Contraseñas: guía de buenas prácticas
Con motivo del Día Internacional de la Internet Segura que se celebra hoy, retomamos el consabido asunto de las contraseñas, las buenas prácticas a seguir, herramientas recomendadas y demás para ofrecerte una guía informativa que te ayude a hacer las cosas bien, pero también a comprender por qué hay que hacerlas de una determinada manera, y no de otra.
Y es que hasta que alguna nueva tecnología no reemplace a la actual (hay varias en marcha, de las cuales el estándar WebAuthn es una de las más prometedoras), las contraseñas son una constante crítica de Internet con la que tenemos que lidiar sí o sí. Así que presta atención a lo que sigue, porque te conviene ponerlo en práctica.
Atente a las recomendaciones básicas
Las recomendaciones básicas para tratar con contraseñas no han cambiado apenas en los últimos años y la mayoría de ellas son de puro sentido común: mantener las claves a buen resguardo, no compartirlas, etc. Pero hay dos especialmente delicadas, porque de no cumplir con un tercer requisito, no sirven para nada:
- Usar contraseñas fuertes (largas secuencias de letras, números y símbolos aleatorios).
- No reutilizar la misma contraseña en diferentes sitios.
Y una más que suele costar aplicar con rigurosidad:
- Cambiarlas de manera frecuente, y no solo cuando te encuentras con la noticia de que ese servicio que usas ha sufrido un ataque. Entre otras cosas, porque en el tiempo que transcurre entre que se realiza el ataque, los responsables del servicio lo descubren y lo comunican al público puede pasar de todo.
Por qué es importante seguir estas recomendaciones no merece mucha explicación, pero por si acaso:
- Las contraseñas fuertes son más difíciles de vulnerar mediante ataques de fuerza bruta, y aunque la mayoría de servicios que usas tienen protecciones frente a este tipo de ataques (por lo general, se limita el número de intentos de identificación), más vale prevenir que curar.
- Reutilizar contraseñas multiplica el riesgo exponencialmente, ya que cualquiera que consiguiese acceder con tus credenciales a un sitio, va a probarlas en más.
Asimismo, no olvides el requisito adicional de cambiar las contraseñas de manera frecuente, lo cual no es más que una medida proactiva con la que adelantarte a los acontecimientos, pero no por ello deja de ser recomendable hacerlo.
En resumen: usa contraseñas fuertes, no las reutilices y cámbialas de vez en cuando. Sencillo, ¿no? Lo es, siempre que utilices un gestor de contraseñas.
Usa un gestor de contraseñas
Salvo que utilices métodos más avanzados, en cuyo caso no estarás leyendo esto porque no lo necesitas, solo podrás aplicar los requisitos mencionados con escrupulosidad usando un gestor de contraseñas, piedra angular de todo este asunto de la que no puedes renegar, pues de lo contrario es imposible que hagas las cosas como corresponde.
Por si no te ha quedado claro, te lo repito con otras palabras: tu cabeza no es un gestor de contraseñas. Cuanto antes lo asumas, mejor. Pero no te apures. A pesar de que «gestor de contraseñas» suena a aplicación de usuario avanzado, no lo es. Lo único que tienes que tener en consideración seguirás necesitando recordar una contraseña
Navegadores web
El caso de uso más común en usuarios básicos es el navegador web, por lo que si todas tus contraseñas están ligadas a sitios web y usas un solo navegador, los servicios de sincronización de datos que ofrecen Firefox, Chrome u otros, además de muy cómodos, son muy seguros.
¿No te fías de que tu navegador almacene tus contraseñas? Usa una clave maestra para que las contraseñas sincronizadas se cifren en la propia aplicación, antes de enviarse al servidor. Esta función la tienen los principales navegadores y es confiable dentro de lo que cabe. Sin embargo, es mucho más seguro si solo te identificas en dispositivos personales que estén cifrados.
Preocúpate nada más que de agenciarte un buen generador de contraseñas, que encontrarás fácilmente en la forma de extensión. Con dos honrosas excepciones Chrome y Firefox, que ya lo llevan incorporado. Si usas uno de estos dos navegadores te interesa saber, además, que:
- La gestión de contraseñas en Chrome es un mundo en sí misma, y no ha dejado de mejorar con nuevas funcionalidades.
- La gestión de contraseñas en Firefox se ha revolucionado en las últimas versiones del navegador e incluye su propia aplicación móvil.
Gestores de contraseñas dedicados
Si usas más de un navegador y aplicaciones y servicios que van más allá del propio navegador, un gestor de contraseñas dedicado es la mejor opción, algo de lo que hemos hablado en profundidad en MC por ejemplo en este artículo: Qué es un gestor de contraseñas, para qué sirve y cómo se usa. No obstante, diferencia entre lo que es un gestor de contraseñas en la nube y otro en local.
Los gestores de contraseñas en la nube funcionan de manera similar a los navegadores web, con la ventaja de no estar atados a ninguno de ellos. Lo más común es crear una cuenta en el servicio en cuestión e instalar las extensiones para navegadores web o las aplicaciones móviles. Dos consejos a la hora de elegir una aplicación de este tipo:
- Imprescindible que cuente con cifrado en el lado del cliente, para que solo tú tengas acceso a tus contraseñas.
- Antepón las soluciones basadas en código abierto, pues son más transparentes en relación a su funcionamiento.
Con ambas premisas en mente, mi recomendación actual sería Bitwarden, una suerte de clon libre del popular LastPass que lo pone muy fácil.
Los gestores de contraseñas más seguros, sin embargo, son también los más incómodos de gestionar, los de carácter local: aplicaciones que solo funcionan en tu ordenador y cuya base de dato puedes guardar donde quieras. Una buena opción es KeePassXC, también software libre y disponible para Linux, Mac y Windows.
KeePassXC tiene la ventaja de que su desarrollo es muy activo, además de ofrecer una extensión para navegadores web que simplifica la labor de identificarse rápida, cómoda y seguramente en cualquier sitio web, con el añadido de que el formato de su base de datos es compatible con aplicaciones móviles.
En el móvil, por lo tanto, puedes usar aplicaciones como KeePassDroid o KeePass DX. Ahora bien, ¿entre el móvil y el PC, cómo lo haces? Este es uno de los hándicaps de esta clase de soluciones: tú te encargas de administrar y proteger la base de datos con tus contraseñas, lo que implica buscarse la vida para hacer fácil lo difícil.
En el caso que nos ocupa la dificultad está en hacer accesible el uso y gestión de tus contraseñas sin importar el dispositivo en el que te encuentres, y solo hay dos maneras de hacerlo: a mano o mediante sincronización; y mientras que hacerlo a mano siempre será más seguro, también es bastante más fastidioso y cuanta más dificultad le pongas al proceso, más te costará llevarlo a cabo.
Utilizar algún tipo de sincronización automatizada es la vía más accesible y entendiendo que la base de datos de tu gestor de contraseñas no es más que un único archivo cifrado, en principio no habría problema en sincronizarla utilizando servicios como Dropbox o similares, pero… ¿para eso no es mejor utilizar directamente un gestor de contraseñas en la nube? Lo cierto es que tanto monta.
A modo de extra, he aquí una utilidad que resuelve la cuestión, aportando sincronización cifrada a cal y canto, pero sin pasar por ningún servidor externo: Syncthing, un proyecto de código abierto muy particular al que te recomiendo echar un vistazo.
Acerca de los gestores de contraseñas
Para terminar este apartado, es importante que entiendas varios conceptos básicos acerca de los gestores de contraseñas, y es que aplicar una estrategia acertada, eficaz a la par de accesible, es crucial para evitar el rechazo o la mala utilización de estas herramientas, lo cual es más común de lo que parece(PDF):
- Los gestores de contraseñas harán que te olvides de todas tus contraseñas, excepto de una: la que abre el propio gestor. Con respecto a los más seguros, aquellos que implementan el cifrado en el lado del cliente, es vital no olvidarla o perderla, porque ello supondrá la pérdida del acceso a todas tus contraseñas. ¿Cómo abordar este punto? Ahora sí, tu cabeza puede ser la solución, pero ten en cuenta lo siguiente…
- Los gestores de contraseñas utilizan la clave que les asignes para cifrar la base de datos, por lo que cuanto más fuerte sea, mejor (existen métodos alternativos para potenciar ese cifrado, como la utilización de firmas digitales con GPG, pero añaden capas de dificultad al proceso).
Y por supuesto…:
- En el mundo del software e Internet, no hay nada seguro al cien por cien. Los gestores de contraseñas también son susceptibles de presentar vulnerabilidades, pero aun así su uso es recomendable, tal y como sostienen los expertos. Hagámosles caso.
Consejos adicionales
Siempre se puede añadir algo más en este tema, así que ahí van tres consejos más, más allá de los gestores de contraseñas.
Medidas de seguridad adicionales
Los gestores de contraseñas no son la única medida que debes considerar para mejorar la seguridad de tus credenciales y datos. Tecnologías como la doble autenticación o las llaves de autenticación por hardware son opciones igualmente recomendables para mejorar la protección de tu vida en línea. Aplícalas siempre que puedas. Y cifra el almacenamiento de todos tus dispositivos.
No todas las contraseñas valen lo mismo
Esto lo entiende cualquiera: no vale lo mismo la contraseña de tu correo electrónico o tu banco, que la de un foro de cocina en el que te has apuntado para preguntar algo. Es por ello que no debes tratar de igual forma a todas tus contraseñas, y por lo que adoptar una estrategia de dos niveles, aun complicando un poco el asunto, puede ser una buena idea. Por ejemplo, guardando las credenciales más sensibles aparte.
No todo depende de ti
Decía un poco más arriba que «en el mundo del software e Internet, no hay nada seguro al cien por cien», lo cual incluye todo: puede que apliques una prácticas de seguridad exquisitas y aún así te veas en algún aprieto porque los casos de malas prácticas están a la orden del día, y resulta que tú lo haces todo bien, pero ese servicio o aplicación que usas no. Pero es precisamente por eso por lo que debes poner todo de tu parte para minimizar los riesgos.
Conclusiones
Asumiendo todo lo anterior, que hay que cuidar las contraseñas y que la mejor manera de ponerlo en práctica es utilizando un gestor de contraseñas, entre otras cosas, es decisión de cada uno cómo hacerlo. Las recomendaciones concretas sobre herramientas de este artículo no tienen que ser tomadas al pie de la letra; son solo ejemplos.
Lo complicado no es encontrar las aplicaciones idóneas, sino el equilibrio entre seguridad y accesibilidad que más se ajuste a nuestras exigencias, ya que de lo contrario es fácil desanimarse y, valga la redundancia, tirar por el camino más fácil, que suele no ser el más seguro.
Esta es solo una guía de inicio, no un fin en sí misma, y no abarca todo lo que podría.