Los mejores gestores de contraseñas

Los mejores gestores de contraseñas

Una contraseña única es un desastre esperando a que ocurra.

Imaginad que hackean una web, ni siquiera es una web importante, tan solo es una web donde te hiciste una cuenta en una ocasión para poder preguntar una cosa rápida en un foro. El problema es que creaste la cuenta con tu email de siempre y con tu contraseña de siempre. Una vez los hackers obtuvieron estos datos no tuvieron más que ir probando en distintas webs que todo el mundo tenemos, desde facebook, gmail, dropbox, twitter, iCloud, etc y de repente tienen acceso a todos tus documentos, fotos, datos bancarios, twitter, web personal, etc…

Tampoco sería la primera vez que una vez dentro deciden cambiarte la contraseña, y escribirte pidiendo un rescate ( un pago probablemente en criptomonedas por el tema de anonimidad) si te interesa recuperar tu información. Tampoco sería la primera vez que la persona que te hackea, puesto que te odia por las cosas que dices en twitter, decide borrarte inmediatamente años de fotos y videos familiares de tus cuentas, momentos muy preciados que ya nunca recuperarás.

La mayor parte de la gente decide que aún así van a seguir usando sus contraseñas de siempre, puesto que es casi imposible que este escenario les ocurra a ellos, además les es más conveniente acordarse siempre al instante de su contraseña. Con un poco de suerte tendrán razón y vivirán una vida sin sustos en este campo, pero aquellos que si se vean afectados se darán de cabezazos por no haber hecho las cosas correctamente, sobretodo aquellos que siempre han sabido que tenían que hacerlo y nunca se decidieron.

Os animo a que con este artículo os animeis a por fin dar el paso.

¿Qué es una buena contraseña?

Vayamos directamente a ejemplos prácticos:

malisima: 1234567890

Uno de los métodos de hackeo más típicos consiste en el ataque por diccionario. Básicamente existe una lista de las contraseñas más usadas globalmente, y estadísticamente es más que probable que alguien consiga entrar a una cuenta robada probando con alguna de la lista.

Os dejo las 25 contraseñas más típicas de 2016, pero tened en cuenta que la lista que se usa en estos ataques tiene miles de contraseñas que a una máquina le cuesta menos de un segundo probar, así que no canteis victoria si no veis vuestra contraseña aquí escrita:

  • 123456
  • password
  • 12345
  • 12345678
  • football
  • qwerty
  • 1234567890
  • 1234567
  • princess
  • 1234
  • login
  • welcome
  • solo
  • abc123
  • admin
  • 121212
  • flower
  • passw0rd
  • dragon
  • sunshine
  • master
  • hottie
  • loveme
  • zaq1zaq1
  • password1

¿ Está tu contraseña presente ? ¿ O tal vez una variación bastante cercana o simplemente traducida al castellano? Es hora cambiarla inmediatamente.

mala: eduardozaragoza / eduardo19081987

Lo segundo peor que podemos hacer es tener una contraseña personalizada pero que una persona que tenga un poco de información sobre nosotros pueda llegar a deducir. Esto incluye ciudad de procedencia, cumpleaños nuestro o de familiares cercanos, nombre de nuestras mascotas, etc…

La mayor parte de la información que utilizamos en estos casos es fácilmente identificable a través de redes sociales.

mejor: eduardo es de zaragoza y su cumpleaños es el dia 19 de agosto

Puestos a utilizar información personalizada y fácil de recordar al menos vamos a asegurarnos de que nuestra contraseña es muy larga. Las probabilidades de que alguien que nos conozca y nos ataque directamente encuentre la combinación exacta va disminuyendo a medida que aumentamos la longitud de nuestra contraseña.

Todavía mejor: caballo redondo infierno reloj escaparate

Si combinamos los dos casos anteriores obtenemos contraseñas largas que además no tienen información personalizada lo cual es un escenario bastante bueno.

Al principio puede parecer una locura recordar algo así, pero si hacemos uso de pequeños trucos mnemotécnicos (como imaginarnos a un caballo redondo en el infierno mirando un reloj en un escaparate) de repente nos damos cuenta de que ya la hemos memorizado.

Perfecta: xAz14jeI-IOzcI!pAbbcPzd\#

Ahora bien, existe una contraseña que con toda seguridad jamás será descubierta y esa es sin duda una contraseña larga de carácteres y símbolos aleatorios.

Por supuesto lo primero que diría una persona a la que se le propusiese una contraseña así es que de ninguna manera se va acordar de esto, y tendría toda la razón. Es por eso que un poco más adelante hablaremos de los gestores de contraseñas.

Verificación en 2 Pasos

Muchas páginas webs, como gmail o facebook, ofrecen una capa extra de seguridad llamada Verificación en 2 Pasos (2FA). El concepto principal es que cuando intentes acceder a tu cuenta desde un dispositivo que no es el habitual se te hará confirmar un diálogo adicional.

Un ejemplo de seguridad en 2 pasos sería que se te enviara un código temporal mediante SMS a tu teléfono que tendrías que introducir en el dispositivo nuevo cuando te lo pida la web en cuestión para completar tu inicio de sesión. Otro ejemplo sería introducir un código generado mediante aplicaciones como Google Authenticator o Authy (recomiendo fuertemente Authy).

Gestores de Contraseñas

Todas estas contraseñas aun así siguen siendo vulnerables ante la situación que describimos al principio del artículo donde un hacker hackea un foro mal hecho y automáticamente tiene acceso a todas tus cuentas independientemente de lo buena que sea tu contraseña única. Es por ello que lo recomendable es tener una contraseña única por cuenta. Esto sería inmanejable sin el uso de gestores de contraseñas que básicamente almacenarán todas tus contraseñas por ti de manera segura, siempre y cuando recuerdes tu contraseña de acceso a la herramienta que debería ser lo más segura posible que además puedas memorizar.

Mejores gestores de contraseña de 2018

LastPass

LastPass
LastPass

LastPass cuenta con una versión gratuita que puede ser más que suficiente para la mayoría de los usuarios. Su versión de escritorio es en realidad una página web por lo que necesitamos tener acceso a internet para poder acceder a ella. También cuenta con aplicación de iOS, Android y Windows Phone.

Recordemos que LastPass fue hackeado hace unos dos años e inmediatamente aconsejaron a todos los usuarios cambiar su contraseña maestra. Desde entonces han mejorado su seguridad considerablemente pero desde luego es algo a tener en cuenta.

Precio: Gratis - 6$ al mes dependiendo del plan.

1Password

1 Password
1 Password

1Password es de una de mis favoritas aunque no cuenta con versión gratuita. Una de las cosas que más me gusta es que permite almacenar tu pequeña base de datos de contraseñas en tu propio Dropbox de tal manera que siempre tendrás acceso a él pase lo que pase. Cuenta con aplicación de Windows, Mac, iOS y Android.

Precio: 3-5$ al mes dependiendo del plan.

Dashlane

Dashlane
Dashlane

Dashlane poco a poco se ha ido abriendo hueco entre las anteriores. La versión gratuita permite tener Dashlane en un solo dispositivo y la de pago en todos los que desees. Lo que más me gusta de Dashlane es su servicio de alertas de hackeo: si alguna de las webs que tienes registradas en Dashlane es hackeada, Dashlane te avisará para que te asegures de cambiar tu contraseña cuanto antes.

Precio: Gratis - 3$ al mes.

Remembear

Remembear
Remembear

Remembear es la nueva adición de la lista, por los creadores de Tunealbear VPN. Por el momento está en fase beta por lo que sería mejor abstenernos hasta que esté más rodada. Cuenta con aplicación de Windows, Mac, iOS y Android.

Precio: Gratis

Enpass

Enpass sea posiblemente una de las prometedoras de este nuevo año. La versión de escritorio es gratis aunque las apps (iOS, Android y Windows Phone) son de pago. Lo más fundamental sin duda es que permite guardar la base de datos localmente o en las nubes más habituales para que gestiones tu propia seguridad.

Precio: Gratis - 10$ una sola vez.

Password Safe

Password Safe
Password Safe

PWSafe no es la aplicación más atractiva del mercado, pero está creada por uno de los mayores expertos de seguridad del sector, Bruce Schneier. Cuenta con aplicación de iOS y Android de pago y una versión de escritorio gratuita.

Al igual que otras de la lista, Password Safe genera una pequeña base de datos que tu debes gestionar, ya sea guardandola en Dropbox o en tu ordenador. Si alguna persona lograse acceso a este fichero todavía necesitaría tu contraseña maestra para poder acceder a él. ¡Recuerda hacer copias de seguridad!

Precio: Gratis - 3$ una sola vez para alguna app móvil.

KeePass

keepass
keepass

KeePass siempre ha sido mi favorita de la lista, puesto que es open source el código ha sido colaboración de muchísima gente y ha sido auditado hasta la saciedad. Tiene varias capas de seguridad avanzadas, como poder añadir un segundo de penalización por contraseña incorrecta para evitar ataques de fuerza bruta o necesitar un clave aleatoria por USB para poder abrirse (es decir, deberías tener un USB con tu clave conectado a tu ordenador para poder abrir tu base de datos). Por desgracia no tiene apps móviles oficiales y aunque hay algunas por ahí, recomiendo usarlas con cuidado puesto que no sabemos si están grabando nuestras contraseñas por detrás.

Precio: Gratis

El nivel de seguridad que cada uno quiera tener es una decisión personal, sobretodo dependiente del nivel de confianza que uno tiene en sí mismo a la hora de mantener un fichero seguro. Personalmente prefiero tener guardado mi base de datos guardada por mi localizable y con copia de seguridad en lugar de fiarme de un servicio externo que lo haga por mí.

¿ Quieres que elija por ti?

Si no vas a necesitar aplicación móvil usa KeePass, asegurate de tener copias de seguridad de la base de datos que será un fichero kdbx. Si en cambio vas a necesitar app móvil usa 1Password ó Empass.

Daniel

Acerca de Daniel

Project Manager @ Cardano (IOHK)

Madrid, Spain CRIPTOMO

Comments