Últimamente la seguridad de nuestras contraseñas ha vuelto a salir a la palestra a raíz del Celebgate y la filtración de cinco millones de contraseñas de Gmail. Y es que por mucho que tratemos de ir a otros modelos de autenticación o busquemos medidas de seguridad adicionales, las contraselas son prácticamente inevitables a día de hoy.
Por eso en Xataka hemos querido hacer un repaso al tema, explicando qué es realmente una contraseña segura y cómo podemos crearlas nosotros mismos. También revisaremos gestores de contraseñas, viendo cuáles son más recomendables y cómo nos pueden ayudar.
Creando contraseñas seguras
Empezando por lo primero: ¿qué es una contraseña segura? La respuesta es fácil: una contraseña que no pueden adivinar ni ordenadores ni humanos. Por ejemplo, _28712_ es una contraseña que le costará adivinar a una persona, aunque un ordenador no tardaría mucho haciendo intentos aleatorios (fuerza bruta). Por otra parte, costaría que un programa adivinase _mellamoguillermojulián_, pero igual alguien que me conozca apenas tarda dos intentos en encontrarla.
Los consejos básicos suelen ser que usemos contraseñas suficientemente largas (12 caracteres es suficiente para que un ataque por fuerza bruta sea prácticamente imposible, ni ahora ni en unos cuantos años), y sobre todo que no sean comunes. Aquí va una lista más o menos completa:
- Cuantas menos palabras de diccionario uses, mejor. Sí, "libroordenadorpatata" es una contraseña larga pero son tres palabras comunes, sencillas de adivinar.
- No uses datos personales, o al menos no directamente. Un ordenador no adivinará que tu contraseña es "alamedilla85", pero igual alguien que sepa dónde y cuándo naciste igual sí saca esa contraseña.
- Por supuesto, tampoco uses tu nombre usuario o nombre real como contraseña.
- Usa símbolos, números, y mayúsculas.
- No uses contraseñas comunes, como "1234", "contraseña" o "asdfg".
- Usa contraseñas diferentes para cada servicio. El consejo más importante, diría yo.
- Cambia cada cierto tiempo las contraseñas.
A estas alturas estos consejos son conocidos por todos, y seguro que cualquiera puede aporrear el teclado y sacar una contraseña imposible de adivinar, como _jhg7896/%asd7asdgFA&1_.
La cuestión es que no nos sirve de nada tener una contraseña segura si no nos acordamos de ella. Buscando sobre este tema, de hecho, me encontré con una frase que debería quedársenos grabada:
La seguridad a costa de la usabilidad, es a expensas de la seguridad
Traducción: para que una contraseña sea de verdad segura, tiene que ser fácil de recordar. Para ello hay dos opciones. La primera es tener un algoritmo para crear tus contraseñas, de tal forma que sólo tengas que recordar una serie de pasos y no cuarenta contraseñas. Uno de ejemplo:
- Cogemos una frase fácil de recordar: _yo juego al baloncesto con el número 15_.
- Nos quedamos con la letra inicial de cada palabra: _yjabcen15_. Con esto ya tenemos una base.
- Para que la contraseña sea distinta para cada sitio, añadimos un guión y el nombre del servicio en mayúsculas: _yjabcen15-XATAKA_.
- Y ya para acabar, añadimos después el número de vocales que tenga el servicio, pero sustituyéndolo por un símbolo. En este caso _shift + 3_ es "·", así que la contraseña final es _yjabcen15-XATAKA·_.
Al final acabamos con una contraseña de 17 caracteres, suficientemente segura tanto para ordenadores como para humanos. Lo único malo es que nos exponemos a que alguien adivine nuestro algoritmo, así que siempre podemos añadir algo de "salsa secreta": por ejemplo, en lugar de usar el número de vocales del servicio, le sumamos un número secreto que sólo sepamos nosotros y nos quedamos con el último dígito del resultado. La cuestión es usar un método que nos resulte fácil de recordar y que no sea demasiado sencillo para que alguien lo adivine.
Tampoco hace falta romperse mucho la cabeza con las contraseñas. Los tipos de ataques a los que vamos a estar expuestos como usuario común son dos: ataques de fuerza bruta al _hash_ de nuestra contraseña (cuando un atacante entra en una web y obtiene la lista de contraseñas _hasheadas_ de los usuarios) y ataques personales de alguien que quiera entrar específicamente en nuestra cuenta. Para lo primero basta con no tener una contraseña común: a partir de un mínimo de seguridad los atacantes no van a invertir tanto tiempo para encontrar unas pocas contraseñas más.
Y para lo segundo, suele bastar con que la contraseña no tenga datos personales ni sea simple de adivinar para alguien que nos conozca, así que en cuanto nos compliquemos un poco nos quitamos este posible escenario.
En resumen, aunque es obvio que cuanta más seguridad mejor, en cuanto sigamos unos mínimos consejos de seguridad (contraseñas largas y no repetidas en diferentes servicios) tendremos la confianza de que no estaremos al alacance de los ataques más comunes.
Gestores de contraseñas
Otra posibilidad es dejar a los gestores de contraseñas que nos hagan el trabajo: ellos generan contraseñas aleatorias y las recuerdan por nosotros. Simplemente tenemos que limitarnos a saber la contraseña maestra que da acceso a nuestras cuentas. En Genbeta hicimos en su momento varias comparativas de servicios del estilo.
Además de generar las contraseñas, estos gestores se integran en nuestro navegador para rellenar los formularios de _login_ de los sitios web, de tal forma que con sólo pulsar un botón se copie el usuario y contraseña. También son capaces de rellenar automáticamente perfiles cuando nos registramos, o de guardar las contraseñas cuando entramos en un sitio que no teníamos guardado. En muchos casos también podremos guardar otro tipo de credenciales, aunque no estén ligadas a páginas web.
Las contraseñas se almacenan cifradas usando nuestra contraseña (y en algún caso datos adicionales), de tal forma que nadie más que nosotros puede leerlas. Así, podemos crear contraseñas muy seguras sin que haga falta que nos acordemos de ellas: ya lo hace el gestor por nosotros.
Ahora mismo, yo daría tres opciones: Lastpass, 1Password y KeePass.
KeePass es una utilidad de código abierto que mantiene nuestras contraseñas cifradas en una base de datos. La ventaja es que absolutamente todo está bajo nuestro control. La desventaja es que tenemos que preocuparnos nosotros de instalar además los plugins para los navegadores y de encontrar una forma de sincronizar las contraseñas entre dispositivos. Entre aplicaciones oficiales y no oficiales, está disponible para prácticamente cualquier sistema.
1Password tiene la misma idea de KeePass, pero es más fácil de usar, de integrar y además está preparado para sincronizar a través de Dropbox. Tiene aplicaciones para Windows, Mac, iOS y Android.
El último es mi favorito y el que yo recomendaría: Lastpass. La principal desventaja es que tus contraseñas se almacenan en la nube, aunque Lastpass promete que están cifradas con una clave derivada de tu contraseña maestra y correo, y que aunque un _hacker_ entrase en sus servidores no podría ver ninguna contraseña. A cambio, LastPass puede ofrecer más controles de seguridad: permitir _logins_ sólo desde ciertos países, impedir que entren desde Tor, activar autenticación en dos pasos o incluso cerrar sesiones en ciertos ordenadores.
¿Por qué recomendaría Lastpass? Aparte de porque ya me he acostumbrado, creo que si vamos a sincronizar nuestras contraseñas entre dispositivos es mejor hacerlo con un servicio dedicado a ello que guardar nuestra base de datos en otras nubes o que ande rondando por ahí con un USB. De todas formas, en la práctica, cualquiera de los tres servicios es igual de seguro si los usamos bien.
¿Podemos confiar en un gestor de contraseñas?
En cuanto a los posibles problemas de seguridad, es cierto que es un único punto de fallo: un acceso ahí y tienen todas nuestras contraseñas. Pero por otra parte, ¿qué es más fácil? ¿Asegurar una cuenta o asegurar cincuenta? Podemos aumentar las medidas de seguridad en un único punto y darle más seguridad a _todas_ nuestras contraseñas. Además, estos productos, como decía antes, están dedicados a mantener tus contraseñas seguras y probablemente vayan a hacer un mejor trabajo de lo que harías tú sólo.
Un gestor de contraseñas nos puede dar más seguridad que la que podríamos lograr la mayoría de nosotros por nuestra cuenta.
Realmente es muy difícil que alguien acceda a los datos de tu gestor de contraseñas si tienes una buena contraseña maestra. Los datos se guardan cifrados y, en el caso de 1Password y Lastpass se transmiten por HTTPS. Incluso aunque hubiese alguien leyendo todo lo que mandas por Internet, no podría ver ninguna contraseña. Tampoco tendría éxito un atacante que entre a los servidores de Lastpass o que acceda a tu base de datos en Dropbox (o cualquier otro servicio de sincronización): sólo vería un montón de datos inútiles, imposibles de descifrar.
Y además, siempre podemos combinar los gestores de contraseñas con otros métodos. Por ejemplo, dejando por ejemplo las cuentas importantes (correo, bancos) con contraseñas seguras que no se guarden en el gestor, y dando a esas cuentas una capa más de protección con autenticación en dos pasos.
A modo de conclusión, en estas cosas hay que usar el sentido común, minimizar riesgos sin olvidarnos de la comodidad (no sirve de nada tener un método superseguro para gestionar contraseñas si no lo usamos), y procurar no depender de una única herramienta o método - mucho mejor usar un gestor y tu memoria que sólo un gestor: ¿qué pasa si éste deja de funcionar?.
Imágenes | Flickr
Ver 57 comentarios
57 comentarios
lolo_aguirre
Lo más práctico es tener un amigo en la NSA y llamarlo cuando no te acuerdes de alguna. Seguro que él se la sabe.
glitches
Yo le di unas cuantas vueltas hasta que me decidi por KeePass .
Es un poco engorroso al principio si tienes muchas contraseñas pero se tiene todo absolutamente controlado y la sincronizacion entre equipos es igual que cualquier otra sincronizacion de archivos entre ordenadores o la nube. Tambien puedes optar por la version portable y usar el pendrive en ordebadores ajenos.
naproxen
A mí no me hace mucha gracia eso de que mis contraseñas estén guardadas en un fichero o especialmente en la nube. Yo uso una aplicación que se llama Twik, con la que tengo una contraseña distinta para cada web pero no están almacenadas en ningún sitio. Las contraseñas se generan automáticamente cuando hace falta usando un algoritmo criptográfico, a partir de mi clave maestra, que no se guarda en ningún lado.
En el ordenador uso la extensión para Chrome y en mi móvil uso la versión para Android. La extensión de Chrome detecta automáticamente los campos de contraseña, y cuando yo escribo la contraseña maestra me la cambia automáticamente por la contraseña de la página web antes de mandar el formulario.
tala2000
Keepass como un libro de notas, antes con archivo llave, ahora solo con contraseña maestra.
girarcat
Muy interesante, pero ¿qué pasa con los gestores si tienes que conectarte a tu correo, banco o lo que sea desde un ordenador que no es el tuyo? Si ni siquiera sabes la contraseña como vas a hacerlo?
jgldev
Yo utilizo GNU Pass. Se basa en GPG, y es básicamente un directorio con una estructura de ficheros GPG que pueden contener cualquier cosa, siendo la primera línea del fichero la contraseña, y puede tener un número ilimitado de líneas con el contenido que consideres. Después de todo, son ficheros de texto plano cifrado con GPG, por lo tanto necesitas tanto la clave privada, como la más que deseable contraseña de la clave privada para poder descifrar cualquier fichero GPG. Además, para sincronizarlo, utilizo un repositorio privado GIT, al que solo se puede acceder por clave SSH con contraseña, que es autogenerada y almacenada en el gestor, por lo que para poder acceder desde cualquier dispositivo, necesito primero tener una copia de la clave privada, así como una copia del fichero GPG asociado a la contraseña de la clave SSH, y a partir de ahí, ya puedo sincronizar un dispositivo nuevo. He de decir, que además de estas medidas, tengo activada la verificación en dos pasos en todos los servicios que me lo permiten, y estoy a punto de pillarme una yubikey para combinarlo también.
hectorperez91
una simple plantilla de hoja de cálculo (no tiene por que ser excel), donde anotamos esta información, puede ser efectivo.
P.D.: no guardar en iCloud
napartar
Se te ha colado el post completo en el principal de xataka. Buen artículo ;-)
ChenCho
Llevo 11 años usando RoboForm en la versión instalable, sincronizado en todos mis PCs a través de TruCrypt>DropBox+AllwaySync. La sincronización en la nube la tienen en la versión Anywhere, pero no me gusta guardar mis datos en la nube sin tener control de los mismos.
gotoda
en mi caso: LastPass (con Yubikey como 2do factor de autenticación) + bloqueo a TOR + bloqueo a otros países.
fakiebio
Llevo un tiempo dándole vueltas a estos gestores y con esta entrada se me van algunos "miedos" y dudas. Casi casi ya me paso al lado oscuro ^^
Un saludo.
josemicoronil
LastPass es un servicio que llevo usando desde hace unos años y la verdad no sé qué haría hoy en día sin él.
Saludos !
azurares
Yo sugiero iCloud KeyChain, que funciona estupendamente no solo con páginas web, si no también con claves wifi o tarjetas. Eso si, es exclusivo XD
makaveli29
Mi vida cibernetica está desde hace tiempo en las manos de LastPass. El dia que los hackeen me vere en aprietos para recordar unas cuantas contraseñas.
alex30
Tenía desconfianza con estos métodos de gestores de contraserña pero ahora que explican cómo funcionan, me quedo más tranquilo. Voy a probar, no se si 1Password o LastPass.
alex30
Pregunta: Qué pasa con el típico que tu celular tiene un virus o esos programas infiltrados que guardan lo que el usuario teclea? con eso obtendrían la clave principal de estos gestores de contraserñas y viva la fiesta para los delincuentes. O no es posible?
Mikke
Por mucho que digan que no pueden descifrar... eso es mentira. Un buen hacker descifra en cuestión de minutos, horas o a lo mas días.
La mejor herramienta para guardar es la cabeza, usar contraseñas a boleo siguiendo buenos consejos como los que se dan aquí y poco mas.
Aun así, para que quieren tu contraseña tan segura, si no la necesitan, directamente entran en los servicios, hackearon bancos, compañías, ahora gmail, icloud... no necesitan nuestras contraseñas, entran en los servidores cuando quieren. Todo lo que esta expuesto en internet, es vulnerable. Lo único seguro es el móvil que metes en el congelador.
(https://es.wikipedia.org/wiki/Jaula_de_Faraday) si nos roba un ladrón, ni eso! XD
lolo_aguirre
Creo que hay algo que no he entendido. Muchos de estos servicios guardan nuestras contraseñas en la nube y nos permiten recuperarlas usando nuestra contraseña maestra. Es decir, que cualquiera que averigüe nuestra contraseña maestra tendrá todas las otras. ¿No sería entonces igual de seguro usar la contraseña maestra para todo? En cuanto la descubran pueden acceder a lo mismo.
cmgFX2
tras probar todas me quedé con Dashlane. mal que ni la hayais nombrado porque ha adelantado a todas ellas.
jesus.mon
Yo uso SafeInCloud y estoy contento. No se por qué nadie nunca habla de ella. ¿Alguno la conocéis?
necrocter
Yo he usado LastPass, iCloud Keychain y 1password. Cuando salió iCloud Keychain dejé de usar LastPass y no veía la necesidad de pagar algo como 1password.
Sin embargo tuve la oportunidad de adquirir un año gratuito de 1password y estoy convencido de que es el mejor gestor. Primero la empresa no ha tenido problemas de seguridad como los que últimamente ha presentado LastPass. Segundo, 1password es ultra seguro, aunque roben tu Master Key necesitan adicionalmente la llave de tu cuenta y aún con esas dos, necesitarían que fuera corroborada la entrada por algún dispositivo que ya esté dado de alta en tu cuenta. Tiene la opción de familia en la que puedes compartir claves específicas, tiene integrado 2FA para los sitios que lo soportan, y un largo etc.
KeyPass es una buena solución, el problema es que depende del usuario, y como bien sabemos, generalmente es el eslabón más débil en la seguridad informática.
renearturo
Lastpass me ha funcionado genial siempre, es muy fácil de utilizar, muy versátil y su versión premium es MUY barata. 1Password es una buena alternativa sólo que vivo en Venezuela y acá no es viable pagar por servicios en moneda extranjera.
KeePass la usaba en el trabajo y dedicando tiempo al proceso de configuración es posible lograr tener algo similar a Lastpass con plugins y apps de terceros. Sin embargo, veo más fácil que sea vulnerada mi cuenta de dropbox o similar antes que un servicio como Lastpass que tiene todo un departamento de seguridad dedicado.
keopx
Tu cabeza
etserrano
El GNOME Keyring es una gran opción para almacenar las contraseñas para los que usamos Linux, con la gran ventaja de que está integrado con el GNOME (aunque también se puede utilizar en otros entornos gráficos como Unity). Seahorse es un front-end muy útil para gestionar las contraseñas almacenadas con GNOME Keyring. Ya por último, pwgen es un generador de contraseñas que tiene una opción muy interesante para crear contraseñas fuertes (combinando mayúsculas, minúsculas, números y signos) que además se pueden pronunciar.
kabracity
Creo que al artículo le faltaría el modelo que comenta naproxen: generación sobre la marcha de la contraseña basándose en una clave privada, una contraseña maestra y un tag del sitio/servicio. La ventaja es esa, las contraseñas no están almacenadas en ninguna parte y para generarlas necesitamos recordar una sola contraseña maestra.
En este escenario, la complejidad de la contraseña es transparente al usuario: por ejemplo puede elegirse generar una contraseña alfanumérica de 20 caracteres y otra de 15 pero el usuario siempre usará la misma clave para generarla.
Yo usaba antes Password hasher para chrome y otra para el móvil cuyo nombre no recuerdo. Hace unas semanas empecé a usar twik para el móvil, y ahora estoy probando el plugin de twik para chrome que ha salido hace nada.
ebatlles1950
¿Alguien ha probado RoboForm?, lo llevo usando un tiempo y me parece bastante seguro pero nunca había contrastado opiniones. Agradeceré cualquier comentario. Un saludo desde Almería.
cmgFX2
yo he probado todos y me he quedado con DASHLANE. Podíais haberla comentado también...
maxidirienzo1
Yo utilizo hace años Roboform, es excelente, se integra con los principales navegadores (IE,FF,Chrome,etc) y también tiene soporte para rellenar contraseñas en apps windows, puedes sincronizar con solo copiar una carpeta donde estan los datos de tus contraseñas, posee una versión móbil también.
olbapgo
Lo más seguro siempre será apuntar las contraseñas en un folio y guardarlo procurando no perdelo...