A favor / en contra de usar un gestor de contraseñas: estos son los argumentos

Las contraseñas generadas por humanos siempre tienen una baja entropía. Son malas. Aún menos aleatorias si podemos recordarlas. Los humanos hacemos muchas cosas bien, como reconocer caras, pero somos muy malos en otras, como las importantes al generar una contraseña: que tenga una alta entropía ("""que sea totalmente aleatoria"""), que esa entropía se pueda representar de la mejor forma posible (más caracteres posibles y más longitud = mejor representación).... y que no se utilice en más de un sitio.

Sin usar un gestor de contraseñas, lo mejor que se puede hacer es recurrir a un sistema de reglas mnemotécnicas, pero son muy inferiores a un generador aleatorio de un ordenador y fáciles de romper.
Por ejemplo, la mayor parte de las veces que alguien recomienda reglas mnemotécnicas para las contraseñas, recomienda coger la primera frase de un libro o capítulo y hacer lo que Gabriela hace con una canción. Pues bien, sabiendo ésto, no es difícil preparar unas rainbow tables a partir de una base de datos de libros (hola, epubs) y, ya puestos, canciones.
Sí, es muchísimo mejor que las típicas contraseñas-de-mierda que se suelen usar, pero muy inferior a un generador aleatorio.

Por otro lado, y para terminar... Los gestores en la nube son lo peor. La mejor opción es utilizar gestores que deriven las contraseñas a partir de funciones hash a partir de una contraseña maestra, un salt y la web/servicio concretos. En estos casos, de hecho, sí se puede considerar segura una sincronización en la nube, ya que las contraseñas se vuelven a derivar con las funciones HASH cada vez que hacen falta, por lo que realmente no están guardadas en ningún sitio.
Así es mi gestor. Es algo menos cómodo que un gestor normal, como 1pass o lastpass, pero mucho más seguro.

Tras tanta nota de brechas de seguridad por doquier, finalmente hace varios meses decidí buscar un gestor de contraseñas. Encontré muchas alternativas en la nube pero si funcionaba en un dispositivo no valía para el siguiente, ¿y si además la obsolescencia programada?, ¿y si luego no me deja exportar mis datos?.

Un gestor de contraseñas en la nube, ¡nunca!

Poner mi privacidad en manos de alguien más es cuando menos irónico. Peor cuando los valores que rigen el modelo de negocio no son siquiera acordes. Me refiero por supuesto a que una empresa pone primero los intereses de sus inversionistas y luego los de sus clientes, invariablemente.

Si el servicio fuese proporcionado por una organización cooperativa o sin ánimo de lucro, me daría más confianza porque los valores de los individuos que la manejan son bien distintos. Aún así, cuando de seguridad se trata, la buena fe no basta.

Afortunadamente encontré KeePass, un gestor de contraseñas con base de datos y cifrado local (con posibilidad de sincronización mediante servidor propio o algún servicio como Dropbox) que además es de código abierto y posee clientes para todas las plataformas mayores. No solo de nombre, me consta que funciona en Ubuntu, OSX, Win2, iOS y web, así como las extensiones para Firefox y Opera. También vi pero no uso los clientes para Chrome, Android y otras plataformas no tan mayores.

Eso si, no mentiré. Su configuración inicial en Ubuntu me dio más trabajo que en Yosemite, y en Windows 10 es descargar y cantar. El software cliente los hay de todos, libres, gratuitos y de pago, bonitos, feos, usables y geniales. Al final uno se lleva su rato buscando y configurando el cliente perfecto. Pero como todos sabemos, lo bueno, cuesta.

Hoy no me cambiaría, KeePass me ha resultado muy fácil de usar y me da una gran sensación de seguridad. Aunque de haber sabido de la mnemotécnica en aquel momento probablemente no hubiera considerado un gestor.

Ojalá puedas escribir un artículo extendido sobre mnemotécnia Elena, se antoja bastante interesante y además útil.

Lamento decirles que las reglas mnemotecnicas como las descritas, aunque mejores, son vulnerables a ataques de diccionario con programas como john the ripper. Existen diccionarios para cada idioma con combinaciones de iniciales y otros caracteres, no hay tantas canciones, frases, proverbios, titulos en un idioma como parece, no tantos para un rippeador. Eso combinado con otros caracteres en multitud de combinaciones, ya esta compilado en diccionarios que se pasan en cuestion de minutos o pocas horas. Aqui la debilidad pasa a ser el esquema de creacion, que la gente usa unos cuantos y los mismos.

Con lo descrito en el articulo es trivial crear un diccionario para castellano+ingles que encuentre la mayoria de las otras contraseña de esa persona. Ves cambiado de esquema :-)

Solo una prueba de concepto: http://repository.cmu.edu/cgi/viewcontent.cgi?article=1043&context=isr

"...the majority of users select phrases from music lyrics, movies, literature, or television shows. The text of these sources is often available on the Internet. This opens the possibility that a dictionary could be built for mnemonic passwords. If a comprehensive dictionary is built, it could be extremely effective.
Mnemonic phrase-based passwords are not as strong as people may believe, but that does not mean that we should refrain from using them.
System designers and administrators should specifically recommend to users that they avoid generating mnemonic passwords from common phrases.
While mnemonic-phrase based passwords may not be a panacea for the password selection problem, they do offer a user-friendly alternative for encouraging users to create good passwords."

Pues yo uso KeePass junto con el plug-in http para los formularios web, esto junto con Dropbox me permite llevar mis contraseñas en cualquier dispositivo.
Además es compatible con Linux, plug-in incluido.

Getor de contraseñas, si, por supuesto, pero no para todas.

Las realmente importantes las guardo en la memoria
-email principal (serio)
-bancos
-etc

El resto (foros principalmente) en en LastPass, y tan contento.

yo solia guardar mis contraseñas en un papel, luego use servicios en la nube, pero desde que encontre una formula que (obvio que no es infalible, pero es lo suficiente para mi) hace que al menos aparentemente sea dificil descifrar la contraseña, y resuelve el problema de tener muchos servicios.
Funciona asi:
1.- Genero un contraseña fuerte de 6 u 8 caracteres (incluyendo numeros, letras, signos, minusculas, mayusculas, etc). Esta será la que hay que memorizar (yo creo que cualquiera puede memorizar 6 u 8 letras si las usa todos los dias)
2.- Añado un o varios delimitadores, entre _ / - = # (por ejemplo 3 guines bajos).
3.- Añado el nombre del sitio, aplicacion, etc, Por ejemplo: facebook
4.- Añado de nuevo delimitadores (igual que en el paso 2)

Al final mi contraseña por ejemplo por decir para outlook podria ser generada como:
Jn&3F%==outlook___

como dije lo unico que hay que recordar es
contraseña inicial fuerte (en este caso Jn&3F%) + delimitador + nombre servicio o aplicacion + delimitador

Suscribo lo que se dice por aquí : gestores sí, pero en el propio dispositivo (teléfono / PC...) como mucho con opciones de sincronización/backup a través de sistemas externos a elección (Dropbox, Google Drive,...), lo cual además significa que estás usando un producto, no un servicio (nada de cuotas y menos peligro de hackeo).
Esto permite establecer contraseñas puramente aleatorias y por lo tanto más seguras. Yo personalmente uso enpass.

Gestores de contraseñas: SÍ, imprescindible!
De no ser por ellos nunca habría podido asignarle una contraseña diferente a cada servicio, son demasiadas para recordar sin volverme un caos, además, tengo una formula lo suficientemente pensada pero fácil de recordar para generarlas. Uso Lastpass que me parece increíble y muy seguro si lo configuras de manera correcta, hay demasiada paranoia respecto a almacenar contraseñas en la nube pero están cifradas, de hecho ya perdí una vez el acceso a una cuenta de Lastpass cuando aún no la usaba a diario simplemente porque no hubo manera de que recordara la contraseña y había formateado mi computadora.

También he usado Keepass que puede ser tan versátil como necesites invirtiendo un poco de tiempo en configurarlo de la manera que deseas con o sin plugins que extiendan sus funcionalidades. He estado pensando pasarme a este gestor pero por el momento me basta con Lastpass.

+1 al gestor de contraseñas y en especial a keepassx (keepassx.org), no al keepas que han enlazado aquí. Es multiplataforma, Windows, Linux, Mac, y hay alguna version para Android también, con lo cual el principal argumento de Gabriela queda rebatido. Además, querer recordar una contraseña para cada sitio es completamente inviable a no ser que empieces a caer en el error de poner la misma contraseña en todas partes. Y tampoco me gusta la verificación en dos pasos mediante el movil porque acabas dandole tu movil a un monton de desconocidos y servicios espia como Google o Facebook que mejor que no tengan tu movil

Muchísimas veces me pregunté si era necesario algún gestor, en efecto, luego de tener taaaantos servicios y tantas cuentas (ademas del creciente debate sobre almacenar contraseñas en el navegador) decidí buscar una alternativa que me brindara lo siguiente:

- Sincronización entre plataformas
- Facilidad para ingresar los datos en las apps (plugin) solo seleccionando el usuario
- Importador de contraseñas desde el navegador
- Buenos reviews en cuanto a su seguridad
- Gratuito (no tengo dinero para estar pagando un gestor de contraseñas, soy de Venezuela)

Y finalmente descubrí LastPass como resultado de mi búsqueda, que maravilla!, ademas la verificación en 2 pasos con el token de Google me pareció excelente.

Importé todo, configure a mi gusta y finalmente cambie tooooodas mis contraseñas por strings mas difíciles y que yo no tuviera que memorizar. Y fui feliz dos semanas, a la segunda semana el LastPass se volvió loco, cambios cosas que no tenia que cambiar, algo falló, no pude tener acceso y tuve que reiniciar todo. Que terminé haciendo?, cambiar la contraseña una por una de todas mis plataformas nuevamente y dejar perder muchas otras que aun no he podido recuperar.

¿El problema?

Delegarle mas de 100 contraseñas a un tercero del cual no tenemos el control 100%

¿Moraleja?

Vamos!, no somos Donald Trump para ser blanco de hackeo intenso y constante, y dudo que alguno de los que lea Genbeta lo sea tampoco. Creen su contraseña (diferente para cada plataforma) siguiendo estos mismos trucos y nadie podrá descifrarlos. De hecho, creé mi propio método de contraseñas en las cual no tengo que aprendérmela de memoria, solo saber a cual plataforma estoy accediendo y ya con eso sabré cual es la cadena de caracteres, algo muy parecido al detallado en el articulo.

Conclusión

Dejen la paranoia y sean mas felices, implementar varios servidores ultra entrciptados, desarrollos propios con archivos pgp para proteger caracteres, cientos de dolares en aplicaciones hiper super seguras, verificaciones en 7 pasos con lectores de retina y huella dactilar y mensaje de correo aprobado por la OEA en 10 idiomas diferentes.... para proteger el password de twitter?? hahahahahaha...

Bueno es mi opinión, saludos.