¿Demasiadas contraseñas? ¡Usa un gestor! - Magic Words of Intelligence

Transformación digital para Analistas de Inteligencia #OSINT desde 2011.

Breaking

jueves, 6 de septiembre de 2018

¿Demasiadas contraseñas? ¡Usa un gestor!

Buenas! El verano parece que ya nos deja atrás y comienza de nuevo un curso escolar. Espero que tus vacaciones hayan sido magnificas y que empieces con mucha fuerza e ilusión. Nada es más relevante que tener energía y motivación por proyectos ilusionantes, ya sean personales o profesionales, ¿verdad? Veremos a ver qué nos trae el 2018/19.

Una de las cosas más tipcias que nos suele pasar cuando volvemos de vacaciones es que nos hemos olvidado nuestras contraseñas. Y cuando nos enfrentamos a ello somos conscientes de la cantidad de ellas que tenemos que recordar para estar más protegidos.

En el caso de los investigadores, solemos tener todavía más, porque tenemos acceso a muchas herramientas, perfiles en redes sociales, cuentas de email, etc. necesarios para nuestro trabajo.

Mis palabras mágicas de hoy, emanan de la expresión "¡hasta las narices de rellenar contraseñas!". Espero que te resulte útil este post.

Para empezar recordemos algunos tips típicos para contraseñas seguras:
  • No usar la misma contraseña, y mucho menos, para utilizar en cuestiones que sean confidenciales.
  • No dejar las contraseñas escritas en ningún papel (pues es como dejar en abierto tus credenciales para que las vea todo el mundo).
  • Utilizar letras mayúsculas, números y símbolos (cuando nos lo permiten) para hacerlas más robustas. Y si son largas, mucho mejor.
  • No decirle tus contraseñas a nadie, bajo ningún concepto.
  • Y si es posible, utilizar más factores de autenticación, por si nos las roban.
Normalmente uno se vuelve loco por dos cuestiones:

a) ¿QUÉ CONTRASEÑA ESCRIBO?

Por suerte para todos nosotros hoy en día existen numerosas páginas en Internet que nos facilitan la creación de contraseñas seguras, incluso en función de los criterios que nos solicita cada aplicación.

Aquí te dejo 3 páginas que pueden resultarte de interés, pues permiten generar contraseñas muy sólidas y seguras que sólo tú podrás ver (el servidor no se queda con ellas, incluso alguna genera la contraseña directamente en tu navegador).
  • https://www.clavesegura.org/
  • https://www.generarclave.es/
  • https://strongpasswordgenerator.com/

 b) ¿QUÉ HAGO CON MIS CONTRASEÑAS?

Desde luego, no deberías llevar una libreta donde apuntarlas, jajajaja. Y sé que por comodidad y porque se hace impracticable memorizarlas todas, termina siendo lo más normal. El problema es que un día se nos puede perder, leerlo alguien, etc. y ponemos en riesgo todo nuestro trabajo.

Para eso nacieron los gestores de contraseñas, cuya finalidad es simplificarnos la vida teniendo que recordar sólo una contraseña de acceso a la herramienta.

Una vez dentro del gestor, podrás activar la contraseña que necesites en cada momento. En unas aplicaciones es pulsando un botón y en otras arrastrando la contraseña. Sea como fuere, sólo tendrás que cargar tus contraseñas una única vez en el gestor y ya podrás olvidarte.

Ahora bien, como siempre en nuestro caso, nos preguntamos qué seguridad tiene este tipo de gestores. Y como siempre respondo lo mismo:

  •  Las herramientas instaladas en tu ordenador y que guardan los datos en él son "mas seguras" en tanto en cuanto tu ordenador esté protegido de intrusiones. Así que nada de caer en un phishing o tener el ordenador todo el día conectado sin una protección que vigile si alguien entra desde fuera para "espiarte". A cambio, sólo podrás utilizar dicha herramienta en tu ordenador.
  • Las herramientas en nube o que guardan datos en nubes son "más seguras" si eliges a un proveedor de la herramienta que invierte en proteger al máximo posible los datos o los cifra. Normalmente un proveedor de este tipo hará mucha publicidad del sistema de protección de datos que tiene. A cambio, podrás utilizarlas en cualquier momento y lugar, desde cualquier dispositivo. Pero lo dicho, al tener su base de datos en Internet, pueden ser objeto de un hackeo, por lo que lo más importante sea que los datos estén cifrados y sólo tú o tu dispositivo tenga la llave para descifrarlos.
Como siempre, para que puedas elegir la opción que más te interesa, he seleccionado algunos gestores bastante seguros que te pueden ayudar a descargar la ansiedad de las dichosas contraseñas. Te animo a probarlos y elegir aquel con el que te sientas más cómodo.

Los criterios que he seguido son:
  • Seguridad ante todo. Aunque ya sabes que no existe la seguridad 100%.
  • Que no sean demasiado caros en sus versiones premium particulares o familiar (que puede servir para una pequeña pyme). O dispongan de versiones gratuitas.
  • Que sean multiplataforma, por ejemplo, que los puedas usar en tu móvil o tablet además del ordenador. 
  • Que haya tutoriales de instalación y uso en internet para niveles de usuario básico.


GESTORES DE CONTRASEÑAS CON SISTEMA EN NUBE

Keeper



Keeper es un gestor realmente fácil de usar.

Para que te funcione debes instalarlo en los navegadores que vayas a utilizar. Y para el móvil, hay que utilizar su aplicación oficial.

Consiste en un pequeño icono que se instala en tu barra de navegación y que te permite introducir la clave maestra. Después navegas normalmente y cuando vayas a entrar en tu email, herramientas o redes sociales aparece automáticamente un icono en el usario y contraseña de la página que estás visitando, que sólo tienes que pulsar y verás cómo autocompleta.

Para incorporar las contraseñas a la herramienta sólo tienes que crear carpetas que te permitan organizar el contenido y dentro de las mismas "registros", que son las claves. Verás que te piden la url para poder detectar automáticamente en qué web necesitas el servicio.

Tiene una gran cantidad de funciones y posibilidades, como espacio de almacenamiento, posiblidad de guardar datos bancarios (no lo recomiendo) y otras cuestiones, diría que a veces demasiadas. Quizá no necesites la mayoría de ellas...

Coste, unos 2 euros al mes. Sólo tiene una versión gratuita trial.

LastPass


 LastPass es, sin duda, uno de los gestores más conocidos y aceptados para ser integrados con numerosas aplicaciones. De hecho un montón de grandes corporaciones lo utiliza como gestor de contraseñas, debido a ello.

Tiene una versión totalmente gratuita, pero que no te permite trabajar en nube, de manera que sólo te funcionará en un navegador en un ordenador. La versión premium personal es bastante similar a la anterior, aunque con menos espacio.

Para instalar, hay que hacerlo a través de los addon del navegador que utilices. Aunque desde su página supuestamente te lo hacen directamente, no es así, entre otras cosas porque necesitas tener la sesión de tu navegador abierta. Por ejemplo, si tienes Firefox, necesitas tener primero esta sesión abierta. La idea es que así, si tienes en múltiples ordenadores la misma sesión de Firefox, notengas que instalar elñ addon en cada uno que trabajes.

Una ventaja que tiene es que dispone de un generador de contraseñas propio para cuando lo necesites, así no tienes que recurrir a tu imaginación o a otros como el listado que te he propuesto. Además, incluye un sistema automático que te regenera las contraseñas de una plataforma cuando salta la noticia de que se han filtrado, por lo que es más proactiva en la defensa que la anterior aplicación.

Coste del premium: 1,5 euros al mes.





Bitwarden


Empezó siendo la versión OpenSource de LastPass, por lo que casi era una copia, sin embargo la han ido mejorando, incluso en cuanto a usabilidad y sistema multiplataforma.

No ofrece espacio de almacenamiento, excepto en la versión premium. Pero vamos, que en principio no es esto lo que estamos buscando.

Tiene una versión free sencilla y útil que puede servirte perfectamente si no quieres complicarte. Algo que me encanta es que al ser OpenSource tienes el código a tu disposición para adaptar la herramienta como mejor te convenga, incluyendo la posibilidad de instalarla en tu propio servidor, ya que tiene desarrollado el código para Docker.

Como los anteriores incluye la posibilidad de utilizar sistemas de doble autenticación (2FA) y en la versión premium puede ser todavía más segura.

Es igual que las anteriores: te creas unas carpetas e incluyes lo que ellos denominan "entradas", que son las contraseñas que quieras meter. En su caso, van rastreando las web en las que estás en cada momento (por ejemplo, si vas a una donde no tiene entradas, y pulsas en el icono de la barra de navegación, te dice que no tiene entradas para esa web).

Cuando vas a una web para la que tienen una "entrada", cambia el icono de la barra y te pone un numerito, que equivale a todas las "entradas" (claves) que tienes registradas para esa web. Pulsas en el icono de la barra de navegación, y seleccionas la que te interesa. Automáticamente se rellenan los campos para que puedas entrar. Es sencillísimo.

Coste del premium: 9 euros al año.

GESTORES DE CONTRASEÑAS CON LA BASE DE DATOS EN TU ORDENADOR

Sin duda la estrella de este tipo de gestores es Keepass.

Keepass

Keepass se instala en tu ordenador y funciona de modo local, de manera que la base de datos que necesita la herramienta para funcionar estárá siempre donde decidas instalarla.

Keepass es OpenSource y totalmente gratuite y sin duda sigue siendo una de las mejores opciones para gestionar contraseñas. Además, al instalarse de modo local es extremadamente segura, siempre y cuando no entren en tu ordenador para robarte dicha base.

Una vez que instalas la herramienta, la primera vez te pedirá que le digas dónde instalas la base de datos, así como otros criterios como el nombre, temas vinculados a seguridad, etc.

Cuando ya esté configrada la base de datos, funciona igual que las demás: puedes crearte carpetas para organizar las claves o ir añadiendo directamente las claves en "añadir entrada". El funcionamiento es muy sencillo, cuando estés en una web para la que tienes registradas las claves en el keepass sólo tienes que abrir la herramienta, seleccionar la clave que corresponde y arrastrarla a la ventana del navegador, y ya lo tienes!

Incluye también un generador de contraseñas seguras muy fácil de usar.

Pero sí reconozco que el proceso inicial para la instalación y puesta en marcha puede resultar un poco complejo. Igualmente, hay un montón de videotutoriales en YouTube que te pueden ayudar si te gusta esta opción.

Coste: free.

Espero que te pique la curiosidad y por lo menos pruebes a ver si te puede hacer la vida un poquito más fácil ;-)