Gestión de contraseñas

gestion contrasenas 1 Gestión de contraseñasA día de hoy las contraseñas son la puerta de acceso a multitud de aplicaciones. El correo electrónico, el sistema operativo, el chat, el home banking e incluso las redes sociales están generalmente protegidos por un usuario y contraseña, y por lo tanto, vulnerar las contraseñas de un usuario es una acción de alto valor para un atacante.

Es un comentario repetido siempre en cualquier texto sobre seguridad informática: el eslabón mas debil de la cadena es el factor humano, las personas cometemos errores y necesitamos reglas claras para minimizar los riesgos del desconocimiento cuando no del simple despiste.

La gestión de contraseñas es uno de los elementos claves de la seguridad informática. De nada sirve toda la protección frente a ataques externos si alguien puede conseguir la contraseña de acceso a un servicio, puesto que su entrada parecerá legítima.

Por eso conviene repasar y poner en práctica estas tres claves básicas para mantener contraseñas seguras.

3 claves básicas para mantener contraseñas seguras

1. Crear diferentes logins y passwords para servicios distintos

Parece muy cómodo usar una misma contraseña para todo, ahorrando tiempo y esfuerzo, pero si es vulnerada el atacante podrá acceder a todas las cuentas.

2. Las contraseñas tienen que ser fuertes

Mejor no utilizar nada que tenga que ver cuestiones personales o que identifique exactamente al ussuario. Estos son los criterios para considerar fuerte a una contraseña:

  • Si tiene más de 8 caracteres (preferentemente, de 8 a 12 o más).
  • Si posee al menos 3 de los siguientes caracteres, y que al menos uno sea especial:
    • letras en minúsculas (de la a a la z)
    • letras en mayúsculas (de la A a la Z)
    • números (del 0 al 9)
    • caracteres especiales (por ej. !, $, #, o %)

Mencionando algunos ejemplos, podríamos decir que:

  • “jose”, “contraseña” o “111111” son contraseñas débiles.
  • “JoseEntr@1_2¿!”, “Contraz3na#_??01” o “UNOuno1-00Jose” son contraseñas fuertes.

Cada vez es más común que en los portales te ponga un indicador que te marca si la contraseña que estás introduciendo es débil, regular o fuerte: hazle caso y busca siempre que el indicador te muestre “fuerte”.

3. Las contraseñas son secretas y no se comparten

No se deben compartir ni por email ni mucho menos escribiéndolas en papelitos (y muchísimo menos enviarlas por medios tan inseguros como WhatsApp). Tampoco se deben apuntar en un sitio visible o fácilmente localizable. Cuando sean demasiadas se debe utilizar cualquiera de las soluciones gratuitas para guardar contraseñas.

Acerca del punto 1 hay que advertir que un reciente estudio reveló que un 75% de los usuarios utiliza la misma contraseña para acceder a su email que a su red social. Esto significa que en tres de cada cuatro casos, la información disponible en Internet no sirve sólo para acceder al correo de los usuarios, sino también a sus cuentas en redes como Facebook. Esto supone un grave peligro ya que, ante un potencial problema de seguridad en alguno de ellos que expusiese la contraseña a un atacante, sería sencillo tener acceso a otros recursos de la víctima utilizando la misma clave.

Comprobar la fortaleza de una contraseña

Puede comprabar la fortaleza de sus actuales contraseñas accediendo a cualquiera de estos sitios:

Programas para recordar contraseñas

Esta necesidad de disponer de contraseñas individualizadas nos lleva al problema de recordar la contraseña. Para facilitar esta cuestión existen los programas de gestión de contraseñas que ayudan a manejarlas de forma segura, sin necesidad de que se recuerden todas las que se necesitan. Además, permiten su almacenamiento (y a veces, su creación) utilizando un cifrado fuerte de manera muy cómoda. Normalmente se basan en el cifrado fuerte de un archivo, que almacenará y ordenará todas las contraseñas. Para acceder al archivo cifrado, el usuario tendrá que recordar una única password, que suele ser llamada maestra o palabra de paso. Ésta permitirá el descifrado del archivo y, por tanto, acceso al resto de contraseñas almacenadas. Es de vital importancia, por tanto, que esta palabra de paso sea muy robusta para que el resto no se vean en peligro. También es sumamente importante que no sea apuntada ni divulgada en forma alguna.

Existen programas de este tipo para cualquier tipo de soporte, tanto en sistemas Windows, como Mac o Linux, así como especiales para navegadores y dispositivos móviles. Empecemos por ver los que son multiplataforma o específicos para Windows:

Completamente en español, gratuito, ligero y fácil de usar. Su sencillez puede decepcionar a quien espere determinadas funcionalidades avanzadas, ya que los registros de la base de datos apenas pueden personalizarse, no admiten fecha de caducidad y carece asimismo de un medidor de la calidad de las contraseñas, pero puede ser el inicio ideal para usuarios no expertos.

Al igual que el resto de programas, LoginControl permite almacenar las contraseñas en grupos, organizarlas, y cifrarlas con una contraseña maestra. Desde la interfaz podemos copiar los datos al portapapeles con las teclas de función (F1, F2, F3,…) y luego pegarlas en el navegador fácilmente. Permite también almacenar la pregunta y respuesta secretas, que en algunos sitios ofrecen como opción para recuperar contraseña.

En español: http://passwordsafe.sourceforge.net/pwsafespa.exe (versión anterior con menos funcionalidades)

Password Safe es uno de los más populares, gratuito y de código abierto. Crea un archivo con la extensión psafe3 en el que se encontrarán todas las contraseñas cifradas que introduzcamos. Puede ser trasladado de forma segura en una llave USB o en cualquier otro soporte puesto que, a menos que alguien conozca la contraseña maestra, los datos no estarán accesibles.

Una característica importante es que puede importar bases de datos de otros gestores populares o usar plug-ins.Otros detalles le hacen destacar por encima del resto, como el buscador compatible con expresiones regulares, el soporte para contraseñas de un solo uso o la escritura automática (y ofuscada) de las contraseñas. Por otro lado, tanta complejidad puede asustar al usuario de a pie.

Para acceder a las contraseñas almacenadas, solo será necesario abrir el programa y realizar un doble clic sobre la contraseña deseada. Esta pasará al portapapeles del sistema y así podrá ser pegada en cualquier página que la necesite. Si se desea, también puede ser visualizada e introducida a mano en el teclado.

PasswordSafe permite la generación de contraseñas aleatorias según unas reglas que el propio usuario puede definir: longitud, combinación de mayúsculas y minúsculas, caracteres usados, etc.

Otro ejemplo de un programa gratuito y de código abierto y que puede usarse en todo tipo de plataformas, desde PC hasta teléfonos inteligentes. Es más completo que PasswordSafe, con funcionalidades y facilidades añadidas. Por ejemplo, permite el uso de ficheros para proteger la base de datos. Esto significa que el usuario no solo está protegido con una contraseña maestra, sino que tiene la posibilidad de proteger el acceso con cualquier archivo (ya sea un mp3, un texto, etc.) al que se llama key file. Un hipotético atacante no solo necesitaría conocer la contraseña, sino disponer del archivo concreto para poder acceder a la base de datos.

El funcionamiento básico es muy parecido al del programa PasswordSafe mencionado anteriormente. Crea un archivo cifrado con la contraseña maestra, con un key file o con ambos, que almacenará el resto de contraseñas.

KeePass también permite generar contraseñas fuertes. Así, el usuario no elige la contraseña sino que el propio programa el que lo hace respetando todas las recomendaciones mencionadas o las directrices que el usuario desee. Además podemos añadir etiquetas para identificarlas.

Está disponible para diferentes plataformas, con una versión de instalación y otra portable, y en distintos idiomas.

No es de código abierto, pero sí cuenta con una versión gratuita.

La diferencia fundamental con el resto de programas analizados aquí es que Lastpass permite almacenar las contraseñas en sus servidores, de forma que estarán disponibles on line para el usuario desde cualquier lugar, de forma segura, después de haber introducido una contraseña maestra.

Otra característica es que LastPass permite rellenar automáticamente los formularios de las páginas que el usuario desee, de forma que no tendrá que recordar ninguna contraseña y, además, ni siquiera teclearla. Para ello utiliza complementos que se instalan en el navegador.

Permite también la generación de contraseñas de forma automática según las directrices que el usuario le indique.

Sin embargo su gestor para escritorio deja bastante que desear, ya que sólo nos permite ver, pero no podemos modificar ni añadir contraseñas ni grupos. Su principal utilidad es la que señalábamos antes respecto a la posibilidad de ver nuestras contraseñas online

Está disponible en diferentes idiomas y funciona bajo diferentes plataformas, navegadores, dispositivos móviles y sistemas operativos.

Para otros sistemas operativos:

Para sistema Linux tenemos una versión específica del ya reseñado KeePass (para este entorno se le añade a la denominación una X final: KeePassX) que se puede descargar aquí: http://www.keepassx.org/start/ y de LastPass aquí: https://lastpass.com/misc_download.php

Además disponemos también de Revelation, aplicación desarrollada para el entorno Gnome: http://oss.codepoet.no/revelation/wiki/Home

Para usarios de Mac hay también versión KeePassX aunque la aplicación más utilizada en esta plataforma es 1password, que tiene sin duda la interfaz más clara y “usable” para el usuario, además de una completa serie de funciones añadidas, como gestión completa de identidad, extensiones para navegadores, versión para móviles, integración con Dropbox para sincronización, etc… A cambio es una aplicación de pago. Página: http://agilewebsolutions.com/products/1Password

Sin embargo hay que recordar que para funcionalidades básicas pero igualmente seguras, el sistema OS X incluye de serie el programa Llaveros, con la ventaja de que está ya totalmente integrado con el sistema operativo.

Un pensamiento en “Gestión de contraseñas

  1. Desde luego, esta información tan básica para un “homo digital” no la conoces si no es por personas que dan su conocimiento a los demás. Muchas gracias.
    Jesus Mendizabal

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>