Creo que podemos estar de acuerdo en que vivimos en la época del infierno de las contraseñas…
- Cientos de cuentas en páginas que ni recordamos.
- La misma contraseña en todas partes, muy peligroso.
- Contraseñas diferentes para cada sitio, imposible memorizarlas.
- Si usamos un “algoritmo”, como incluir parte del nombre de la web, si luego la tenemos que cambiar porque haya sido comprometida ya no sirve.
- Si queremos modificar nuestras contraseñas, no hay modo de saber en qué sitio las hemos usado.
¿Habrá alguna opción mejor?
La solución definitiva llegará cuando se generalice el uso del registro único (“single sign on”), es decir, usar la cuenta que tenemos en un sitio para registrarte en otras páginas sin tener que volver a poner una contraseña nueva. Esta tecnología existe desde hace tiempo, pero como ocurre con otras cosas, las soluciones libres y distribuidas no se están usando, sobre todo por la dificultad de encontrar o montar un alojamiento bueno. Y las soluciones cerradas (“login con Facebook” o “login con Google”) son las únicas ampliamente distribuidas, pero no se terminan de imponer, sobre todo por el rechazo a otorgar aún más control a las multinacionales sobre nuestras contraseñas y todos los sitios donde nos registramos.
Hay iniciativas interesantes como el proyecto Solid o la red Matrix, pero están aún en desarrollo. Esperemos que se acaben imponiendo, pero por ahora la mejor opción que tenemos es usar un…
Gestor de Contraseñas
Un gestor de contraseñas es una aplicación que guarda todas nuestras contraseñas en un archivo cifrado y protegido por una contraseña maestra. Se conecta con nuestros navegadores de tal forma que cuando intentemos hacer login en alguna página web, la aplicación localiza la contraseña en el archivo y la escribe automáticamente en la casilla para que no tengamos que memorizarla (ni siquiera es necesario verla).
Los navegadores nuevos ya traen un gestor incorporado (es ese que te pregunta “¿quieres recordar esta contraseña?” cada vez que te das de alta en un sitio). Este gestor es muy cómodo pero tiene una pega gorda: sólo funciona en el mismo navegador y ordenador donde tengamos el archivo. Si queremos conectarnos a una web desde el móvil o desde otro ordenador, no nos va a servir. Es mejor usar una aplicación dedicada y que sea multiplataforma.
¿Todas mis contraseñas juntas en un único sitio? ¡Qué peligro!
Bueno, si alguien consigue acceso a tu archivo de contraseñas y también a tu contraseña maestra, puede robar toda tu identidad en Internet. Pero tener cientos de contraseñas esparcidas sin control por media Red es más peligroso todavía…
Los expertos en seguridad en general prefieren usar gestores de contraseñas, así que parece que hay argumentos potentes para ello. La idea es que un gestor tiene bastantes ventajas sobre otros medios:
- Hay un punto único que vigilar, y se puede dedicar esfuerzo a vigilarlo bien.
- Las contraseñas no viajan por múltiples sitios, sólo por algunos puntos controlados (o incluso pueden no salir de tu propia máquina).
- Un gestor permite usar contraseñas totalmente aleatorias (tipo “fjui4%&#j553”) y diferentes en cada sitio, haciéndolas prácticamente imposibles de adivinar.
- Si se sospecha de una fisura de seguridad en el archivo, se puede fácilmente recorrer toda la lista de sitios donde estamos registrados para poner contraseñas nuevas.
Hay personas que siguen usando contraseñas memorizadas para los sitios web más delicados (mi correo electrónico principal, la web del banco…) y usan el gestor para el resto.
¿Qué gestor utilizar entonces?
A la hora de elegir un gestor, los criterios principales son la comodidad de uso y la seguridad del archivo de contraseñas. Para empezar, creo que se puede descartar directamente cualquier aplicación cerrada, como Lastpass o similares. No parece razonable confiar algo tan crítico como nuestro archivo a una aplicación que no podemos controlar, y que no nos deja movernos a otro sitio si se descubre alguna vulneración de seguridad o privacidad. Sobre todo teniendo en cuentra que hay aplicaciones de software libre igual de buenas o más.
Con esto, hay dos aplicaciones que destacan claramente: Bitwarden y KeepassXC.
Bitwarden
Bitwarden es el gestor más fácil de usar. Su principal cuestión es que almacena las contraseñas en la nube, lo cual hace que sea muy cómodo pero tienes que confiar en que la empresa que lo aloja no va a hacer nada raro con ellas.
Pero el archivo es cifrado en origen, es decir, antes de salir de tu ordenador, y la aplicación ha sido auditada por organismos independientes, y hay bastante seguridad de que no tiene agujeros ni puertas traseras, así que es muy difícil que incluso sus creadores puedan llegar a espiar tus contraseñas. Además siempre está la opción de montar tu propio servidor o pedírselo a un amigo.
El uso es completamente gratis para uso individual, habiendo opciones de pago para grupos y empresas.
En este artículo explican más detalles de su análisis y su uso.
Básicamente hay que crear una cuenta en el servidor online y luego instalar el plugin del navegador y la app móvil, y conectarlas entre sí.
KeepassXC
KeepassXC es la opción que nos da la máxima seguridad, pudiendo elegir donde queremos colocar nuestro archivo de contraseñas. Por contra, es un poco más fea y requiere varios pasos más para su instalación, aunque una vez en marcha es casi igual de cómoda que Bitwarden. Es la opción recomendable para usuarios más preocupados por su privacidad y con un mínimo de soltura con el ordenador.
Keepass guarda las contraseñas en un fichero y podemos elegir su ubicación, es cuestión de gustos:
- Dejarlo como un fichero local. Es lo más seguro porque así nuestros datos nunca saldrán de nuestro ordenador, pero no podremos usarlo en otros dispositivos.
- Ponerlo en una nube no segura (Google Drive, Dropbox…) aunque parezca paradójico, el hecho de que el archivo esté cifrado con los sistemas más fuertes hace que siga estando bastante protegido incluso en un sitio así. Pero tampoco parece una gran idea.
- Colocarlo en un alojamiento privado accesible por FTP, ssh o similar. Esta es una opción muy buena si tenemos uno, pero es técnicamente más complicado.
- Sincronizarlo directamente entre todos nuestros dispositivos usando la aplicación Syncthing. Esto es lo más seguro, porque nuestras contraseñas nunca van a estar en ninguna máquina de Internet, más que en nuestro ordenador o nuestro móvil.
Para usarlo, primero hay que instalar la aplicación de escritorio. Keepass es un programa de software libre que ha tenido varios “forks” y por tanto hay unas cuantas variantes a elegir. La recomendada es KeepassXC, la más nueva y con una comunidad más activa. Su uso es totalmente gratuito.
Una vez instalada, hay que crear el archivo de contraseñas y resolver donde lo vamos a ubicar. Finalmente instalar la extensión de navegador y la app de Android o la de ios, y conectarlas con el archivo que hayamos creado.
Aquí hay un par de artículos sobre Keepass y la aplicación de Android.
Otra ventaja de Keepass y su amplia comunidad de usuarios es la gran cantidad de plugins y extensiones que permiten hacer muchas cosas, para usuarios avanzados.
Un último aviso
Al final, la seguridad de un gestor depende directamente de la contraseña maestra. Evidentemente tenemos que elegir una contraseña que no usemos en ningún otro sitio, y que sea fuerte y difícil de adivinar. Es más importante hacerla larga que meter muchos símbolos raros.
Y sobre todo, que sea fácil de recordar. Porque NO EXISTE LA OPERACIÓN DE “RESETEAR CONTRASEÑA”. Si la olvidamos, nadie nos puede ayudar y perderemos para siempre el acceso a nuestro archivo.
A cualquier sistema de contraseñas realmente seguro le pasa lo mismo. Si pensamos un momento, tiene sentido. Si existe el botón de resetear contraseña, significa que alguien más (aquél que haya puesto ahí ese botón) puede potencialmente alterar nuestra contraseña y acceder a nuestros datos. Por el contrario, un cifrado fuerte y en origen hace que únicamente nosotros en el mundo podamos descifrar ese contenido (para bien y para mal).
Así que ya sabéis, elegid con cuidado y elegid bien, vuestra contraseña maestra…