Qué es un gestor de contraseñas, para qué sirve y cómo se usa
El avance de la informática y sobre todo de Internet ha provocado que el número de contraseñas utilizadas por los usuarios haya ido en aumento, y aunque muchos todavía recurren a usar la misma para todo, lo suyo es usar una diferente por cada sitio web en la que nos registramos. Sin embargo, esto presenta un problema, ¿cómo gestionar una gran cantidad de contraseñas diferentes? Para eso están los gestores de contraseñas, para facilitar la vida a esos usuarios que manejan muchas contraseñas para distintos servicios y sitios web.
¿Qué es un gestor de contraseñas?
Básicamente se trata de una aplicación para almacenar contraseñas en una base de datos cifrada, protegida con una contraseña maestra. Su mayor ventaja es que ahorra tiempo a la hora de gestionar contraseñas, aparte de ofrecer funciones dedicadas con las que elevar el nivel de seguridad. Por ejemplo, algunos gestores de contraseñas pueden generar contraseñas fuertes, esto quiere decir que estas pueden ser largas, incluir caracteres extraños (en caso de que el sitio web las acepte) e intentan construir palabras carentes de sentido, además de establecer una contraseña única para cada sitio. Con esto el usuario se evita emplear patrones que pueden volver sus contraseñas predecibles, o bien el utilizar una misma contraseña para todo.
Características de un buen gestor de contraseñas
- Acceso online y offline: Existen dos tipos de gestores de contraseñas, los que trabajan de forma offline y los online, que ofrecen sincronización entre distintos dispositivos y sistemas operativos. Los gestores de contraseña offline almacenan las contraseñas localmente en un ordenador o incluso en una unidad USB, mientras que los gestores online tienen cierto riesgo debido a que almacenan en la nube, aunque siempre lo hacen de forma cifrada. A día de hoy la gente tiende a utilizar distintos dispositivos con distintos sistemas operativos, destacando Windows, Android, iOS y OS X, así que posiblemente un servicio con sincronización en la nube sea más cómodo, aunque entrañe ciertos riesgos.
- Autenticación en dos pasos: La autenticación en dos pasos se ha hecho un hueco importante en los últimos años con la intención de incrementar la seguridad del usuario. Si nos referimos a un servicio que almacena tus contraseñas, lo suyo sería buscar uno que tenga esta característica para incrementar la seguridad, que añade además de la contraseña estándar un segundo paso que suele ser un código enviado al móvil.
- La integración con los navegadores es crítica para minimizar la interacción con las contraseñas y automatizar el acceso a los distintos sitios web.
- Captura automática de la contraseña: Esta característica está directamente relacionada con la anterior. Cuando el usuario va a introducir una nueva contraseña, el gestor detecta el proceso y pregunta si el usuario quiere guardarla en la base de datos. Algunos gestores también son capaces de detectar la actualización de una contraseña.
- Alertas automáticas de seguridad: Cada año tenemos más servicios y sitios web cuya seguridad se ha visto comprometida, destacando el reciente ataque hacker contra el sitio web de Linux Mint. En los ataques, muchas veces los datos sensibles del usuario quedan comprometidos, incluyendo la contraseña. Algunos servicios avisan de forma automática al usuario cuando algún servicio o sitio web es atacado.
- Que sea una aplicación portable y/o con soporte para móviles: Lo ideal sería que el gestor de contraseñas fuese una aplicación portable, dicho de otra manera, que se pueda llevar en un pendrive y no requiera de instalación. Otra opción deseable sería que tuviese una versión para móviles y tablets para poder gestionar las contraseñas desde cualquier lugar en caso de ser un servicio que almacene en la nube.
- Auditorías de seguridad: Algunos gestores de contraseñas permiten realizar auditorías de seguridad sobre la propia base de datos de contraseñas. Esta característica escaneará la base de datos e indiciará cuando el usuario está usando contraseñas débiles, la misma contraseña entre distintos servicios, entre otros problemas.
- Contraseñas de un solo uso: Un sistema de contraseñas de usar y tirar permite designar una o más contraseñas para ser de un solo uso. De esta manera el usuario puede acceder a su gestor de contraseñas una vez, incluso si el sistema utilizado está comprometido, debido a que la contraseña no va a servir para otra ocasión.
- Compartir contraseñas: Algunos gestores de contraseñas incluyen una forma segura para compartir contraseñas con un amigo, ya sea dentro o fuera del marco de trabajo del gestor de contraseñas.
Tres gestores de contraseñas que merece la pena probar
En este apartado vamos a mencionar algunos de los gestores de constraseñas más populares y explicaremos sus funciones más básicas para que el usuario pueda elegir el que mejor le convenga.
LastPass es posiblemente el gestor de contraseñas más conocido y utilizado. Se trata de un servicio bien presentado, con una interfaz moderna, ofrece sincronización en la nube, auditoría de seguridad y es totalmente multiplataforma, funcionando sobre Windows, Mac OS X, Linux, Android, iOS, Windows Phone e incluso en el descontinuado para móviles Firefox OS.
El secreto viene sobre todo porque se trata de una extensión para navegadores web, aunque esto no quiere decir que no haya aplicaciones para Windows, OS X y Linux, que básicamente se encargan de instalar las extensiones para los distintos navegadores.
A pesar de ser un servicio en la nube, permite tener acceso offline a las contraseñas por si acaso no se tiene acceso a Internet.
Actualmente LastPass se ofrece de forma gratuita para sincronizar entre dispositivos del mismo tipo. Dicho de otra manera, si el usuario crea su cuenta sobre un móvil y empieza a usar LastPass sobre móviles, solo podrá sincronizar con dispositivos móviles (iOS, Android, Windows Phone…). En cambio, si lo hace desde un sistema operativo de escritorio, podrá sincronizar entre Windows, OS X y Linux. Aquí está el negocio de LastPass, ya que para sincronizar dispositivos de distinto tipo requiere de un pago de 12 dólares anuales y adquirir una cuenta premium.
LastPass permite gestionar las contraseñas de forma bastante sencilla, dando la opción de introducir la constraseña desde el gestor e indicando el sitio web, siendo similar al gestor de contraseñas del propio navegador web.
Para usar una contraseña solo hay que pulsar sobre el icono de la extensión del navegador y seleccionar la que corresponda.
Evidentemente, un gestor de contraseñas no sería seguro si no tuviese un mecanismo para generar contraseñas automáticamente, el cual es también muy sencillo de utilizar.
KeePass
KeePass es un gestor de contraseñas Open Source certificado por la Open Source Initiative, organización encargada de promocionar el código abierto. Al tratarse de un proyecto totalmente Open Souce y software libre (debido a que está publicado bajo GPLv2), existe una gran cantidad de reimplementaciones de este gestor para muchas plataformas diferentes, incluyendo dispositivos móviles como iOS, Android y BlackBerry. También existe una extensión para Chrome, CKP, creado con las miras puestas en los Chromebooks. Es conocido sobre todo entre los usuarios de Linux.
Al contrario de LastPass, KeePass no ofrece sincronización en la nube, por lo que se adapta muy bien a aquellas personas escépticas a usar Internet como medio de almacenamiento. También se trata de unas de las soluciones más populares en este segmento, aunque quizá no se muestra tan sencillo de utilizar como LastPass, necesitando de software extra para sacarle partido a través de los navegadores.
En caso de instalarlo para Windows, es recomendable activar las actualizaciones automáticas para así evitar problemas relacionados con agujeros de seguridad.
Luego la forma de proceder no es muy diferente con respecto a LastPass, aunque la interfaz de KeePass es bastante más rudimentaria, como si se trata de una aplicación de principios del 2000.
Para poder gestionar contraseñas a través de los navegadores web, KeePass requiere de extensiones que lo conecten al gestor que está funcionando en el ordenador, ya sea instalado o a través de la versión portable del mismo.
Además cada extensión tiene que superar un proceso de confirmación, algo que pude comprobar con la instalación de KeeFox, la instalación que integra Firefox con KeePass.
KeePass también permite guardar las contraseñas a través del propio gestor, indicando el usuario y el sitio web, además de la propia contraseña.
Si queremos registrarnos en un sitio web, también se ofrece la posibilidad de poder generar contraseñas aleatorias que son posteriormente guardadas. Para ello solo hay que dirigirse a la opción correspondiente dentro en la extensión para el navegador.
El complemento para navegadores también es capaz de rellenar automáticamente los campos de un sitio web cuando el usuario tiene una contraseña registrada en esta.
Dashlane
Dashlane es un gestor de contraseñas que maneja un concepto similar al de LastPass. Resulta sencillo de usar, con opciones realmente intuitivas y con sincronización en la nube, aunque abarcando menos sistemas operativos que el anterior, ya que Dashlane solo cubre los sistemas mayoritarios: Windows, OS X, Android e iOS.
Sin embargo, este servicio presenta un gran inconveniente en comparación con LastPass, y es que el coste de su cuenta premium es mucho mayor, de 40€ anuales frente a los 12 de LastPass, y una de las características que solo se puede obtener a través de una cuenta premium es la sincronización online, por lo que muchos se lo pensarán dos veces antes de elegir este gestor de contraseñas.
Pero a cambio del pago Dashlane ofrece un potente gestor de contraseñas que puede funcionar de forma plena tanto en offline como en online (evidentemente, estando desconectado de Internet no se puede sincronizar en la nube), aunando las virtudes de LastPass y KeePass.
Dashlane está fuertemente centrado en ser usado a través de navegadores, por lo que ofrece un soporte total a la hora de gestionar contraseñas para los distintos sitios web en los que el usurario está registrado.
Sin duda el gran atractivo de este gestor de contraseñas es su limpio y sencillo panel, que necesita solo de un golpe de vista para poder ir intuyendo las distintas opciones que incorpora.
Conclusión
¿Todavía no usas un gestor de contraseñas? Quizá después de leer este especial empieces a pensar que a lo mejor necesitas usar uno, y es que hoy en día la gran cantidad de contraseñas que solemos utilizar hace que la gestión manual de estas sea muy complicada, necesitando alguna herramienta para automatizar dicha gestión.
Además los gestores de contraseñas ofrecen una mejor protección al usuario gracias a las herramientas de auditoría y la posibilidad de generar una contraseña distinta por cada sitio web, sin tener que emplear patrones que suelen ser pan comido para los ciberdelincuentes.