El desafío de definir y recordar contraseñas para los sitios web que utilizamos no parece, al principio, algo difícil.

Tomamos alguna palabra o hecho de nuestras vidas y lo aplicamos en alguna combinación como contraseña (no hace falta recordarles que no debemos usar nuestra fecha de cumpleaños, y mejor evitar la secuencia 123456).

Es así que elegimos una clave y empezamos a usarla donde nos requieran una … hasta que la situación pronto comienza a complicarse:

  • Encontramos un sitio donde nos piden largo mínimo, en otro, que usemos mayúsculas y minúsculas y un tercero, que agreguemos determinados símbolos particulares.
  • Nos damos cuenta que estamos usando la misma clave para mirar mensajes en Facebook que para manejar nuestra cuenta Bancaria. Sería mejor si tenemos claves separadas, pero, ¿es suficiente con 2?

Claramente necesitamos de múltiples contraseñas. De esta forma si accedemos a sitios menos seguros, no estamos poniendo en riesgo el acceso a aquellos que sí lo son.

Alcance de la Solución

La solución que buscamos nos debe permitir:

  • Almacenar en algún lugar seguro los usuarios y claves que usamos en cada sitio web.
  • Generar contraseñas seguras, queremos evitar usar palabras conocidas y repetirlas en cada sitio.

gestor

Gestor de contraseñas del navegador

Los navegadores web (Chrome, Firefox, Edge) proponen una solución a este problema, en la forma de servicios de Gestión de Contraseñas. El navegador nos ofrece almacenar las contraseñas ingresadas a medida que detecta que usamos una dentro de un sitio web.

Por otro lado, cada navegador tiene la opción de crear un usuario asociado a su comunidad, donde se almacenan y sincronizan estas claves entre las distintas instancias de un mismo navegador (por ejemplo, entre la computadora de escritorio, la de la oficina y el teléfono).

Esta solución, aunque sencilla, presenta algunos problemas:

  • Las contraseñas se almacenan por navegador. Si usamos 2 o más (en mi caso utilizo Brave y Firefox), entonces no podremos compartir estas contraseñas y cada uno tendrá su copia.
  • No existe transparencia sobre la implementación en el almacenamiento de las contraseñas por parte de cada navegador.
  • No se tienen herramientas para generar o asegurar la calidad de las contraseñas que elegimos.

Enlaces interesantes:

  • Puede visualizar las contraseñas que actualmente almacena en Google, ingresando a este vínculo

Gestores locales

Keepass (o su similar, KeePassXC) es un excelente gestor de contraseñas, de código abierto y gran trayectoria. Se trata de una aplicación de escritorio para Windows, pero que ha sido llevado a múltiples plataformas.

Sus prestaciones son excelentes, pero por tratarse de un programa local, plantea algunas dificultades para su uso:

  1. Integración con los navegadores para uso de contraseñas
  2. Distribución de la base de datos de contraseñas. Debe ser respaldada y copiada a cada lado donde queramos usarla.

Para estos problemas podemos encontrar soluciones en la forma de:

  1. Extensiones para los navegadores que integran estos programas. Por ejemplo para Keepass y KeePassXC
  2. Compartiendo el archivo de datos desde una ubicación accesible, por ejemplo Google Drive o Dropbox

Por la alta complejidad que tiene este modelo de trabajo, resulta atrayente la siguiente opción que vamos a presentar.

Servicios en la nube

Existen varias empresas que proveen el servicio de almacenamiento y acceso a las contraseñas desde la nube.

Las contraseñas se almacenan en sus servidores de forma encriptada, y se accede desde nuestras aplicaciones locales cuando tenemos que hacer uso de éstas. El caso más común es desde nuestros navegadores de escritorio o desde nuestro celular (ya sea Android o iOS).

El modelo económico de estos servicios, es ofrecer un conjunto reducido de características de forma gratuita, y en caso de necesitar de características adicionales, solicitarlas mediante un pago mensual a la plataforma.

Algunos de estos servicios más populares son:

Características

Alguna de las características comunes que poseen todas estas plataformas son:

  • Autocompletado de formularios. Rellena los datos de usuario y contraseña, así como información adicional como datos de pagos.
  • Generación de contraseñas. Generan contraseñas seguras y permiten se especifique que caracteres especiales deben contener (como números, puntos, etc).
  • Bóveda de contraseñas segura. Cifrada con encriptación de primer nivel y solamente accesible por el usuario.
  • Compatibilidad para múltiples plataformas. Soportan todos los navegadores de mayor uso, así como las plataformas móviles Android e iOS.
  • Verificación de contraseñas. Brindan una evaluación de la calidad de la contraseña elegida y permite la consulta a bases de datos de contraseñas robadas, para saber si la misma ha sido comprometida.

Motivos para usar un Gestor de Contraseñas

El experto en seguridad Troy Hunt, ha descubierto en el año 2019, una brecha de seguridad en la que 2.692.818.238 filas de información fueron robadas.

Entre ellas, se encontraban 772.904.991 direcciones únicas de correo (Usted puede verificar aquí si su dirección de correo está incluida).

Por último, el número de contraseñas expuestas asciende a 21.222.975.

Esto quiere decir que estamos en constante riesgo de que alguno de los sitios a los que accedemos sea atacado en algún momento y nuestra contraseña, expuesta.

security

Por tanto, perseguimos el objetivo que nuestras contraseñas sean únicas por cada sitio, de forma que, si se expone dicha contraseña, minimizamos el daño. Esto es muy fácil de lograr con los Generadores de contraseñas que los gestores ofrecen.

Riesgos

El principal riesgo al usar un gestor de contraseñas, es que todas nuestras contraseñas quedan aseguradas por una única contraseña maestra.

Debemos poner especial cuidado al elegirla.

De todas formas, como explica el experto en seguridad Troy Hunt, los gestores de contraseña son la mejor herramienta.

Cómo luce un Gestor de Contraseñas

Todos los gestores aquí nombrados son de uso masivo y comprobada excelencia. Nuestra experiencia ha sido con el uso de LastPass primero, y actualmente con Bitwarden.

Hay que mencionar, que unos días antes de escribir este artículo, LastPass ha informado restricciones en su plan gratuito donde, por ejemplo, sólo se permitirá usar en un tipo de dispositivo a elección (escritorio o móvil).

La elección por Bitwarden se debe a:

  • Es de código abierto
  • Permite publicar la bóveda en un servidor propio si así lo quisiéramos
  • En caso que optar por la versión paga, sus costos son menores a otros servicios.

Al identificarnos en un sitio:

Completar

Verificar si la contraseña ha sido expuesta:

Comprobar

Al requerirlo, generar una nueva contraseña:

Generar

Doble Factor de Autenticación

En los últimos años, cada vez es más común encontrarse con facilidades para definir un doble factor de autenticación (o 2FA por sus siglas en inglés).

Su objetivo es añadir una capa de seguridad, donde no sólo usemos una contraseña, sino que asociemos otro medio por el cual podemos demostrar que somos los propietarios de dicha cuenta.

2fa

Normalmente recibimos un código adicional a nuestra contraseña que debemos ingresar. Algunos de los medios más usados para recibirlo son:

  • Mensaje SMS.
  • Correo electrónico.
  • Aplicación de celular. El código es generado en dichas aplicaciones. Algunas de las más usadas son andOTP y Microsoft Authenticator

Los gestores de contraseña pueden hacer uso del doble factor de autenticación para hacer más seguro el uso de su clave maestra.

IDEATI incluye en sus desarrollos la posibilidad de hacer uso de herramientas de 2FA para la autenticación de los usuarios de los sistemas instalados.

Como han podido ver, son múltiples las ventajas que nos hacen recomendar el uso de gestores de contraseñas. Existen varias opciones según las preferencias de cada usuario, pero todas excelentes. Esperamos haber colaborado con la motivación para empezar a experimentar con estas herramientas.