¿Cómo proteger las contraseñas?
¿Qué hacemos en este caso? La solución más sencilla es utilizar el mismo nombre de usuario y contraseña para varios sitios web. Un nombre de usuario suele ser una variación de un nombre personal o apodo con números añadidos, mayúsculas aleatorias y similares. Aunque se nos advierte en cada paso que las contraseñas deben ser largas, complejas y diferentes en cada sitio web, todavía utilizamos con demasiada frecuencia contraseñas simples, como contraseña, contraseña12!, contraseña1 y similares. Cualquier atacante un poco más experimentado podrá forzar sus contraseñas por fuerza bruta, pero para entonces ya será demasiado tarde.
Incluso en los teléfonos, la mayoría de la gente utiliza códigos PIN simples (123456, 2222, 0000...) y patrones (deslizar hacia la derecha y hacia abajo...). El desbloqueo biométrico, disponible en casi todos los teléfonos más nuevos, ni siquiera aparece en la lista de posibles soluciones en manos de un usuario inexperto. Sin mencionar la posibilidad de que el código PIN sea el mismo que se utiliza para acceder a la banca móvil o a los servicios comerciales.
Nos hemos vuelto complacientes. Dependemos de las empresas para mantener nuestros datos seguros, aunque hay muchas cosas que podemos hacer nosotros mismos. No recordarás más de cien contraseñas a menos que tengas memoria fotográfica. Tampoco los anotarás en un papel.
Una solución son los administradores de contraseñas dedicados.
Algunos de vosotros ya estáis utilizando gestores de contraseñas en los navegadores Chrome, Firefox, Safari... Con ellos podéis crear contraseñas complejas, almacenarlas en una "bóveda" y dejar que el navegador las rellene automáticamente cuando sea necesario.
¿Es seguro el administrador de contraseñas de Google?
El administrador de contraseñas de Google es una solución mucho más segura en comparación con el uso de las mismas contraseñas una y otra vez, pero aún así no es la mejor. El gestor de contraseñas de Google no es de código abierto, por lo que no podemos saber exactamente cómo funciona, cómo almacena las contraseñas, etc. De lo contrario, incluso la etiqueta "código abierto" no significa necesariamente que sea una solución segura. Pero existe al menos la posibilidad de que el código fuente pueda ser revisado por expertos independientes.
Lo que sí sabemos es que Google no utiliza un enfoque de cifrado de conocimiento cero, lo que significa que Google sabe todo sobre los datos que usted almacena en sus servidores. Existe una opción para habilitar el cifrado local de contraseñas antes de que se guarden en su cuenta de Google. No tenemos datos de cuántos usuarios lo tienen activado, pero podemos suponer que no es la mayoría. Tampoco existe la opción de establecer una contraseña maestra para acceder al administrador de contraseñas. Además de la transparencia, la desventaja es que no funciona fuera del navegador Chrome.
Entonces, ¿deberías usarlo? Aunque no es el mejor y no ofrece todas las funciones que ofrecen otros administradores de contraseñas, sigue siendo seguro y, sobre todo, conveniente.
¿Cómo almacena Apple las contraseñas?
Al igual que la solución de Google, la de Apple también es muy conveniente para los usuarios, ya que está disponible de forma predeterminada en todos los dispositivos Apple. Con el administrador de contraseñas de iCloud Keychain puedes generar contraseñas aleatorias, almacenarlas, almacenar números de tarjetas de crédito, el administrador completa la información por ti, en resumen, muy similar a lo que hacen todos los demás administradores de contraseñas. Utiliza cifrado AES de 256 bits para el cifrado, las contraseñas se sincronizan con otros dispositivos Apple, la verificación multifactor está disponible y recientemente agregaron la opción de usar "claves de acceso".
Funciona de manera muy similar al gestor de contraseñas de Google y además tiene los mismos inconvenientes: transparencia, incompatibilidad fuera del ecosistema de Apple, faltan funciones más avanzadas…
iCloud Keychain es un administrador de contraseñas seguro y una solución que la mayoría de la gente usará en dispositivos Apple, principalmente por conveniencia.
5 Los usuarios de % a quienes les gusta profundizar en la seguridad prefieren un administrador de contraseñas dedicado. Hay varios de estos y funcionan de manera muy similar, por lo que es difícil determinar cuál es el mejor.
Bitwarden, NordPass, 1Password, RoboForm, KeePass, Keeper... Hay bastantes opciones y las enumeradas se consideran las más populares. No tienes que limitarte a solo uno. Uno es más fácil de administrar, pero no hay otras razones por las que no debas usar dos administradores de contraseñas. La mayoría de estos administradores ofrecen una versión gratuita que será suficiente para la mayoría, pero opcionalmente puedes alquilar una de las versiones pagas para funciones adicionales, como la autenticación multifactor con dispositivos como YubiKey.
Dado que probablemente ya tenga contraseñas almacenadas en un administrador de contraseñas de Google o Apple, primero deberá exportarlas para usar otros administradores de contraseñas.
En Chrome, vaya a Configuración, seleccione Autocompletar y contraseñas y luego Administrador de contraseñas de Google. Luego notarás otra sección de Configuración a la izquierda donde seleccionarás Exportar contraseñas en formato CSV. Si alguna vez lo necesita, estas configuraciones también le permiten activar el cifrado e importar contraseñas desde otros navegadores o administradores de contraseñas.
Usuarios de Apple, la forma más sencilla de exportar contraseñas a iCloud Keychain es en una computadora Mac. Vaya a Preferencias o Configuración del sistema, seleccione Contraseñas en las secciones, lo más probable es que se le solicite que ingrese su contraseña o use Touch ID, luego podrá elegir entre varias opciones para exportar todas las contraseñas. Según nuestro conocimiento, actualmente es imposible exportar contraseñas en iPhones sin utilizar soluciones de terceros, así que asegúrese de tener activada la sincronización de contraseñas en todos los dispositivos Apple.
Luego puede importar fácilmente el archivo CSV exportado al administrador de contraseñas seleccionado.
¿Qué ofrecen los administradores de contraseñas dedicados?
Tomemos como ejemplo a Bitwarden.
Bitwarden es un administrador de contraseñas seguro y de código abierto. Es extremadamente fácil de usar, las funciones son elaboradas, de ahí su popularidad entre los usuarios. Su integridad fue verificada por última vez por expertos externos en 2022. También le permite instalar su servicio en su propio servidor si desea administrar su propia nube.
Su ventaja también es que está disponible en todos los sistemas operativos (Android, iOS, MacOS, Windows y también Linux) en forma de aplicación o interfaz web. Se puede instalar como extensión en casi cualquier navegador y también es compatible con Windows Hello y Touch ID.
Bitwarden admite la autenticación sin contraseña, lo que significa que puede iniciar sesión con un código de un solo uso, verificación biométrica o clave de seguridad. Bitwarden también tiene un excelente soporte para claves de acceso, incluida la capacidad de iniciar sesión en Bitwarden con una clave de acceso, lo que significa que ni siquiera necesita usar un nombre de usuario o contraseña para abrir la bóveda. También hay algunos extras, como una función para compartir archivos de forma segura (Bitwarden Send), una aplicación de autenticación (lamentablemente de pago) y siempre puedes confiar en una comunidad de usuarios extremadamente activa.
¿Qué son las claves de acceso o claves de acceso?
Las claves de acceso son un nuevo tipo de credenciales de inicio de sesión que le permiten iniciar sesión en sitios web y servicios sin tener que ingresar una contraseña. No es necesario que los recuerdes, pero puedes usarlos con dispositivos que ya tienes, como un teléfono inteligente o una computadora portátil. Las claves de acceso se basan en los estándares WebAuthentication o WebAuthn. Ambos utilizan criptografía de clave pública.
Además de piratear sistemas de datos, las claves de acceso no se pueden robar en ataques de phishing. Los ciberdelincuentes suelen utilizar el phishing o la ingeniería social como una forma de obtener acceso al nombre de usuario y la contraseña de un usuario, que luego utilizan para obtener acceso a datos valiosos. La clave de acceso consta de una clave privada y una clave pública. La clave pública permanece en los servidores de la empresa, la clave privada permanece en su dispositivo y no puede ser robada fácilmente.
Cualquiera que sea la solución que elija, o quédese con un administrador de contraseñas de Google o Apple, convierta en una práctica diaria el uso de diferentes contraseñas y nombres de usuario. Tampoco almacena contraseñas en documentos de Word, Google Drive ni nada similar. Las contraseñas deben ser largas y utilizar tanto caracteres como números. Y en ningún caso confíe las contraseñas a otras personas.
Foto de portada: Imagen de starline en Freepik