Se ha tornado en práctica común la utilización de una sola contraseña para proteger todos los servicios, por lo que al ser detectada, está garantizado que el atacante acceda a todo en los sistemas informáticos a los que se accede.
Si se decidiera utilizar diversas contraseñas para cada uno de los servicios que se utilizan a diario, se tendría a la vista un gran problema: ¿cómo gestionar una gran cantidad de contraseñas diferentes?.
Para facilitar la vida a los usuarios que manejan muchas contraseñas para distintos servicios y sitios web, están los gestores de contraseñas.
Un gestor de contraseñas es una aplicación que almacena contraseñas en una base de datos cifrada, protegida con una contraseña maestra. Su mayor ventaja es que ahorra tiempo a la hora de gestionar contraseñas, aparte de ofrecer funciones con las que se eleva los niveles de seguridad.
Algunos gestores de contraseñas son capaces de generar contraseñas muy sólidas, por su longitud, inclusión de caracteres especiales o simplemente construyen “palabras” carentes de sentido, además de establecer una contraseña única para cada sitio. Con esto el usuario se evita el empleo de patrones que pueden volver sus contraseñas predecibles, o bien el utilizar una misma contraseña para todo.
Un buen gestor debe poseer características que posibiliten al usuario cumplir con los pilares de la seguridad informática: confidencialidad, integridad y disponibilidad, lo que se expresa en que:
- Acceso online y offline: Existen dos tipos de gestores de contraseñas, los que trabajan de forma offline y los online, que ofrecen sincronización entre distintos dispositivos y sistemas operativos. Los gestores de contraseña offline almacenan las contraseñas localmente en un ordenador o incluso en una unidad USB, mientras que los gestores online tienen cierto riesgo debido a que almacenan en la nube, aunque siempre lo hacen de forma cifrada. Probablemente un servicio con sincronización en la nube sea más cómodo, aunque entrañe ciertos riesgos.
- Autenticación en dos pasos: La autenticación en dos pasos se ha tornado un factor importante en los últimos años para incrementar la seguridad del usuario, que añade además de la contraseña estándar un segundo momento que suele ser un código enviado al móvil.
- La integración con los navegadores es crítica para minimizar la interacción con las contraseñas y automatizar el acceso a los distintos sitios web.
- Captura automática de la contraseña: Esta característica está directamente relacionada con la anterior. Cuando el usuario va a introducir una nueva contraseña, el gestor detecta el proceso y pregunta si el usuario quiere guardarla en la base de datos. Algunos gestores son capaces de detectar la actualización de una contraseña.
- Alertas automáticas de seguridad: que consiste en un aviso ante un ataque que pueda comprometer la seguridad.
- Que sea una aplicación portable y/o con soporte para móviles: Lo ideal sería que el gestor de contraseñas fuese una aplicación portable, dicho de otra manera, que se pueda llevar en un pendrive y no requiera de instalación. Otra opción deseable sería que tuviese una versión para móviles y tablets para poder gestionar las contraseñas desde cualquier lugar en caso de ser un servicio que almacene en la nube.
- Auditorías de seguridad: Algunos gestores de contraseñas permiten realizar auditorías de seguridad sobre la propia base de datos de contraseñas. Esta característica escaneará la base de datos e indiciará cuando el usuario está usando contraseñas débiles, la misma contraseña entre distintos servicios, entre otros problemas.
- Contraseñas de un solo uso: Un sistema de contraseñas de usar y tirar permite designar una o más contraseñas para ser de un solo uso. De esta manera el usuario puede acceder a su gestor de contraseñas una vez, incluso si el sistema utilizado está comprometido, debido a que la contraseña no va a servir para otra ocasión.
- Compartir contraseñas: Algunos gestores de contraseñas incluyen una forma segura para compartir contraseñas con un amigo, ya sea dentro o fuera del marco de trabajo del gestor de contraseñas. Aunque, se considera poco recomendable esta opción, aunque la mayor parte de los autores la designa como elemento a tener en cuenta.
Les proponemos tres gestores de contraseña para que sean valorados y obtengan conclusiones sobre la conveniencia de utilizar una aplicación de este tipo: LastPass , KeePass y Dashlane.