La importancia de un buen gestor de contraseñas

cibperprotector 2fa

El año pasado Yubal me entrevistaba en Xataka indagando en la seguridad del que a día de hoy sigue siendo el principal método de identificación de usuarios en entornos digitales: la contraseña.

En aquella pieza explicaba que más que preocuparnos por la seguridad propia de una contraseña, deberíamos hacerlo por la seguridad propia de la cuenta, en donde la contraseña es solo un elemento más a considerar, ofreciendo cinco puntos a los que deberíamos atender.

Y el primero era que había que delegar en terceros. Es decir, en gestores de contraseñas.

ciberprotector web
Ejemplo de uso en Chrome

¿Por qué recomiendo el uso de un gestor de contraseñas?

La respuesta es sencilla: Nos ayudan a crear una identidad digital más robusta.

Un servidor utilizaba a la hora de crear una contraseña una estructura que depende de varios factores, lo que en la práctica hace que cada password sea diferente para cada cuenta (una cosa terriblemente necesaria, como bien sabes), y que además no hablemos de una contraseña que se pueda recordar fácilmente o entre dentro de una biblioteca de fuerza bruta.

Ahora claro, hay que recordar (y primero, crear) este sistema, y aún con todo esto no nos asegura nada más que el que el elemento goce con unas garantías mínimas de seguridad. Un hackeo masivo a los servidores de la compañía, o una mala praxis a la hora de alojar esas contraseñas en su base de datos puede exponerla igualmente.

¿Qué obtenemos con un gestor de contraseñas?

  • Comodidad: Al final hablamos de una herramienta que, al menos en teoría, ya cumple unos criterios de seguridad adecuados, y que además nos evita tener que recordar cómo hemos creado el password y dónde lo hemos utilizado.
  • Seguridad: En el escenario tradicional, la seguridad depende de lo robusta que sea la contraseña que creamos en cada servicio. Con un gestor incluimos varias capas de abstracción extra. Pasamos de un sistema de identificación basado en el conocimiento, a uno basado en la posesión… que a su vez depende de uno basado en el conocimiento (la contraseña maestra). Además el sistema se encarga de crear contraseñas pseudo-aleatorias (ergo, no disponibles a descubrimiento por biblioteca de passwords).
ciberprotector movil
Ejemplo de uso en aplicación móvil

El intangible de un gestor de contraseñas

Como ya expliqué hace unas semanas, estoy utilizando Ciberprotector (ES), y la verdad es que la herramienta me está encantando.

Ya hablamos en profundidad de cómo gestionaba acertadamente algo tan complejo como es informar al usuario de forma cómoda de qué debe tener en cuenta para mejorar la seguridad de su dispositivo, y hoy quería centrarme en otra de sus funcionalidades, que como cabría esperar, se trata de un gestor de contraseñas.

En el mercado tienes muchos gestores de contraseñas (la mayoría de pago, eso sí), y todos con mayor o menor medida cubren las necesidades básicas de prácticamente la amplia mayoría de usuarios: almacenar contraseñas, crear nuevas contraseñas.

Sin embargo, sí he visto en Ciberprotector algunos puntos que me gustaría señalar.

Segundo factor de autenticación

El primero es que puesto que la herramienta cuenta además con un sistema de doble factor de autenticación, le han metido a su gestor de contraseñas la posibilidad de que esté protegido también con doble factor.

Esto junto al hecho de que, por ejemplo en móviles, para abrir la app le tengas que meter un patrón de desbloqueo, y que en cualquier cuenta puedas decidir si ésta debe estar bloqueada con una contraseña maestra o no.

Son decisiones de diseño que al final hacen que la seguridad de las cuentas protegidas con su gestor de contraseñas sea mucho mayor. Ya no solo nos evita tener que encargarnos nosotros de recordar cada password, sino que además podemos establecer niveles de seguridad para que las cuentas menos importantes no estén protegidas con ese 2FA, y sí sea necesario incluirlo para el resto.

La salud de las contraseñas

El segundo es cómo informa al usuario de la “salud” de las contraseñas creadas.

En la imagen principal que acompaña este artículo puedes ver que el sistema me ha puesto un 92 de seguridad global, con una contraseña maestra “muy buena” y el doble factor activado.

Además, y por esas casualidades de la vida, me ha servido para darme cuenta que las contraseñas de dos servicios que utilizo eran iguales.

Esto es algo relativamente difícil de que ocurra con el método que he seguido, pero ha ocurrido, y no he sido consciente de ello hasta ahora, simplemente porque la herramienta saca información contextual muy valiosa del uso que le damos.

Más allá de almacenar solo contraseñas

El tercero es que cuenta además con un sistema de notas bastante completo. Ya no solo hablamos de poder tomar notas sobre una cuenta asociada a un servicio específico, sino que además es posible crear notas y archivos separados, que se guardarán utilizando para ello la seguridad propia de la herramienta, y que pueden ser compartidos o copiados en cualquier momento.

Así que al final tienes también un bloc de notas con funciones de seguridad y compartición avanzadas.

En definitiva

Son pequeños detalles, lo sé, pero al final son los que marcan la diferencia.

Como pega decir que al menos en la extensión de Chrome, cuando expandes y te carga la página de información en el navegador, la interfaz se superpone ligeramente, y que además no cuenta con un modo viaje que te permita, por ejemplo, ocultar de la interfaz un grupo de cuentas por si te piden acceso a ellas en un aeropuerto (si no puedes acceder a ellas, no te pueden obligar a ello).

El primero es error de diseño que apenas afecta (tanto en las aplicaciones móviles como en las de escritorio o la versión web esto no pasa). Y en todo caso, hablamos de dos puntos que sin lugar a dudas solventarán en las próximas semanas (he hablado con ellos y está en el roadmap).

Porque por supuesto, y en esto ya es semejante a cualquier otro gestor de contraseñas profesional, desde el principio han apostado por ofrecer multiplataforma (da igual donde lo quieras utilizar que ya habrá aplicación o programa disponible).

Y también cuenta desde el mes pasado con importador para LastPass y Chrome, para facilitar hasta el extremo la migración.

Si quieres un todo en uno de seguridad en un servicio español (ergo, acogido a la legislación en materia de protección de datos europea) y con versión gratuita, no se me ocurre otro mejor que CiberProtector (ES).

Y la mejor prueba es que yo lo estoy utilizando pese a que tengo cuenta de pago enLastPass

________

Este artículo, y realmente mi trabajo diario en esta página, ha sido posible gracias al mecenazgo de algunas empresas, como es el caso de Ciberprotector (ES). Un apoyo económico que me permite seguir haciendo lo que hago, con la misma libertad de siempre para analizar productos o servicios.

Si crees que a tu organización le podría interesar ser una de ellas, visita la intranet de mecenas o escríbeme y te lo explico todo al detalle.

Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias