Administradores de contraseñas: todo lo que necesita saber

seguridad10

En la era digital actual, los piratas informáticos se están volviendo cada vez más sofisticados en sus esfuerzos por obtener acceso a sus cuentas y datos. Además de violar bases de datos y explotar las vulnerabilidades del software, otro vector de ataque es su contraseña débil.

La autodefensa digital básica requiere que use contraseñas sólidas y únicas que no se puedan descifrar fácilmente para todas sus cuentas. Pero, ¿cómo puede generar contraseñas seguras y al mismo tiempo mantener todo organizado y seguro en varios dispositivos? Ingrese al administrador de contraseñas.

En esta guía, profundizaremos en varios aspectos de la administración segura de contraseñas y examinaremos los mejores administradores de contraseñas.

Por qué necesitas un administrador de contraseñas

Quizás se pregunte si realmente necesita un administrador de contraseñas. Es posible que seas una de esas personas raras que usa una contraseña simple para todo y nunca le han pirateado ninguna de sus cuentas. Si es así, enhorabuena. Eres una persona afortunada.

Desafortunadamente, lo que funcionó para nosotros en el pasado ya no es lo suficientemente bueno. Hablemos de por qué …

Necesitas contraseñas más seguras

Hubo un tiempo en el que podía salirse con la suya usando una contraseña simple en todo. El nombre de su perro, el cumpleaños de su hijo, algo tan simple como eso solía funcionar. Pero los delincuentes en línea de hoy han mejorado su juego. Hoy en día, los piratas informáticos que quieren entrar en sus cuentas:

  • Tienen computadoras mucho más potentes y conexiones a Internet más rápidas que antes. Esto les permite atacar sus cuentas mucho más rápido y con más fuerza que en el pasado (consulte Ataques de fuerza bruta ).
  • Son mucho más inteligentes sobre los tipos de contraseñas que usa la gente. Es fácil encontrar diccionarios de las contraseñas más comunes que la gente usa (ver Ataques de diccionario ).
  • Tienen mucha más información con la que trabajar. Hoy en día, puedes comprar grandes cantidades de información sobre personas en la Dark Web. Existe una buena posibilidad de que el pirata informático que intenta ingresar a su cuenta bancaria en este momento ya sepa el nombre de su perro. Y el cumpleaños de tu hijo. Y el número de placa de su primer automóvil. Y cualquier otra información similar sobre usted que de alguna manera pudiera haber llegado a una computadora.

En otras palabras, a menos que ya esté usando contraseñas seguras, las contraseñas que está usando no lo protegerán.

¿Se pregunta cómo es una contraseña segura? Te lo contaré en la siguiente sección.

No debes confiar en tu memoria para las contraseñas

La razón por la que no debe confiar en su memoria es porque necesita usar contraseñas seguras. Si bien la especificación exacta de una contraseña segura varía según la fuente que verifique y cuánto tiempo hace que la especificaron, para estar seguro en el mundo actual, defino una contraseña segura como:

“Una contraseña que contenga al menos 16 caracteres aleatorios. Debe incluir letras, números, puntuación y caracteres especiales «.

A continuación, se muestran algunos ejemplos aleatorios de contraseñas seguras, de menos de 20 caracteres:

  • _hS6PW8arsgH! WP7t & 2
  • aM! 269-9tThyEU ^ u> sd
  • 7p4N * vMgMP_KGupA * 8R

Existen técnicas que te permitirían memorizar contraseñas como estas, aunque no es fácil de hacer.

Los expertos en seguridad han demostrado que necesita una contraseña diferente para cada cuenta importante (explicaré por qué en un minuto). Ahora queda claro que la memorización simplemente no es una opción para contraseñas numerosas, sólidas y únicas.

Por qué necesita una contraseña única y segura para cada cuenta importante

Usar una contraseña segura para todo es una mala idea. Hacerlo facilita las cosas a las personas que desean acceder a todas sus cuentas. Los sitios web y las empresas son pirateados todo el tiempo.

Cada año se roban miles de millones de registros que contienen todo tipo de información sobre las víctimas. Muchos de esos registros contienen contraseñas sin cifrar. A muchas personas les roban las contraseñas de las cuentas, no por su propia negligencia, sino por una violación de datos, y esto se está volviendo cada vez más común.

Ahora, si usó la misma contraseña para todas sus cuentas, y un pirata informático obtiene esta contraseña en una violación de datos (o se la compra a otra persona), básicamente tienen una clave maestra para acceder a sus cuentas.

Así que sea inteligente y use una contraseña única y segura para cada cuenta importante. Esto es muy fácil de hacer con un buen administrador de contraseñas.

Por qué no debería almacenar contraseñas en su navegador

La mayoría de los navegadores web ofrecen almacenar sus contraseñas por usted. Esta puede parecer una forma ideal de realizar un seguimiento de sus contraseñas, pero en realidad es una mala idea. Aquí hay algunas razones de por qué:

  • La seguridad de la contraseña en los navegadores no es tan buena, incluso si está utilizando un navegador seguro . Por lo general, estas contraseñas se almacenan en texto sin formato. También hay herramientas disponibles en línea que pueden dar acceso a los piratas informáticos a su computadora (ya sea físicamente o esquemas de acceso remoto) y ver / robar contraseñas almacenadas en el navegador.
  • Su navegador solo registrará el nombre de usuario y la contraseña que ingrese en una página web. No te ayudará a generar una contraseña, ni te dirá si la contraseña es segura, ni te recordará que ya usaste esta misma contraseña en otras 10 páginas.

A continuación, le indicamos cómo evitar que su navegador guarde contraseñas:

  • Chrome : haz clic en Configuración . En la sección Autocompletar de la ventana que aparece, haga clic en Contraseñas . Desactive la oferta para guardar las contraseñas y las opciones de inicio de sesión automático . Si tiene entradas en la sección Contraseñas guardadas de esta página, elimínelas.
  • Firefox : haz clic en Preferencias . En el menú del lado izquierdo de la ventana del navegador, seleccione Privacidad y seguridad . Desactive la opción Preguntar para guardar inicios de sesión y contraseñas para sitios web . Haga clic en el botón Inicios de sesión guardados . En el cuadro de diálogo que aparece, haga clic en el botón Eliminar todo .
  • Valiente : haz clic en Configuración . En la página que aparece, seleccione Configuración adicional . En el menú que aparece, seleccione Privacidad y seguridad . En la sección Autocompletar, haga clic en Contraseñas . Desactive la oferta para guardar las contraseñas y las opciones de inicio de sesión automático . Si tiene entradas en la sección Contraseñas guardadas de esta página, elimínelas.

Cómo funcionan los administradores de contraseñas

En su forma más básica, los administradores de contraseñas toman la forma de un complemento de navegador, una extensión o una aplicación dedicada en su sistema operativo. Cada vez que ingresa un nombre de usuario y contraseña, ofrecen registrar esa información, junto con la página en la que los ingresó. A partir de ese momento, cada vez que visite esa página web, el administrador de contraseñas le ofrecerá completar el nombre de usuario y la contraseña.

Cualquier buen administrador de contraseñas almacenará esta información de forma segura en un archivo cifrado, utilizando un cifrado sólido que no es vulnerable a los tipos de ataques que sufren los navegadores. Más allá de esto, hay una variedad de hazañas adicionales que su administrador de contraseñas podría realizar por usted. Estas son las características / características principales que debe buscar en cualquier administrador de contraseñas.

Facilidad de uso

Si su administrador de contraseñas no es fácil de usar, no lo va a usar. Estas son algunas características clave de usabilidad que debe buscar:

1. Captura automática

La captura automática es la capacidad de un administrador de contraseñas para registrar la información de inicio de sesión que ingresa en una página. La mayoría de los administradores de contraseñas pueden hacer esto, ya que la mayoría de las páginas de inicio de sesión están diseñadas con campos de Nombre de usuario y Contraseña que el administrador puede reconocer.

Pero algunas páginas utilizan campos de entrada de datos no estándar o dificultan que un administrador de contraseñas registre los datos correctamente. Por ejemplo, uno de mis bancos hace algo extraño que provoca que los administradores de contraseñas no registren correctamente mi contraseña. Una vez que un gerente completa el formulario de inicio de sesión, necesito editar manualmente el campo Contraseña con los datos correctos.

Una vez que se captura la información, la aplicación debería poder completar automáticamente la información la próxima vez que visite esa página.

2. Autocompletar

Autocompletar es la capacidad de completar la información del usuario en una pantalla de inicio de sesión u otra página de tipo de seguridad. Si tiene más de una cuenta de usuario asociada con la página, en lugar de Autocompletar la página, el administrador de contraseñas debería darle alguna forma de elegir qué cuenta de usuario desea que use al completar los datos.

3. Inicio de sesión automático

Esta es la capacidad de ingresar información del usuario e iniciar sesión en un sitio automáticamente. Al igual que con Autocompletar, el inicio de sesión automático debería brindarle alguna forma de seleccionar entre cuentas de usuario cuando hay más de una asociada con una página en particular.

4. Generación de contraseñas

Si bien el objetivo de un administrador de contraseñas es recordar las contraseñas seguras que crea para uso en línea, los seres humanos generalmente no son buenos para generar contraseñas seguras. Eso significa que para la mejor seguridad, necesita alguna forma de crear contraseñas realmente seguras.

Hay sitios en línea que pueden ayudarlo a hacer esto (consulte: Cómo crear una contraseña realmente segura), pero su generador de contraseñas también puede ayudar. En la imagen de abajo, estoy usando Bitwarden para generar una contraseña única y segura que incluye caracteres, números y letras mayúsculas y minúsculas.

Pero también puedes crear el tuyo propio.

Cómo crear una contraseña realmente segura

Crear una contraseña realmente segura no es difícil.

Una de las técnicas más recomendadas es utilizar una frase de contraseña en lugar de una contraseña. Una frase de contraseña es una cadena larga de palabras aleatorias, en lugar de una cadena larga de caracteres aleatorios. Por ejemplo, como este: cartera poseída confía en algunos

Opcionalmente, puede eliminar los espacios entre las palabras, agregar números o caracteres especiales, etc. Debido a que se componen de palabras aleatorias en lugar de caracteres aleatorios, puede memorizar una frase de contraseña larga mucho más fácilmente que una contraseña de longitud equivalente.

Podría parecer que el uso de frases de contraseña eliminaría la necesidad de utilizar un administrador de contraseñas. Pero la situación es similar a la de las contraseñas. Memorizar una contraseña segura es factible. Memorizar las 5, 10, 20 o más frases de contraseña seguras que necesitará es un proyecto completamente diferente. Dejar que un administrador de contraseñas cree y administre contraseñas seguras por usted es mucho más fácil.

Pero no descarte las contraseñas por completo. Como verá en breve, hay un lugar donde usar una frase de contraseña es una elección perfecta.

Tiene mucho más sentido permitir que su administrador de contraseñas cree contraseñas seguras para usted. Ya tendrá que confiar en el administrador, y hacerlo de esta manera significa que la contraseña se genera en su dispositivo y no tiene que ser enviada a usted a través de Internet.

Dejar que su administrador de contraseñas genere contraseñas seguras para usted directamente en su dispositivo es la forma más segura de hacerlo.

Importar contraseñas desde su navegador

Si bien no es una gran idea, almacenar las contraseñas de los sitios en su navegador es mejor que nada. Pero ahora que va a comenzar a usar un administrador de contraseñas, necesitará una forma de mover todas esas contraseñas de su navegador al administrador. Eso podría ser un verdadero dolor de cabeza si tuviera que hacerlo manualmente.

Ayuda si elige un administrador de contraseñas que pueda importar contraseñas desde su navegador. Es posible que deba realizar un trabajo de limpieza una vez que importe las contraseñas (eliminar las cuentas que ya no usa o dar a las cuentas contraseñas más seguras). Independientemente, sus datos estarán más seguros si los importa desde el navegador a su administrador de contraseñas, luego borra todas las contraseñas guardadas del navegador.

Seguridad y privacidad con administradores de contraseñas

Definitivamente, usar un administrador de contraseñas es el camino a seguir. Por supuesto, con todas sus contraseñas y otros datos almacenados en él, es mejor que se asegure de que su administrador de contraseñas sea seguro y privado. Si bien es imposible garantizar que cualquier software sea 100% seguro y privado, aquí hay algunas características que debe buscar.

1. Acceso seguro al administrador de contraseñas

Se le debe solicitar que inicie sesión en su administrador de contraseñas antes de poder usarlo. Eso es un hecho. Y teniendo en cuenta que todos sus secretos (o al menos sus contraseñas) serán accesibles para cualquiera que pueda iniciar sesión en su administrador de contraseñas, querrá utilizar una contraseña realmente segura.

Consejo: cree una frase de contraseña larga para iniciar sesión en su administrador de contraseñas y obtener protección adicional.

2. Autenticación de dos factores

La autenticación de dos factores (2FA) puede ser una buena característica para algunos usuarios. Y para los nuevos en el término, aquí hay una definición rápida :

La autenticación de dos factores (2FA) es una segunda capa de seguridad para proteger una cuenta o un sistema. Los usuarios deben pasar por dos capas de seguridad antes de que se les otorgue acceso a una cuenta o sistema. 2FA aumenta la seguridad de las cuentas en línea al requerir dos tipos de información del usuario, como una contraseña o PIN, una cuenta de correo electrónico, una tarjeta de cajero automático o huella digital, antes de que el usuario pueda iniciar sesión. El primer factor es la contraseña; el segundo factor es el elemento adicional.

Como vio, hay varias cosas que se pueden utilizar para proporcionar el segundo factor. En general, los segundos factores más fuertes son los dispositivos físicos como las llaves de seguridad YubiKeys o FIDO U2F. Si bien tener que conectar un dispositivo físico a su teléfono inteligente o computadora portátil para acceder a sus contraseñas es una molestia, obliga a alguien que quiera robar sus datos a tener físicamente en sus manos esa clave de seguridad para hacerlo. Si bien esto es más seguro que usar un número de teléfono o una dirección de correo electrónico como segundo factor, puede crear problemas si pierde el acceso al dispositivo físico (se rompe, se pierde, etc. y no se realiza una copia de seguridad adecuada).

3. Cifrado fuerte

Su administrador de contraseñas eventualmente almacenará una gran cantidad de información personal importante en una base de datos que reside en su dispositivo, en la nube, o más probablemente, en ambos lugares. Eso significa que debe utilizar un cifrado seguro de extremo a extremo.

Aquí hay un ejemplo con Bitwarden:

Bitwarden utiliza cifrado AES de 256 bits y PBKDF2 para proteger sus datos.

AES es un estándar en criptografía y es utilizado por el gobierno de EE. UU. Y otras agencias gubernamentales de todo el mundo para proteger datos ultrasecretos. Con una implementación adecuada y una clave de cifrado segura (su contraseña maestra), AES se considera irrompible.

PBKDF2 SHA-256 se utiliza para derivar la clave de cifrado de su contraseña maestra. A continuación, se sala y se mezcla esta clave. El recuento de iteraciones predeterminado utilizado con PBKDF2 es 100.001 iteraciones en el cliente (este recuento de iteraciones del lado del cliente se puede configurar desde la configuración de su cuenta), y luego 100.000 iteraciones adicionales cuando se almacenan en nuestros servidores (para un total de 200.001 iteraciones por defecto).

Verifique que su administrador de contraseñas esté utilizando estándares de encriptación sólidos.

4. Código fuente abierto

El código fuente abierto es un código que puede ser visto y utilizado por cualquier persona. La ventaja del código fuente abierto es que la gente puede examinar el código y lo hace, buscando puertas traseras ocultas u otros problemas que podrían comprometer la seguridad del producto (el administrador de contraseñas en este caso).

Si bien el código abierto no significa necesariamente seguro, se considera que es más seguro que el software propietario, donde los forasteros no pueden ver lo que sucede detrás de escena.

5. Auditorías de seguridad

Ver toda la seguridad y el cifrado que un desarrollador de software pone en su administrador de contraseñas es reconfortante. Pero para saber realmente si un administrador de contraseñas es seguro, querrá ver una auditoría de seguridad de ese producto.

Una auditoría de seguridad implica que una empresa externa haga cosas como intentar piratear un producto, auditar el código fuente en busca de problemas y analizar cómo se utilizan los protocolos de cifrado en el producto.

Si una empresa realiza auditorías de seguridad periódicas de su administrador de contraseñas, probablemente será más seguro que un producto que no se esté probando constantemente de esta manera. Aquí hay una auditoría de seguridad de Bitwarden, por ejemplo.

6. Historial de problemas de seguridad o privacidad

Una cosa más para verificar es si un administrador de contraseñas tiene un historial de problemas de seguridad o privacidad. Si bien prácticamente ningún software es inmune a los ataques, es posible que desee considerar los problemas anteriores. Por ejemplo, un informe reciente encontró una vulnerabilidad que afectó a varios administradores de contraseñas importantes (1Password, Dashlane, KeePass y LastPass), lo que podría dejar su contraseña maestra expuesta en texto sin cifrar en la memoria de la computadora.

Si bien, en determinadas circunstancias, este tipo de problema podría dar a un pirata informático acceso completo a todos los datos almacenados en su administrador de contraseñas, usar un administrador de contraseñas sigue siendo un enfoque más seguro que almacenar sus contraseñas en su navegador o usar contraseñas inseguras.

Plataformas y navegadores compatibles

Un administrador de contraseñas es de poca utilidad si no puede usarlo en todos sus dispositivos (móviles, computadoras de escritorio, tabletas, etc.). Cuando busque un administrador de contraseñas, asegúrese de que sea compatible con todos los dispositivos, sistemas operativos y navegadores web que utiliza.

Los mejores administradores de contraseñas generalmente ofrecen:

  • Aplicaciones de escritorio nativas para Windows, Mac OS y Linux
  • Aplicaciones móviles para Android e iOS
  • Extensiones de navegador web (para los navegadores más populares)
Bitwarden es compatible con estos navegadores.

Precios (gratis vs pagado)

Como ocurre con la mayoría de las cosas, el precio importa. Querrá elegir uno que tenga un precio para poder usarlo donde lo necesite sin arruinarse. Más allá de eso, probablemente querrá elegir uno que ofrezca una versión gratuita o de prueba.

Dado que estará interactuando con su nuevo administrador de contraseñas constantemente, tiene sentido probarlo antes de hacer un compromiso permanente. Si es posible, pruebe una versión gratuita o de prueba de cualquier administrador de contraseñas que le interese.

Funciones adicionales que puede desear con su administrador de contraseñas

Más allá de sus características principales, los administradores de contraseñas intentan destacarse entre la multitud agregando características adicionales. Este es un lugar para tener cuidado, porque algunos productos ofrecen versiones gratuitas o de bajo precio con todas las características básicas y versiones premium con características interesantes que quizás nunca use.

Aquí hay varias características adicionales que quizás desee buscar. Dado que solo usted puede conocer su importancia relativa para su situación particular, los he enumerado en orden alfabético:

1. Relleno de la contraseña de la aplicación

Si bien la mayoría de los administradores de contraseñas solo ingresan contraseñas y otra información del usuario en las páginas web, algunos de ellos van un paso más allá. Estos productos pueden ingresar sus datos de inicio de sesión en una aplicación que se ejecuta en su dispositivo. Por ejemplo, si bien la mayoría de los administradores de contraseñas pueden ingresar sus datos de usuario en, digamos, la página de inicio de sesión de Gmail, algunos pueden ingresar sus credenciales en aplicaciones de escritorio , como GoToMeeting, o en su juego favorito.

2. Funcionalidad de la aplicación Authenticator

Aquí hay un giro en 2FA. Algunos administradores de contraseñas, una vez que haya iniciado sesión en ellos, pueden funcionar como el segundo factor en la 2FA de otros productos. No estoy seguro de cuán práctico sería esto en el uso regular, especialmente si ya está utilizando una clave física 2FA en este dispositivo.

3. Soporte de legado digital

¿Qué sucede si muere y tiene información importante almacenada en su administrador de contraseñas? ¿Cómo tendrían acceso sus herederos a esta información? Resulta que muchos de los administradores de contraseñas de la generación actual tienen algún tipo de características heredadas digitales integradas para facilitar a sus herederos el acceso a sus cosas.

4. Facilidad para cambiar de un administrador de contraseñas diferente

Es posible que algún día desee cambiar de administrador de contraseñas. Si esto le parece una buena posibilidad, es posible que desee investigar si su administrador de contraseñas puede exportar datos en una forma que otros administradores de contraseñas puedan importar.

Mira la opción de exportación en tu administrador de contraseñas. Cuantos más formatos de archivo pueda utilizar para exportar datos, mejor.

5. Almacenamiento de archivos cifrados

Muchos administradores de contraseñas han agregado alguna forma de almacenamiento de archivos cifrados a su producto. Esto le permite almacenar documentos completos en la base de datos del administrador, no solo las credenciales de usuario. En algunos casos, esta función está integrada en el producto, mientras que en otros es un complemento opcional.

6. Análisis y actualización de la seguridad de la contraseña

Poder generar contraseñas sólidas y seguras es genial. Pero una vez que cambie a un nuevo administrador de contraseñas, es probable que descubra que tiene muchas contraseñas no tan seguras ni tan seguras mezcladas con las buenas.

Bitwarden tiene una característica interesante que comparará su contraseña con una base de datos de contraseñas expuestas por violaciones de datos. Se le avisará si está utilizando una de estas contraseñas:

Algunos productos pueden analizar la fuerza de todas las contraseñas en la base de datos y generar automáticamente mejores contraseñas para ellas. Algunos incluso te ayudarán con el proceso de actualización.

7. Acceso compartido

En general, no es una buena idea compartir su administrador de contraseñas con nadie. Sin embargo, hay situaciones en las que es posible que desee compartir el acceso a una parte o la totalidad de su base de datos de contraseñas, como en un entorno empresarial o de equipo.

Algunos administradores de contraseñas ofrecen una capacidad estructurada para hacer esto (en lugar de simplemente decirle a alguien su contraseña maestra). Puede encontrar de todo, desde planes familiares con un número limitado de usuarios, hasta planes corporativos con mucha flexibilidad y un panel para compartir que le permite controlar el acceso de todos de manera fácil y eficiente.

8. Modo de viaje

Como viajero internacional, me resulta complicado administrar las contraseñas de los dispositivos con los que viajo. No quiero que un guardia de fronteras tenga acceso a todas mis contraseñas, pero obtener las contraseñas que quiero a salvo de esto de mis dispositivos de viaje (y volver a activarlas más tarde) es un verdadero dolor de cabeza.

Algunos productos tienen un modo de viaje, que le permite designar qué contraseñas permanecen en sus dispositivos cuando viaja, y cuáles deben eliminarse automáticamente antes del viaje y restaurarse después.

Aprovechar el modo de viaje requiere cierta configuración, pero si viaja mucho, esto podría convertirse en una opción que ahorra tiempo real y mejora la privacidad.

9. Relleno de formularios web

Muchos administradores de contraseñas van un paso más allá de completar su nombre de usuario y contraseña para completar formularios web completos. Es posible que puedan ingresar automáticamente su dirección postal, número de teléfono, número de tarjeta de crédito, etc. en el campo correspondiente de un formulario.

Si bien el método más seguro para ingresar este tipo de información es hacerlo a mano siempre que sea necesario, esto puede ser lento y propenso a errores.

Muchos sitios y servicios ofrecen almacenar los datos que necesitan en su propia base de datos y rellenar previamente los campos por usted. Sin duda, esa es la forma más rápida y sencilla de hacerlo. Pero cuando observa la cantidad de registros de datos personales que son robados, filtrados o expuestos cada año ( miles de millones de dichos registros cada año ), queda claro que esta no es una gran idea.

El mejor equilibrio entre velocidad, precisión, conveniencia y seguridad podría ser ingresar todos estos datos en su administrador de contraseñas y dejar que complete los formularios web por usted.

¿Cuáles son los mejores administradores de contraseñas?

En lugar de intentar responder esta pregunta en este artículo, simplemente lo referiremos a nuestra guía detallada sobre este tema: Mejores administradores de contraseñas .

Nuestras principales recomendaciones son las siguientes:

  1. NordPass
  2. Bitwarden
  3. 1 contraseña

Conclusión

Esto concluye la guía del administrador de contraseñas de restauración de privacidad. Haremos todo lo posible para mantener esta guía actualizada con información nueva y relevante, junto con los mejores administradores de contraseñas mientras revisamos todas las opciones.

Un administrador de contraseñas es una de las muchas herramientas de privacidad críticas que debería utilizar en la era digital, pero no lo es todo. También es importante un navegador seguro para bloquear el seguimiento y un buen servicio VPN para ocultar su dirección IP y ubicación.

Sean cuales sean sus necesidades de administración de contraseñas, existe un administrador de contraseñas para hacer el trabajo.

Deja un comentario