¿Qué es un gestor de contraseñas?
Érase una vez, durante los primeros años de Internet, es posible que tuviera un puñado de contraseñas para algunas aplicaciones web esenciales que usaba para comprar, estudiar, mantenerse conectado y realizar el trabajo. Hoy en día, las cosas son mucho más complicadas. Un informe de 2017 de LastPass encontró que, en promedio, las personas tenían que recordar 191 contraseñas diferentes, solo para el trabajo, sin mencionar sus contraseñas personales.
Mientras que la tecnología promete hacernos la vida más fácil, y generalmente lo hace, cada nuevo sitio web y aplicación en la que nos registramos es otra contraseña que tenemos que recordar. Para la mayoría, se ha vuelto imposible recordarlos a todos. La Encuesta de Seguridad en línea de Google de 2019 encontró que el 52% de los encuestados reutilizó la misma contraseña para varias cuentas (pero no todas). Esto es un gran no-no.
Usando listas gigantes de contraseñas robadas (también conocidas como «volcados») compradas en la web oscura, los ciberdelincuentes pueden entrar a la fuerza en otros sitios o usar contraseñas antiguas para extorsionar a los usuarios en estafas. Este es el efecto dominó de la filtración de datos. Una brecha conduce a otra y a otra y así sucesivamente.
Según el informe de Investigaciones de Violaciones de Datos de Verizon de 2019, el 80% de las violaciones de datos se deben a contraseñas comprometidas, débiles y reutilizadas.
Entonces, ¿cómo llegamos hasta aquí y qué podemos hacer al respecto?
El famoso cómic web xkcd » Fuerza de contraseña «lo explicó mejor:» A través de 20 años de esfuerzo, hemos entrenado con éxito a todos para usar contraseñas que son difíciles de recordar para los humanos, pero fáciles de adivinar para las computadoras.»
Es verdad. hace 20 años, los profesionales de la ciberseguridad advirtieron a los consumidores por no cambiar las contraseñas predeterminadas en los dispositivos IoT (como su enrutador de Internet) o usar contraseñas fáciles de adivinar como «12345» o «contraseña». De esto surgió la contraseña larga y segura de la que xkcd se burla: una palabra común con una mezcla de letras mayúsculas y minúsculas, al menos un número y un símbolo.
Al crear una nueva cuenta, los sitios web exigen que creemos contraseñas largas y seguras. En su defecto, ni siquiera se nos permite hacer una cuenta. Suponiendo que uno supere la fase de creación de la cuenta, olvidará rápidamente el cifrado de la máquina Enigma que acaba de hacer y se resignará a usar la opción «¿Olvidó su contraseña?»enlace como opción de inicio de sesión diario.
Afortunadamente, no tienes que recordar todas esas contraseñas. Un administrador de contraseñas puede recordarlas por usted.
Malwarebytes Labs define un gestor de contraseñas como » una aplicación de software diseñada para almacenar y administrar credenciales en línea. También genera contraseñas. Por lo general, estas contraseñas se almacenan en una base de datos cifrada y se bloquean detrás de una contraseña maestra.»
Una vez que todos los nombres de usuario y contraseñas de su cuenta se han introducido en la bóveda, su contraseña maestra es la única que tiene que confirmar en la memoria. Al ingresar su contraseña maestra, se desbloquea su almacén de contraseñas y, a continuación, puede recuperar la contraseña que necesite.
¿Cuáles son los beneficios de usar un gestor de contraseñas?
Ya no tienes que memorizar todas tus contraseñas. Solo necesita recordar la contraseña maestra que desbloquea su almacén de contraseñas. Y si opta por un administrador de contraseñas basado en la nube, puede acceder a su almacén de contraseñas en cualquier lugar y desde cualquier dispositivo.
Pueden generar automáticamente contraseñas de alta seguridad para usted. Por lo general, los administradores de contraseñas le preguntarán si desea utilizar una contraseña generada automáticamente cada vez que cree una cuenta nueva con un sitio web o una aplicación. Estas contraseñas aleatorias son largas, alfanuméricas y esencialmente imposibles de adivinar.
Pueden avisarte de un sitio de phishing. Aquí hay un breve resumen de las estafas de phishing. Los correos electrónicos no deseados se falsifican para que parezcan de un remitente legítimo, como un amigo, familiar, compañero de trabajo u organización con la que haces negocios. Los enlaces contenidos en el correo electrónico dirigen a sitios web maliciosos falsificados de manera similar diseñados para recopilar credenciales de inicio de sesión. Si está utilizando un administrador de contraseñas basado en navegador, no completará automáticamente los campos de nombre de usuario y contraseña, ya que no reconoce el sitio web como el vinculado a la contraseña.
Pueden ayudar a sus beneficiarios cuando usted fallece. Esto se llama herencia digital. En el caso de su muerte, su familia o quien usted designe para administrar su patrimonio tendrá acceso a su bóveda de contraseñas.
Los gestores de contraseñas ahorran tiempo. Además de almacenar contraseñas para usted, muchos administradores de contraseñas también rellenan automáticamente las credenciales para un acceso más rápido a las cuentas en línea. Además, algunos pueden almacenar y rellenar automáticamente el nombre, la dirección, el correo electrónico, el número de teléfono y la información de la tarjeta de crédito. Esto puede ser un gran ahorro de tiempo al comprar en línea, por ejemplo.
Muchos administradores de contraseñas se sincronizan entre diferentes sistemas operativos (sistemas operativos). Si eres un usuario de Windows en el trabajo y un usuario de Mac en casa, súbete a tu Android de lunes a viernes y usa iOS los fines de semana, podrás acceder rápidamente a tus contraseñas independientemente de la plataforma en la que estés. Lo mismo ocurre con todos los navegadores web más populares, es decir, Chrome, Firefox, Edge, Internet Explorer y Safari.
ayudan a proteger su identidad. De manera indirecta, los administradores de contraseñas ayudan a proteger contra el robo de identidad, y he aquí el por qué. Al usar una contraseña única para cada sitio, esencialmente segmentas tus datos en cada sitio web y aplicación que usas. Si un criminal hackea una de tus cuentas, no necesariamente podrá entrar en ninguna de las otras. No es infalible, pero es una capa adicional de seguridad que sin duda apreciará después de una filtración de datos.
¿Los administradores de contraseñas son seguros?
Los administradores de contraseñas han sido hackeados, pero su historial general cuando se trata de proteger los datos de los usuarios es muy bueno.
Password manager LastPass sufrió una filtración de datos en 2015. Durante la brecha, los ciberdelincuentes se escaparon con los correos electrónicos de los usuarios, pero no lograron robar ninguna contraseña. Incluso si lo hicieran, la mayoría de los administradores de contraseñas, incluido LastPass, utilizan un cifrado de grado militar para mantener seguras las contraseñas.
Compare esto con Facebook, Google y Twitter. Los tres gigantes de la tecnología han admitido haber almacenado accidentalmente contraseñas de usuario en texto sencillo y legible, sin cifrado, para algunos de sus usuarios, desde hace varios años. Y en el caso de Google, hasta el 2005. Por lo que nadie sabe, ninguna de las contraseñas fue robada, aunque Google restableció las contraseñas afectadas «por precaución» inmediatamente después de descubrir su error.
Últimas noticias sobre gestores de contraseñas
¿Cuándo podemos deshacernos de las contraseñas para siempre?¿Los hackers van a hackear más? No si seguimos reutilizando contraseñas Por qué no necesitas 27 contraseñas diferentes
¿Cuáles son los tipos de administradores de contraseñas?
Los administradores de contraseñas basados en computadoras de escritorio almacenan sus contraseñas localmente en su dispositivo, como su computadora portátil, en una bóveda cifrada. No puedes acceder a esas contraseñas desde ningún otro dispositivo, y si pierdes el dispositivo, pierdes todas las contraseñas almacenadas allí. Los administradores de contraseñas instalados localmente son una excelente opción para las personas que simplemente no desean que sus datos se almacenen en la red de otra persona. Algunos administradores de contraseñas instalados localmente logran un equilibrio entre privacidad y comodidad al permitirle crear varias bóvedas de contraseñas en sus dispositivos y sincronizarlas cuando se conecta a Internet.
Los administradores de contraseñas basados en la nube almacenan sus contraseñas cifradas en la red del proveedor de servicios. El proveedor de servicios es directamente responsable de la seguridad de sus contraseñas. El principal beneficio de los administradores de contraseñas basados en la nube, 1Password y LastPass son buenos ejemplos, es que puede acceder a su almacén de contraseñas desde cualquier dispositivo siempre que tenga una conexión a Internet. Los administradores de contraseñas basados en la web pueden venir en diferentes formas, más comúnmente como extensión de navegador, aplicación de escritorio o aplicación móvil.
Inicio de sesión único (SSO). A diferencia de un administrador de contraseñas que almacena contraseñas únicas para cada aplicación que utiliza, SSO le permite usar una contraseña para cada aplicación. Piense en SSO como su pasaporte digital. Al ingresar a un país extranjero, un pasaporte le dice a los funcionarios de aduanas e inmigración que su país de ciudadanía lo respalda y que se le debe permitir ingresar con la mínima molestia. Del mismo modo, al usar SSO para iniciar sesión en una aplicación, no se requiere que verifique su identidad. En su lugar, el proveedor de SSO responde por su identidad. Las empresas prefieren los SSO a los administradores de contraseñas por varias razones. Principalmente, SSO es una forma segura y conveniente para que los empleados accedan a las aplicaciones que necesitan para realizar su trabajo. Los SSO también reducen la cantidad de tiempo que dedica a solucionar problemas y restablecer contraseñas olvidadas.
Prácticas recomendadas de contraseñas
No reutilice las contraseñas. Incluso con un gestor de contraseñas. En su lugar, cree contraseñas únicas para cada sitio y deje que su administrador de contraseñas haga lo que está diseñado para hacer.
Crear contraseñas complejas. Muchos administradores de contraseñas sugieren automáticamente contraseñas seguras cada vez que crea una cuenta para un sitio nuevo. Si no, intente usar una combinación aleatoria de letras y números, y cambie entre mayúsculas y minúsculas. Cuanto más complejo y sin sentido, mejor, especialmente porque no tendrá que recordarlo. El administrador de contraseñas lo hará. La única diferencia clave está en crear su contraseña maestra (la que desbloquea todas las demás contraseñas). Este tendrá que recordarlo, así que a menos que tenga una memoria eidética, intente pensar en algo memorable para usted, pero que no se pueda rastrear fácilmente hasta su identidad. Luego, agregue algunas mayúsculas, algunas letras y algunos caracteres elegantes, y tendrá un almacén de contraseñas bien protegido.
Use una frase de contraseña. Cuando se trata de crear su contraseña maestra (la que desbloquea sus otras contraseñas), intente usar una frase de contraseña; es decir, una serie de palabras que sean fáciles de recordar, pero difíciles de adivinar. Algo familiar con un giro extraño, por ejemplo: «helado de burrito de frijoles partido.»O simplemente un montón de cosas aleatorias que un humano puede visualizar fácilmente, pero una computadora no puede:» coche de aguacate de neón de rata elegante.»¡Usa tu imaginación! Mascotas, niños u otros apellidos, o frases como » ¡Déjame entrar!»son demasiado comunes y, por lo tanto, fáciles de descifrar para los ciberdelincuentes.
Habilite la autenticación de dos factores (2FA) o multifactor (MFA). Una de las mejores formas de proteger cualquier cuenta, administrador de contraseñas o no, es habilitar MFA. Con un administrador de contraseñas habilitado para MFA, se le pedirá que verifique su identidad utilizando dos o más factores de autenticación, que incluyen algo que sabe, algo que posee y algo que es. Lo que sabes normalmente es tu contraseña, pero también puede ser un número PIN. Algo que poseas puede ser tu teléfono móvil, tarjeta bancaria o un token de seguridad en una memoria USB. Por último, algo que usted es se puede verificar mediante datos biométricos, como reconocimiento facial, de voz o de iris e identificación de huellas dactilares. La biometría de comportamiento, como las pulsaciones de teclas, también se puede aplicar.
Esta capa adicional de seguridad significa que cualquier persona que intente iniciar sesión en su cuenta (incluido usted mismo) deberá controlar esos factores de autenticación adicionales fuera del nombre de usuario y la contraseña. Un ejemplo de esto sería: Después de ingresar su contraseña maestra para acceder al administrador de contraseñas, se enviará un código a su teléfono móvil, que deberá ingresar antes de acceder al almacén. Una cosa a tener en cuenta al usar su teléfono como factor de autenticación: los números de teléfono pueden ser secuestrados.
Se llama SIMjacking (también conocido como intercambio de SIM) y sucede cuando un ciberdelincuente, haciéndose pasar por ti, convence a tu proveedor de telefonía para que reasigne tu número de teléfono a su teléfono respondiendo con éxito a tus preguntas de seguridad. Una búsqueda rápida en las redes sociales a menudo es todo lo que se necesita para que los delincuentes obtengan las respuestas que necesitan. Y una vez que los criminales tienen el control de su teléfono, tienen todo lo que necesitan para robar su identidad. En consecuencia, puede buscar un autenticador basado en software como Authy o Google Authenticator en lugar de cuentas críticas.
Piénsalo dos veces sobre los administradores de contraseñas gratuitos. Muchos de los gestores de contraseñas gratuitos más populares en realidad operan bajo un modelo de negocio freemium, lo que significa que debe pagar si desea las mejores funciones, a veces esenciales. ¿Necesita que sus contraseñas se sincronicen entre navegadores y dispositivos? ¿Necesita herencia digital? ¿Necesitas compartir tus inicios de sesión con tu familia? ¿Necesita autenticación multifactor? Los administradores de contraseñas gratuitos no suelen incluir estas funciones. El AMF, en particular, es imprescindible. En el debate entre gratis y pagado, opte por un administrador de contraseñas de pago.
Crear una directiva de administrador de contraseñas. Este es un consejo para pequeñas y medianas empresas: Cree una política de administrador de contraseñas y haga saber a los empleados que está bien usar un administrador de contraseñas para proteger sus cuentas de trabajo. Su personal ya está utilizando una mezcolanza de métodos potencialmente inseguros para tratar de administrar sus muchas contraseñas, y la mayoría de las filtraciones de datos comienzan con una contraseña débil o reutilizada. Una política oficial de administrador de contraseñas es su primera línea de defensa contra un ciberataque en su red.