Todos necesitamos un administrador de contraseñas

Esta es la primera de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea.

No es nada nuevo que quienes trabajamos en IT, y en especial aquellos que nos enfocamos en cuestiones de ciberseguridad o seguridad informática insistamos en la necesidad de usar un administrador de contraseñas.

Siempre que hablo con alguien sobre ciberseguridad y cómo proteger los sistemas de una organización (aunque aplica perfectamente a la computadora que Mabel, de 80 años, usa para hablar por Skype con sus nietos que viven en el interior), insisto en que la responsabilidad principal recae sobre el usuario.

El usuario que está frente a su computadora o celular es, en una gran cantidad de casos, la primer barrera que debe atravesar un atacante para obtener acceso a los sistemas.

Suplantación de identidad (phishing), ingeniería social, malware, y la lista podría seguir. Todos tienen como principal punto de interés al usuario.

Pero algo que muchos pasan por alto es el tema de las contraseñas. Tenemos tan asimilado el proceso de iniciar sesión en los sitios que utilizamos a diario que nos olvidamos de la importancia de las contraseñas.

La contraseña es como la llave para entrar a tu casa. No querés perderla porque sabés que pondrías en riesgo todo lo que está adentro, inclusive a tu familia. Entonces… ¿Por qué no tener los mismos recaudos con la llave para entrar a tu casilla de e-mail?

Creo que es un tema cultural. Todo empezó con contraseñas sencillas (algunos pocos caracteres) para no olvidarlas. Los sitios web acompañaron ese concepto hasta que se dieron cuenta que estaban poniendo a los usuarios en riesgo, asi que decidieron comenzar a poner algunos requisitos mínimos que toda contraseña debía cumplir.

La excepción a esta nueva cultura parecen llevarla, al menos en Argentina, bancos y organimos estatales. De hecho el sitio de autogestión del SUBE (Sistema Único de Boleto Electrónico) solo admite contraseñas de cuatro caracteres numéricos, al igual que muchos bancos privados.

Tener algunos numeritos incrementaría la complejidad de las contraseñas. Pero eso también incrementó la complejidad para recordarlas, asi que los usuarios empezaron a anotarlas en papelitos o en un archivo de Excel llamado “Claves.xlsx” 🤦🏻‍♂️

Como algunos sitios nos imponían las mismas reglas de contraseñas, descubrimos que podíamos empezar a repetir algunas de ellas simplificando el inicio de sesión. Error.

Imaginemos por un momento que usan la misma contraseña en Gmail y en LinkedIn. En Mayo del 2016 LinkedIn sufrió su mayor violación de datos desde su nacimiento. 164 millones de direcciones de e-mail y contraseñas empezaron a divulgarse en Internet, por lo que se vieron obligados a alertar a sus usuarios y guiarlos a través del proceso de recuperación de contraseña para volver a entrar a sus cuentas.

La cuestión es que de manera indirecta, ustedes también pusieron en riesgo sus correos electrónicos y toda la información que tienen en Gmail. Y esto no se trata solo de “algunos poquitos correos”, sino de la posibilidad de que quien ya conoce nuestra dirección de correo y su contraseña pueda obtener acceso a otros servicios utilizando la funcionalidad de recupero de contraseña y enviando las instrucciones a Gmail. ¿Se entiende la gravedad?

En los últimos cuatro años la violación de datos y su publicación/divulgación en Internet no ha dejado de crecer. Por eso es que insistimos en la necesidad de que los usuarios se comprometan y entiendan que un mínimo error puede traerles grandes dolores de cabeza.

Administradores de contraseñas

Los administradores de contraseñas (también conocidos como gestores de Contraseñas o password managers) nos permiten tener en un lugar “seguro” todas nuestras contraseñas. Y permítanme dejar “seguro” entre comillas porque también hay que tener algunas consideraciones con respecto a la clave maestra que se utiliza para ingresar a él.

Pero no se trata solo de almacenarlas de manera segura, sino también de aprovechar otras ventajas que traen estos administradores de contraseñas como son las contraseñas aleatorias.

Se que puede sonar exagerado, pero la extensión promedio de mis contraseñas es de 60 caracteres, siendo el máximo 100 en algunos pocos sitios.

En serio, no es exagerar. Es aprovechar las funcionalidades de la herramienta al máximo. Como no necesito recordar mis contraseñas porque el administrador lo hace por mi, y como tampoco necesito escribirlas (ni siquiera copiarlas) porque los complementos de los navegadores y apps para smartphones autocompletan la información en la página de inicio de sesión, puedo usar el máximo de caracteres que me permiten los sitios y todas las combinaciones posibles (letras en mayúscula, letras en minúscula, números y símbolos). Así luciría una de mis contraseñas:

pJG6tXPMA2VqfnRzp*il15x02u#z5Lasu*66o$S9FoU2CEMg8&IRJB4xBJ12#ooQ

La oferta de administradores de contraseñas es variada. Pero lejos de querer convencerlos de usar uno u otro, les voy a dejar unas pequeñas líneas sobre los tres principales del mercado: LastPass, 1Password y KeePass.

Los tres son excelentes opciones, pero cada uno tiene su funcionalidad estrella.

LastPass


Lo bueno:
Diseño sencillo y fácil de usar. La versión gratuita tiene todo lo que cualquiera de nosotros necesita, pero para los más insaciables hay una versión Premium con algunas características adicionales que cuesta apenas 2 dólares al mes. También tiene un plan familiar por 4 dólares al mes que permite incluir hasta seis cuentas individuales. Tiene complementos para casi todos los navegadores (funciona MUY bien en Chrome y Edge) y también aplicaciones para smartphones. Tiene una funcionalidad llamada Security Challenge que analiza las contraseñas en busca de debilidades o contraseñas que hayan podido ser comprometidas.

Lo malo: En caso de perder acceso a la cuenta, la recuperación es posible solo que un poco más complicada que la de sus competidores.

1Password

Lo bueno: Fácil de usar y con un diseño super intuitivo. Recientemente agregaron la integración con Have I been pwned Passwords para comparar nuestras contraseñas contra la base de contraseñas publicada en Internet más grande la historia.

Lo malo: Un poco más cara que sus competidores (3 dólares al mes) y aun no tiene soporte para Linux.

KeePass

Lo bueno: Totalmente gratuito y de código abierto. Funciona en la mayoría de los navegadores y sistemas operativos y permite controlar dónde estarán almacenados los datos.

Lo malo: No es muy intuitivo y depende de plataformas de terceros para, por ejemplo, sincronizar los datos entre dispositivos (lo hace a través de Dropbox).

It’s up to you

La elección ahora queda en sus manos. Cualquiera sea la opción que elijan, les recomiendo usar una contraseña maestra fuerte y única, y que habiliten el factor de doble autenticación (Google Authenticator, Authy, Yubikey, etc.).

LastPass es mi preferido. Tengo allí las contraseñas de más de 300 sitios, todas generadas de manera aleatoria.

El último Security Challenge me dio 98.2%, lo cual es muy bueno. Me gustaría llegar a 100%, no se los voy a negar, pero hay algunos sitios a los que no les importa mucho la seguridad de sus usuarios y solo admiten unos pocos (4 a 15) caracteres en sus contraseñas, lo que hace que el puntaje baje.

¡Hasta la próxima!

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.