Los gestores de contraseñas casi siempre crean polémica, porque están directamente relacionados con nuestra seguridad online, un tema importante que nunca hay que tomar a la ligera. Hay quien los defiende porque ayudan a crear y usar contraseñas más seguras, mientras que quienes están en contra de ellos suelen argumentar que tener todas las contraseñas en un solo lugar (y más aún, si están online) es peligroso, además de un cebo casi irresistible para cibercriminales.
Así pues, gestores de contraseñas, ¿sí o no? En este artículo Gabriela y yo nos ponemos una frente a la otra (ella en contra, yo a favor) para explicar nuestra postura ante ellos. Gabriela, por un lado, explicará por qué no lo usa, y qué trucos puedes poner en práctica para tener contraseñas seguras aunque no uses un gestor de contraseñas; yo, por mi parte, enumeraré las razones por las que uso un gestor, y qué alternativas interesantes hay para probar.
Por qué uso un gestor de contraseñas
Durante mis primeros años como usuaria de Internet era un poco inocente con el tema de las contraseñas. Claro que, también eran otros tiempos: no tenía dos docenas de perfiles en otros tantos servicios online diferentes, ni tampoco existían la cantidad de amenazas que nos encontramos ahora.
Luego, a medida que la red creció en tamaño y complejidad, y a la vez yo me fui creando más cuentas de usuario en servicios de correo electrónico, redes sociales, streaming de música y demás, fui consciente de la necesidad de crear contraseñas en condiciones para todas ellas.
Sin embargo, ese no fue el momento en que decidí probar un gestor de contraseñas. Primero probé con los trucos mnemotécnicos que usamos muchos para generar contraseñas: utilizar algunas letras relacionadas con el servicio en cuestión, algún número que signifique algo, vocales, algún que otro símbolo tipográfico... y mezclarlo todo con la esperanza de que, llegado el momento, podría recordar la contraseña.
El truco funcionó hasta que, sinceramente, fueron demasiadas. Y cada vez eran más difíciles de recordar, a menos que las hiciera más sencillas y más cortas - con el consiguiente peligro- para la seguridad online. En ese momento, alguien me recomendó SplashID (el primer gestor de contraseñas que usé) y decidí darle una oportunidad.
Desde entonces no he vuelto atrás. Todas mis contraseñas están almacenadas en una base de datos, accesible en cualquier momento desde cualquier dispositivo mediante una app, y no tengo que preocuparme de memorizarlas; sólo la que me da acceso a esa base de datos.
El hecho de que las contraseñas estén en la nube es uno de los puntos que más echa para atrás a quienes no usan todavía un gestor. Eso, y el peligro de un ataque por parte de cibercriminales, como sufrió en 2015 el propio LastPass. Con todo, creo que usar un gestor de contraseñas es bastante más seguro que tenerlas apuntadas en una libretita (que también conozco a quien hace eso).
Es más seguro, porque las empresas que se dedican a esto ya se preocupan de cifrar las contraseñas con potentes algoritmos que hacen que sea muy difícil acceder a ellas - es decir, un hacker puede entrar en el servicio, pero lo tendrá bastante más complicado para “leer” lo que se guarda en la base de datos.
De hecho, en julio de este mismo año un analista de seguridad descubrió y reportó un fallo de seguridad también en LastPass, y aun así, sigue defendiendo su uso: “No deberíamos dejar de usar gestores de contraseñas. Siguen siendo una opción mucho mejor que usar la misma contraseña en varios servicios diferentes”.
Lo que está claro es que no podemos confiar únicamente en los algoritmos de cifrado de nuestro gestor de contraseñas, y debemos poner también algunas medidas de nuestra parte para aumentar aún más la seguridad de los servicios que usamos online. La primera y más lógica, de nada sirve usar un gestor de contraseñas si la clave maestra para acceder a él es algo así como “12345”. Esa clave debe ser segura, y no debe compartirse jamás con nadie.
Por otro lado, cada día más servicios ofrecen la verificación en dos pasos como medida de seguridad extra, y es algo que no deberíamos dudar en activar siempre y cuando tengamos la posibilidad de hacerlo.
Algunas alternativas interesantes
Decía antes que mi primer gestor de contraseñas fue SplashID, pero ahora uso 1Password. Los dos son de pago, y ofrecen características similares, aunque lo que finalmente me atrajo de 1Password es su app de móvil, con mejor diseño (para mi gusto) y, sobre todo, compatible con el sensor de huellas de mi móvil.
1Password es en realidad un gestor de contraseñas offline, que las guarda en tu PC o Mac (para tranquilidad de los enemigos de la nube). Pero si quieres también tenerlas disponibles en la app de móvil para poder consultarlas en cualquier momento, puedes sincronizarlas de varias formas: a través de USB o wifi conectando tu móvil con el ordenador, o usando un servicio como iCloud o Dropbox, por ejemplo.
Otra cosa que me gusta de 1Password es su función Families, con la que los cinco miembros de una sola familia disfrutan de una licencia de uso completa del programa por unos 4,5 euros al mes. Y además siempre puedes probarlo gratis durante 30 días antes de decidir pagar o no.
LastPass ha tenido cierta mala prensa en los últimos meses, razón por la que quizás hayan decidido ofrecer gratis la sincronización con múltiples dispositivos, que hasta ahora era una característica de la versión Premium. Sigue siendo un buen servicio, pero puedo entender las reticencias de alguien a la hora de hacerse una cuenta en él.
Otra buena alternativa que he probado es Dashlane. Lo que más llama la atención de este gestor de contraseñas es su cuidado diseño, y una función especialmente cómoda cuando navegas por Internet: el inicio automático de sesión en todas aquellas webs que te pidan una contraseña, y tengas ésta guardada en Dashlane. Tiene una versión gratis, pero la Premium es la que te permite sincronizar datos entre dispositivos (lo que considero una característica esencial).
Por último, la mejor opción para quienes deseen usar un gestor de contraseñas sin los potenciales peligros de la nube (y que además es de código abierto) es KeePass. Este gestor ligero, fácil de usar y totalmente offline guarda tus contraseñas en una base de datos cifrada a la que sólo se puede acceder con una clave maestra. Si no necesitas llevar tus contraseñas siempre encima, puede ser una excelente alternativa.
Por qué no uso un gestor de contraseñas
Los gestores de contraseñas se han hecho muy populares en los últimos años, y con buena razón. Representan una forma sencilla de tener contraseñas complejas y seguras en todos tus servicios sin tener que recordarlas todas. Sin embargo, yo estoy del lado de los que prefiere seguir usando su menos infalible cerebro para llevar el control.
Es cierto que recordar demasiadas contraseñas puede ser pesado, pero cuando llegas al punto en el que crear contraseñas nuevas o ingresarlas, ya es casi automático para ti gracias a la formula que usas, el gestor se ve menos y menos de ayuda y más como una molestia.
En mi caso particular está el problema de que no utilizo una única plataforma en todos mis dispositivos. Así como uso Windows uso Linux, así como uso Android uso iOS, y así como uso un navegador uso otros tres. Encontrar un gestor de contraseñas que funcione igual de bien en todos lados y no represente el problema de que una plataforma se me quede por fuera, es complicado a veces.
También está el asunto de que el servicio de gestor de contraseñas no es infalible, y se me preocupa que alguno de los servicios que utilizo pueda verse comprometido en un fallo de seguridad, más me asusta que sea mi gestor de contraseñas que lo almacenaría todo bajo un solo password maestro.
Son razones bastante personales, y sigo pensando que el gestor es una excelente alternativa para el usuario que lo encuentre cómodo. Pero, tampoco lo considero el método definitivo y existen alternativas para gestionar tus contraseñas de forma segura y mantener tus cuentas a salvo sin depender de otro servicio, que además suele ser de pago.
Qué usar en lugar del gestor
Se que suena molesto, pero usar tu propia mente no es algo tan descabellado. Ni siquiera debes depender completamente de tu propia memoria, pero si de la nemotecnia. Un truco que me gusta usar para crear una contraseña compleja y larga (es muy importante que sea larga), es usar una canción, un número, y algo con lo que asociar el servicio.
Por ejemplo, digamos que quiero crear una contraseña para Facebook:
- Elijo una canción que me sepa de memoria (puede ser la misma canción para todas tus contraseñas, siempre que introduzcas otra variable para que las contraseñas cambien).
- Cojo la primera o la última letra de cada palabra del coro, pueden ir algunas en minúscula y otras en mayúsculas.
- Añado un número que siempre recuerde (puede ser una constante en las demás contraseñas).
- Añado algo relacionado con el servicio para diferenciar la contraseña: una "F" de Facebook, solo las vocales o consonantes de la palabra, el color "azul", la palabra "social", etc.
- Agrego al menos un símbolo al principio o al final.
Me quedaría algo así: HftosImhcaTT4378Fbook%
. Intenten adivinar la canción.
Si usas la misma formula siempre (algo que solo tú sepas), las contraseñas serán complejas, difíciles de adivinar por humano o máquina y además no tienes que recordarlas literalmente, solo la formula.
Lo segundo es tratar siempre de usar la verificación en dos pasos para darle ese toque de seguridad extra a nuestras cuentas, eso sí, no uses el método de SMS. Y, siempre, siempre que tu cuenta se vea comprometida en algún fallo de seguridad, cambia la contraseña de nuevo.
En Genbeta | ¿Cuánto tiempo lleva siendo 123456 la peor contraseña posible y por qué nunca lograremos eliminarla?
Ver todos los comentarios en https://www.genbeta.com
VER 18 Comentarios