.