El problema de las contraseñas es que las buenas no suelen ser fáciles de recordar. Bien sea porque son demasiado simples (y por ende, malas) o, porque cuando son buenas, son difíciles de recordar.
Esto hace que pierdan su efectividad: los robos de información y las bases de datos de contraseñas se han vuelto una historia demasiado común. Si uno de esos sitios es atacado, los criminales probablemente terminan con los accesos de varios otros sitios. Y en un escenario particularmente malo, una de esas claves puede ser la del correo electrónico del usuario, lo que facilitaría el proceso de recuperación de contraseñas de otros servicios.
Hay una solución para ese problema: los administradores de contraseñas. Son programas que almacenan todas las claves del usuario en un archivo cifrado con niveles muy altos de seguridad. Éstos generan automáticamente contraseñas únicas y buenas para cada servicio. El usuario puede verlas luego de ingresar una clave maestra. Además, la base de datos cifrada está guardada en la nube y puede ser recuperada o ser vista en diferentes dispositivos.
Es posible tener contraseñas buenas y usables
Los administradores más populares se han ganado la aceptación de buena parte de la comunidad de seguridad informática, aun despiertan algunas críticas. La principal objeción es que centralizan el riesgo: si la clave maestra se ve comprometida, el resultado puede terminar en desastre.
La funcionalidad clave es que la aplicación no pueda descifrar la base de datos con las contraseñas. Es decir, que no almacene la contraseña maestra y esta solo esté en poder del usuario, y que las claves sean descifradas localmente en los equipos del usuario.
Otras funciones bastante deseables son su compatibilidad con varios navegadores y sistemas operativos móviles; que permita que los usuarios puedan consultar las contraseñas de forma segura sobre varias pantallas; compatibilidad con herramientas de autenticación en dos pasos; y una herramienta de diagnóstico que permita saber si las contraseñas actuales del usuario son fuertes o están repetidas.
Hay varias herramientas de este tipo, pero las más recomendadas son LastPass y Dashlane. Ambas se pueden instalar en computadores, navegadores y dispositivos móviles y tienen una versión gratuita que hace la mayoría de las tareas muy bien. Las opciones pagas permiten hacer cosas como sincronizar la base de datos entre todos los dispositivos del usuario o activar la autenticación en dos pasos. Lastpass vale 12 dólares al año, y Dashlane, 39 dólares al año.
Cómo crear buenas contraseñas
Normalmente se cree que usar mayúsculas, minúsculas, números y símbolos equivale a crear una buena contraseña: que ‘c0n7rA$€ñ@’ es mejor que ‘contraseña’. Pero los procesos y algoritmos que usan los criminales para descifrar las claves pueden predecir con facilidad esos cambios.
“La fuerza de un sistema de creación de contraseñas no está en cuántas letras, dígitos y símbolos se creen, sino en cuántas maneras podrías obtener un resultado diferente usando el mismo sistema“. Esa premisa, escrita por Jeff Shiner en el blog de Agile Bits –la firma desarrollado de 1Password, otro programa de estos–, significa que es posible crear una contraseña fuerte siguiendo algunas reglas sencillas:
1) Evitar los lugares comunes y las frases predecibles: ‘perros y pacos’ es mejor que ‘perros y gatos’.
2) No decir la verdad: ‘las peras son rojas’ es mejor que ‘las rosas son rojas’.
3) No escribir cosas que tengan sentido: ‘Mis siete unicornios son Paco y Pepe’ es mejor que decir ‘Mis dos perros son Paco y Pepe’.
Con un administrador de contraseñas, basta una sola clave fuerte para que la seguridad de todos nuestros accesos digitales mejore bastante. Estos consejos te pueden ayudar a crearla, y después de crearla, ¡memorízala! Si la apuntas en alguna parte, alguien más la puede encontrar y eso es como dejar las llaves de la casa pegadas a la puerta.
Imagen: pkproject (vía Shutterstock).
Y próximamente los ataques serán dirigidos a los administradores de claves…es sólo cuestión de tiempo….y recuerdo mi antigua clave de apple…juepu@#$%semeolvidootra_vez!!!…..bastante efectiva
Y próximamente los ataques serán dirigidos a los administradores de claves…es sólo cuestión de tiempo….y recuerdo mi antigua clave de apple…juepu@#$%semeolvidootra_vez!!!…..bastante efectiva
una cuestión en cuanto a la forma de guardar contraseñas e información encriptada en general
para una contraseña de un sitio web, en general, posiblemente en la mayoría de los casos no se guarda la contraseña. por ejemplo, si para entrar a enter .co tocara ponerle clave, la clave no quedaría guardada como ‘clave’ en los servidores de enter. en cambio, lo que haría es que se aplicaría una funciín que no es 1 a 1, pero que tiene una distribución casi 1 a 1 sobre un rango al menos igual al posible dominio de claves (o bastante grande en todo caso), donde ya que no es 1 a 1, n se puede sacar en forma única la clave original, pero tampoco es trivial sacar cualquiera de las funciones de dominio. para eso es que se usan los números primos y cocientes y cosas de ese estilo. otro ejemplo es por ejemplo los ‘checksum’ (aunque como el checksum se reduce a un rango mu opequeño, no se usa para encriptar, es sólo como ejemplo). un checksum es una función que depende del contenido de una frase o algo así; si se cambia alguna letra de la frase, el checksum va a cambiar. pero con un número rersultado de un checksum no se puede saber la frase original (aunque a punta de fuerza bruta, o probando combinaciones una a una, eventualmente puede dar con una frase que tenga el mismo checksum). y qué pasa si se aplican dos procedimientos diferentes de checksum a la frase? que a menos que se tenga la frase original, es prácticamente imposible obtener una frase que tenga el mismo checksum en ambos procedimientos. me parece que así es como deberían validarse por ejemplo las actualizaciones de las aplicaciones y del sistema operativo, cuando bajan paquetes de actualización, (editado) revisando diferentes procedimientos de checksum en diferentes servidores, pero no creo que haya alguien que lo haga así (pero debería). recordar stuxnet, que si no esoty mal, usaba la actualización de windows para meter cosas que no eran
volviendo al tema, con cosas como ésas yo puedo tener cosas para verificar la clave, sin tener la clave en el servidor. cuando yo le meta la clave, el servidor aplica el mismo procedimiento de checsum y mira si es igual al que tenía guardado. pero eso lo hace internamente el servidor, yo no le digo el checsum, en cambio él saca el checksum a partir de lo que yo le diga
como acá funciona igual, el administrador de claves no le va apasar un checksum al sitio web que me pide clave, le tiene qué pasar la clave. esos ignifica que lo que tenga grabado el administrador, es la información con toda la información de las claves, pero alterada para dificultar su lectura (igual que cualquier archivo de trabajo que tenga clave). es decir, si tengo el archivo de claves (que lo necesito descargar sólo una vez), y luego dispongo de bastante tiempo, puedo ir ensayando con fuerza bruta, ya que nada va a dañar el archivo si lo corro en el computador (no es un ejecutable, no se va a dañar a menos que otro programa lo dañe), haciendo todos los ensayos que quiera. sin contar con que cada vez que tenga qué darle la clave para recuperar a clave de algúns itio, pongo en risgo todas las claves que tenga ahí. la verdad nunca he estado de acuerdo con estos programas (o usar estos programas, más bien). en todo caso es una cuestión de costo beneficio. si lo que quiere proteger es la foto del paseo, y no porque le vaya a costar millones en un divorcio sino porque va a hacer el ridículo por la tanga narizona que estaba usando, de pronto no es lo mismo que la información financiera de una empresa. hay cosas que son un riesgo, o tienen mayor riesgo que otras alternativas, pero que para ,lo que se quiere proteger tampoco vale la pena ponerle más enredo
una cuestión en cuanto a la forma de guardar contraseñas e información encriptada en general
para una contraseña de un sitio web, en general, posiblemente en la mayoría de los casos no se guarda la contraseña. por ejemplo, si para entrar a enter .co tocara ponerle clave, la clave no quedaría guardada como ‘clave’ en los servidores de enter. en cambio, lo que haría es que se aplicaría una funciín que no es 1 a 1, pero que tiene una distribución casi 1 a 1 sobre un rango al menos igual al posible dominio de claves (o bastante grande en todo caso), donde ya que no es 1 a 1, n se puede sacar en forma única la clave original, pero tampoco es trivial sacar cualquiera de las funciones de dominio. para eso es que se usan los números primos y cocientes y cosas de ese estilo. otro ejemplo es por ejemplo los ‘checksum’ (aunque como el checksum se reduce a un rango mu opequeño, no se usa para encriptar, es sólo como ejemplo). un checksum es una función que depende del contenido de una frase o algo así; si se cambia alguna letra de la frase, el checksum va a cambiar. pero con un número rersultado de un checksum no se puede saber la frase original (aunque a punta de fuerza bruta, o probando combinaciones una a una, eventualmente puede dar con una frase que tenga el mismo checksum). y qué pasa si se aplican dos procedimientos diferentes de checksum a la frase? que a menos que se tenga la frase original, es prácticamente imposible obtener una frase que tenga el mismo checksum en ambos procedimientos. me parece que así es como deberían validarse por ejemplo las actualizaciones de las aplicaciones y del sistema operativo, cuando bajan paquetes de actualización, (editado) revisando diferentes procedimientos de checksum en diferentes servidores, pero no creo que haya alguien que lo haga así (pero debería). recordar stuxnet, que si no esoty mal, usaba la actualización de windows para meter cosas que no eran
volviendo al tema, con cosas como ésas yo puedo tener cosas para verificar la clave, sin tener la clave en el servidor. cuando yo le meta la clave, el servidor aplica el mismo procedimiento de checsum y mira si es igual al que tenía guardado. pero eso lo hace internamente el servidor, yo no le digo el checsum, en cambio él saca el checksum a partir de lo que yo le diga
como acá funciona igual, el administrador de claves no le va apasar un checksum al sitio web que me pide clave, le tiene qué pasar la clave. esos ignifica que lo que tenga grabado el administrador, es la información con toda la información de las claves, pero alterada para dificultar su lectura (igual que cualquier archivo de trabajo que tenga clave). es decir, si tengo el archivo de claves (que lo necesito descargar sólo una vez), y luego dispongo de bastante tiempo, puedo ir ensayando con fuerza bruta, ya que nada va a dañar el archivo si lo corro en el computador (no es un ejecutable, no se va a dañar a menos que otro programa lo dañe), haciendo todos los ensayos que quiera. sin contar con que cada vez que tenga qué darle la clave para recuperar a clave de algúns itio, pongo en risgo todas las claves que tenga ahí. la verdad nunca he estado de acuerdo con estos programas (o usar estos programas, más bien). en todo caso es una cuestión de costo beneficio. si lo que quiere proteger es la foto del paseo, y no porque le vaya a costar millones en un divorcio sino porque va a hacer el ridículo por la tanga narizona que estaba usando, de pronto no es lo mismo que la información financiera de una empresa. hay cosas que son un riesgo, o tienen mayor riesgo que otras alternativas, pero que para ,lo que se quiere proteger tampoco vale la pena ponerle más enredo
editado, como para aclarar. lo que dice arriba es que cuando alguien roba una rchivo con claves, normalmente no van a ser las claves lo que hay ahí (sino el resultado de hacer algo con la clave). pero en este caso el contenido del archivo sí son claves, y sí es posible obtener las claves originales a partir de ese archivo
Desde 2008 uso Keepass para PC y hace un par de años Keepassdroid para Android sincronizando con Dropbox, es una de las aplicaciones que mas uso en PC y en el movil.
Desde 2008 uso Keepass para PC y hace un par de años Keepassdroid para Android sincronizando con Dropbox, es una de las aplicaciones que mas uso en PC y en el movil.
Yo también uso Keepass en Windows y KeepassX en GNU/Linux desde hace tiempo, pero no subo el archivo a la nube porque todo lo que se suba a la nube puede ser copiado y pueden probar hasta conseguir la contraseña maestra. Este programa es lo suficiente bueno para lo que necesito y tiene muchas herramientas. Y lo mejor es software libre.
Yo también uso Keepass en Windows y KeepassX en GNU/Linux desde hace tiempo, pero no subo el archivo a la nube porque todo lo que se suba a la nube puede ser copiado y pueden probar hasta conseguir la contraseña maestra. Este programa es lo suficiente bueno para lo que necesito y tiene muchas herramientas. Y lo mejor es software libre.
Keepass y su version Keepass para Android , es la mejor solución y LA MAS SEGURA para manejar tus contraseñas online y offline, es tan seguro que tiene dos métodos (que se pueden combinar) para una tener una clave MAS segura.
Es tan seguro que si no haces un respaldo de tus cuentas , ya te fregaste porque no existe método para descifrar el archivo.
Lo mejor es siempre tener un bakup ( impreso o en una usb solo para guardar tus claves) sin cifrado, solo en texto.
Keepass y su version Keepass para Android , es la mejor solución y LA MAS SEGURA para manejar tus contraseñas online y offline, es tan seguro que tiene dos métodos (que se pueden combinar) para una tener una clave MAS segura.
Es tan seguro que si no haces un respaldo de tus cuentas , ya te fregaste porque no existe método para descifrar el archivo.
Lo mejor es siempre tener un bakup ( impreso o en una usb solo para guardar tus claves) sin cifrado, solo en texto.