Cómo gestionar contraseñas de forma cómoda y segura

Claves de Acceso

Casos como el Celebgate o la filtración de 5 millones de claves de acceso de Gmail nos confirman cada día que en ocasiones los sistemas de contraseñas son frágiles.

Y es que por más que tratemos de ir a otros modelos de autentificación o bien procuremos medidas de seguridad auxiliares, las contraseñas son casi ineludibles hoy.

 

Ante todo, crear claves de acceso seguras

Comenzando por lo primero: ¿qué es una clave de acceso segura? La respuesta es muy fácil: una clave de acceso que no pueden adivinar ni ordenadores ni humanos. Por servirnos de un ejemplo, 53342 es una clave de acceso que le va a costar adivinar a una persona, si bien un computador no tardaría mucho haciendo intentos azarosos (fuerza bruta).

Por otro lado, costaría que un programa adivinara mellamojuan, mas igual alguien que me conozca apenas tarda 2 intentos en localizarla.

 

Gestor de Claves

 

Los consejos básicos acostumbran a ser que utilicemos claves de acceso suficientemente largas (unos caracteres basta para que un ataque a la fuerza bárbara sea prácticamente imposible, ni ahora ni en varios años), y sobre todo que no sean comunes. A continuación presentamos una lista aproximadamente completa:

  • Cuantas menos palabras de diccionario emplees, mejor.
  • No utilices datos personales, o bien por lo menos no de manera directa. Un ordenador no adivinará que tu clave de acceso es “coslada65”, igual alguien que sepa dónde y en qué momento naciste igual sí saca esa clave de acceso.
  • Evidentemente, tampoco emplees tu nombre usuario o bien nombre real como clave de acceso.
  • Emplea símbolos, números, y mayúsculas.
  • No emplees claves de acceso comunes, como “clave”, “clave de acceso” o bien “123456”.
  • Emplea claves de acceso diferentes para cada servicio.
  • Cambia cada cierto tiempo las claves de acceso.

 

A esta altura estos consejos son conocidos por todos, y seguro que cualquiera puede aporrear el teclado y sacar una clave de acceso imposible de adivinar, como rf$%&F54$.

 

 

La cuestión es que no nos sirve de nada tener una clave de acceso segura si no la recordamos. Con el fin de que una clave de acceso sea de veras segura, debe ser simple de recordar. Para esto hay 2 opciones. 

Tampoco hace falta romperse mucho la cabeza con las claves de acceso. Los modelos de ataques a los que estaremos expuestos como usuario común son dos: ataques de fuerza bárbara al hash de nuestra clave de acceso (en el momento en que un atacante entra en una web y consigue la lista de claves de acceso hasheadas de los usuarios) y ataques personales de alguien que desee entrar particularmente en nuestra cuenta.

Para lo primero es suficiente con no tener una clave de acceso común: desde un mínimo de seguridad los atacantes no van a invertir tanto tiempo para localizar unas pocas claves de acceso más.

Y para lo segundo, acostumbra a bastar con que la clave de acceso no tenga datos personales ni sea simple de adivinar para quien nos conozca, con lo que cuando nos compliquemos un tanto nos quitamos este posible escenario.

Resumiendo, si bien obviamente cuanta más seguridad mejor, cuando prosigamos unos mínimos consejos de seguridad (claves de acceso largas y no repetidas en diferentes servicios) vamos a tener la confianza de que no vamos a estar al alcance de los ataques más frecuentes.

 
Gestores de claves de acceso

Otra opción es dejar a los gestores de claves de acceso que nos hagan el trabajo: producen claves de acceso azarosas y las recuerdan por nosotros. Sencillamente debemos limitarnos a saber la clave de acceso profesora que da acceso a nuestras cuentas. 

Aparte de producir las claves de acceso, estos gestores se integran en nuestro navegador para rellenar los formularios de login de los sitios, de tal modo que con solo pulsar un botón se copie el usuario y clave de acceso. Asimismo son capaces de rellenar de manera automática perfiles en el momento en que nos registramos, o bien de guardar las claves de acceso cuando entramos en un lugar que no teníamos guardado. Habitualmente asimismo vamos a poder guardar otro género de credenciales, si bien no estén ligadas a páginas.

 

 

Las claves de acceso se guardan cifradas utilizando nuestra clave de acceso (y en algún caso datos auxiliares), de tal modo que absolutamente nadie más puede leerlas. De esta forma, podemos crear claves de acceso muy seguras sin que haga falta que nos acordemos de ellas: ya lo hace el gestor por nosotros.

 
¿Podemos confiar en un gestor de claves de acceso?

En lo que se refiere a los posibles inconvenientes de seguridad, es verdad que es un solo punto de fallo: un acceso ahí y tienen todas y cada una de nuestras claves de acceso.

Mas por otro lado, ¿qué es más simple? ¿Asegurar una cuenta o bien asegurar cincuenta? Podemos acrecentar las medidas de seguridad en un solo punto y darle más seguridad a nuestras claves de acceso.

Además de esto, estos productos, como afirmábamos ya antes, están dedicados a sostener tus claves de acceso seguras y seguramente vayan a hacer un mejor trabajo de lo que harías solo.

Un gestor de claves de acceso nos puede dar más seguridad que la que podríamos conseguir la mayor parte de nosotros por nuestra cuenta.

Verdaderamente es realmente difícil que alguien acceda a los datos de tu gestor de claves de acceso si tienes una buena clave de acceso profesora. Los datos se guardan cifrados y, en el caso de 1Password y Lastpass se transmiten por HTTPS. Aun si bien hubiera alguien leyendo todo cuanto mandas por Internet, no podría ver ninguna clave de acceso.

Tampoco tendría éxito un atacante que entre a los servidores de Lastpass o bien que acceda a tu base de datos en Dropbox (o bien cualquier otro servicio de sincronización): solo vería un montón de datos inútiles, imposibles de descifrar.

Y además de esto, siempre y en toda circunstancia podemos conjuntar los gestores de claves de acceso con otros métodos. Por poner un ejemplo, las cuentas esenciales (correo, bancos) con claves de acceso seguras que no se guarden en el gestor, y dando a esas cuentas una capa más de protección con autentificación en 2 pasos.

Como conclusión, en estas situaciones hay que tener los pies en el suelo, disminuir al mínimo peligros sin olvidar la comodidad (no vale de nada tener un procedimiento superseguro para administrar claves de acceso si no lo empleamos), e intentar no depender de una sola herramienta o bien procedimiento.

Estos son actualmente los 5 mejores gestores de contraseñas:

Keepass

KeePass es una utilidad de código abierto que sostiene nuestras claves de acceso cifradas en una base de datos. El beneficio es que todo está bajo nuestro control. La desventaja es que debemos preocuparnos nosotros de instalar además de esto los complementos para los navegadores y de hallar una forma de acompasar las claves de acceso entre dispositivos. Entre aplicaciones oficiales y no oficiales, está libre para prácticamente cualquier sistema.

1password

1Password tiene exactamente la misma idea de KeePass, pero más simple de utilizar, de integrar y además está listo para acompasar por medio de Dropbox. Tiene aplicaciones para Windows, Mac, iOS y Android.

Lastpass

La primordial desventaja es que tus claves de acceso se guardan en la nube, si bien Lastpass asegura que están cifradas con una clave derivada de tu clave de acceso profesora y correo, y que si bien un pirata informático entrara en sus servidores no podría ver ninguna clave de acceso. A cambio, LastPass puede ofrecer más controles de seguridad: permitir logins solo desde determinados países, impedir que entren desde Tor, activar autentificación en 2 pasos o bien aun cerrar sesiones en determinados ordenadores.

True Key

Una de las peculiaridades que diferencia a TrueKey del resto de gestores de claves de acceso es el reconocimiento facial para empezar sesión. Además de esto, se ofrece el acceso a través de huella digital en el móvil o bien la clave profesora. Este gestor tiene una versión gratis que deja registrar hasta quince claves de acceso. Para guardar un número ilimitado de claves, el usuario debe abonar una subscripción.

Dashlane

Uno de los objetivos de Dashlane es ahorrar tiempo al usuario. Cuando este se abrirá una cuenta en una plataforma, el gestor le da la opción de rellenar el formulario de forma automática. Además de esto, es posible mudar una o bien todas y cada una de las claves de acceso con un solo click para cerciorarse de que sean seguras y diferentes.

Hay una versión gratis que deja, entre otras muchas cosas, un almacenaje ilimitado de claves de acceso en un dispositivo. La de pago, ofrece la opción de acompasar claves y datos entre múltiples dispositivos o bien compartir un número ilimitado de credenciales.

Comments are closed.