¿Se te olvidó tu contraseña? Cinco razones por las que necesitas un administrador

¿Se te olvidó tu contraseña?

Cinco razones por las que necesitas un administrador de contraseñas

Según las mejores prácticas, las reglas para crear contraseñas son simples: use una combinación aleatoria de números, símbolos y letras de mayúsculas y minúsculas; nunca reutilizar contraseñas; active la autenticación de dos factores si está disponible.

Conozco personas que mantienen listas de contraseñas en un archivo cifrado de algún tipo. Eso es exactamente lo que hace un administrador de contraseñas basado en software. Pero ahí es donde el parecido se detiene.contraseña

Los administradores de contraseñas que sincronizan su base de datos de contraseñas con la nube utilizan el cifrado de extremo a extremo.

Los datos se cifran antes de que salga de su dispositivo y se mantienen cifrados a medida que se transfieren al servidor remoto.

Cuando inicia sesión en la aplicación en su dispositivo local, el programa envía un hash de la contraseña que lo identifica pero que no se puede usar para desbloquear el archivo.

Las compañías que administran y sincronizan esos archivos guardados no tienen acceso a las claves de descifrado.

De hecho, su contraseña maestra no se almacena en ninguna parte, y si la olvida, no tiene suerte. No se conoce ninguna forma de descifrar un archivo cifrado AES-256 que esté protegido con una clave personal sólida.

1 : INTEGRACIÓN DEL NAVEGADOR

La mayoría de los administradores de contraseñas incluyen extensiones de navegador que guardan automáticamente las credenciales cuando crea una nueva cuenta o inicia sesión usando esas credenciales por primera vez.

Esa integración del navegador también le permite ingresar credenciales automáticamente cuando visita un sitio web que coincida.

Contraste ese enfoque con la inevitable fricción de una lista manual. No necesita buscar un archivo y agregarle una contraseña para guardar un conjunto de credenciales nuevo o modificado, y no necesita buscar y abrir ese mismo archivo para copiar y pegar su contraseña.

2: GENERACIÓN DE CONTRASEÑA

Cada administrador de contraseñas que vale su hash salado incluye un generador de contraseñas capaz de producir instantáneamente una contraseña verdaderamente aleatoria, nunca antes utilizada por usted.

Si no te gusta esa contraseña, puedes hacer clic para generar otra. Luego puede usar esa contraseña aleatoria cuando cree una nueva cuenta o cambie las credenciales de una existente.

La mayoría de los administradores de contraseñas también le permiten personalizar la longitud y la complejidad de una contraseña generada para que pueda tratar con sitios que tienen reglas de contraseña peculiares.

3: PROTECCIÓN CONTRA PHISHING

La integración de un administrador de contraseñas con un navegador es una excelente protección contra los sitios de phishing.

Si visita un sitio que ha logrado duplicar a la perfección la página de inicio de sesión de su banco e incluso desordenar la visualización de la URL para que se vea legítima, es posible que se deje engañar.

Su administrador de contraseñas, por otro lado, no ingresará sus credenciales guardadas, porque la URL del sitio falso no coincide con el dominio legítimo asociado con ellas.

Esa protección contra el phishing es probablemente la característica más subestimada de todas.

Si administra las contraseñas de forma manual, al copiar y pegar desde un archivo personal cifrado, pegará su nombre de usuario y contraseña en los campos respectivos de esa página falsa bien diseñada, porque no se da cuenta de que es falsa.

4: ACCESO MULTIPLATAFORMA

Los administradores de contraseñas funcionan en todos los dispositivos, incluidos PC, Mac y dispositivos móviles, con la opción de sincronizar su base de datos de contraseñas cifradas en la nube. El acceso a ese archivo y su contenido se puede asegurar con autenticación biométrica y 2FA.

Por el contrario, si administra las contraseñas en un archivo encriptado que se guarda localmente, debe copiar manualmente ese archivo en otros dispositivos (o mantenerlo en la nube en una ubicación bajo su control personal) y luego asegurarse de que el contenido de cada copia permanecer en sincronización. Más fricción.

5: SALVAGUARDA DE VIGILANCIA

Los administradores de contraseñas generalmente ofrecen una buena protección contra el “surf de hombro”.

Un atacante que puede verlo escribir, ya sea en vivo o con la ayuda de una cámara de vigilancia, puede robar sus credenciales de inicio de sesión con facilidad. Los administradores de contraseñas nunca exponen esos detalles.

Incluso armado con esos argumentos, cuando hago esa recomendación a otras personas, normalmente escucho las mismas excusas.

“Ya tengo un sistema perfectamente bueno para administrar las contraseñas”.

Por lo general, este sistema implica reutilizar una contraseña de base fácil de recordar de algún tipo, agregando un sufijo especial o prefijo adjunto a esa base por sitio.

El problema con ese esquema es que esas contraseñas no son aleatorias, y si alguien se da cuenta de tu patrón, tienen una llave maestra para desbloquear todo. Y un documento de investigación de 2013 realizado por científicos informáticos de la Universidad de Illinois, Princeton e Universidad de Indiana, The Tangled Web of Password Reuse , demostró que los atacantes pueden descubrir esos patrones muy, muy rápidamente.

Más importante aún, este tipo de esquema no se escala. Finalmente, choca con las reglas de contraseña en un sitio que, por ejemplo, no permite caracteres especiales o restringe la longitud de la contraseña. (Lo sé, eso es una locura, pero esos sitios existen). O un servicio te obliga a cambiar tu contraseña y no aceptará tu nueva contraseña porque está muy cerca de la anterior y ahora tienes otra excepción en tu sistema que tienes Seguirle el rastro a.

Y así terminas manteniendo una lista cifrada de contraseñas que no son exactamente únicas y no son aleatorias, y no son seguras en absoluto. ¿Por qué no usar software creado para este propósito?

“Si alguien roba mi archivo de contraseña, tiene todas mis contraseñas”.

No, no lo hacen. Ellos tienen un archivo encriptado que es, para todos los efectos, inútiles galimatías.

La única forma de extraer sus secretos es con la clave de descifrado, que tanto usted como usted saben.

Por supuesto, esto supone que has seguido algunas precauciones razonables con esa clave de descifrado.

Específicamente, que lo has hecho lo suficientemente largo, que no puede ser adivinado ni siquiera por alguien que te conoce bien y que nunca lo has usado para nada más.

Si necesita una contraseña segura y única, puede generar una en correcthorsebatterystaple.net. Definitivamente no deberías escribir esa llave en una nota adhesiva o en un papel en el cajón de tu escritorio, tampoco.

Pero es posible que desee anotar esa contraseña y almacenarla en un lugar muy seguro o con una persona muy confiable, junto con instrucciones sobre cómo usarla para desbloquear el archivo de su contraseña en caso de que algo le suceda.

Entiendo que la reacción instintiva de que permitir que un servicio en la nube mantenga su base de datos completa de contraseñas debe ser un riesgo horrible para la seguridad.

Como todo lo relacionado con la nube, existe un equilibrio entre la comodidad y la seguridad, pero ese riesgo es relativamente bajo si el servicio sigue las mejores prácticas de cifrado y ha establecido una contraseña maestra segura.

Pero si no confías en la nube, tienes alternativas.

Varios de los administradores de contraseñas que he examinado ofrecen la opción de almacenar una copia solo local de su archivo cifrado AES-256, sin ninguna función de sincronización.

Si elige esa opción, deberá renunciar a la opción de usar su administrador de contraseñas en múltiples sitios o idear una manera de sincronizar manualmente esos archivos entre diferentes dispositivos.

Como punto intermedio, puede usar un servicio de nube personal para sincronizar sus archivos de contraseña. 1Password, por ejemplo, admite la sincronización automática tanto con Dropbox como con iCloud, lo que garantiza que esté protegido incluso si uno de esos servicios está comprometido.

Si es un periodista que trabaja en temas de seguridad, o un activista en un país cuyos líderes no aprueban el activismo, o un miembro del personal en una campaña política de alto perfil, o un contratista que se comunica con personas en industrias sensibles, usted ‘ re un objetivo de alto valor.

Cualquiera que entre en una de esas categorías debería tomarse en serio a opsec, y un administrador de contraseñas es una parte esencial de un programa de seguridad bien estructurado.

Pero incluso si no es un candidato obvio para ataques dirigidos, puede verse atrapado por una violación del sitio web.

Es por eso que me han Pwned? existe Es bastante fácil que un sitio web comprometido lo obligue a restablecer su contraseña, minimizando el riesgo de esa violación, pero si ha usado la misma combinación de credenciales en otro lugar, corre un grave riesgo.

Cinco administradores de contraseñas que vale la pena considerar

Personalmente he usado todos los programas en esta lista. Para cada uno, he incluido detalles de precios, así como un enlace a información de seguridad. Cada programa pagado ofrece una prueba gratuita; Recomiendo aprovechar esas pruebas para ver si un programa es adecuado para usted.

1 CONTRASEÑA

Aunque este producto se ganó su reputación en los dispositivos de Apple, también ha adoptado Windows, Android y Chrome OS.

Las suscripciones personales son de $ 3 por mes; una opción familiar es de $ 5 al mes (ambos precios requieren facturación anual).

Los archivos de contraseñas se pueden almacenar localmente, sincronizarse desde los servidores de 1Password o conectados a una cuenta de Dropbox o iCloud. Las cuentas Team, Business y Enterprise agregan autenticación de 2 factores y comienzan en $ 4 por usuario por mes.

DASHLANE

El miembro más joven del grupo ha existido por más de seis años y se ha ganado una reputación por su facilidad de uso.

Las aplicaciones están disponibles para PC con Windows, Mac, Android e iOS. Si la base de datos de contraseñas incluye menos de 50 entradas, puede obtener con la versión gratuita. La versión Premium de $ 5 por mes incluye una opción de VPN, y el paquete de $ 10 por mes agrega funciones de monitoreo de crédito y robo de identidad. Los planes de negocios incluyen las mismas funciones que Premium, a $ 4 por usuario por mes.

KEEPASS

Si eres un fan de la nube o si insistes en un software de código abierto, esta es tu opción. KeePass se ejecuta en todas las plataformas de escritorio y móviles, incluida la mayoría de las distribuciones de Linux, y es gratis (como en cerveza).

Los archivos se almacenan localmente, y usted querrá dominar sus atajos de teclado arcanos para completar las contraseñas automáticamente.

La integración del navegador está disponible a través de complementos de terceros; para uso en múltiples dispositivos, el motor de sincronización incorporado del programa actualiza automáticamente la base de datos de contraseñas en cualquier ubicación de almacenamiento basada en la nube que especifique.

ÚLTIMO PASE

Podría decirse que el más conocido de todos, LastPass es gratuito y funciona en todas las plataformas de escritorio y móviles más importantes.

El servicio solo está basado en la nube, con archivos almacenados en los servidores de la compañía y sincronizados con dispositivos locales.

Una versión Premium ($ 3 al mes) admite opciones avanzadas de autenticación de 2 factores; $ 4 por mes cubre una familia de hasta cinco.

Los planes de negocios comienzan en $ 4 por usuario por mes. LastPass sufrió una vergonzosa violación de datos en 2015, poco antes de que LogMeIn adquiriera la empresa. Detalles de seguridad aquí .

ROBOFORM

Lanzado en 2000, RoboForm es, con mucho, el miembro más veterano de la categoría. La versión gratuita admite inicios de sesión ilimitados y almacena su archivo de base de datos localmente.

RoboForm Everywhere es un servicio de suscripción de $ 24 al año que agrega funciones de copia de seguridad en la nube, sincronización y autenticación de 2 factores.

La opción Familiar ($ 48 al año) cubre hasta cinco usuarios, y los planes de negocios cuestan $ 35 por usuario. Los descuentos están disponibles para compras de varios años.

Te Puede Interesar:

Cómo saber mi celular Android tiene virus ?

Bloquear WhatsApp en iOS con Touch ID o Face ID

Cómo cancelar mensajes de Facebook Messenger

El mejor robot aspirador para tu hogar inteligente.

Comentarios
¿Te ha sido de utilidad el artículo?
[Votos: 4 Promedio: 5]