Administrar contraseñas

Administrar contraseñas

Para todos aquellos que utilizáis la misma contraseña para diferentes aplicaciones o portales web, sabed que lo estáis haciendo mal y que estáis corriendo el riesgo de que os entren en cada una de ellas. Y da lo mismo que a la contraseña se le hagan pequeños cambios como cambiar una mayúscula o introducir un número más o menos. Esta manera de administrar contraseñas entraña riesgos reales y permiten que puedan entrar en vuestras cuentas (sociales, aplicaciones, portales web) con mayor facilidad.

Debéis comenzar a administrar contraseñas de una forma más segura y aplicando políticas que impidan, en lo máximo posible, que cualquiera entre en cualquiera de vuestras cuentas.

Políticas a seguir a la hora de administrar contraseñas

Contraseñas seguras
Contraseñas seguras

Existen una serie de recomendaciones que deberemos seguir para estar lo más seguro posible y administrar las contraseñas de forma correcta. Éstas son:

  • No utilizar la misma contraseña para acceder a diferentes portales o aplicaciones.
  • Aplicar complejidad a la contraseña que elijamos:
    • Un mínimo de ocho caracteres
    • Debe incluir letras, números y caracteres raros
    • No debemos repetir la contraseña. No sirve realizar variaciones sobre una misma
    • No utilizar datos biográficos como fechas de nacimiento, etc.
    • No utilizar palabras del diccionario.
    • No utilizar las contraseñas típicas como 1234, etc.
  • No revelar tu contraseña a terceras personas. Esta es obvia pero no está de más recordarla.
  • No apuntar las contraseñas en medios no seguros como papeles, libretas, etc.

¿Cómo administrar contraseñas?

Dadas las directrices de qué contraseñas debemos utilizar, nos queda claro que éstas van a ser churros de letras y números que van a ser muy difíciles de recordar. Existe el truco de utilizar una letra de una canción, quedarnos con la primera letra de cada palabra del estribillo y componer la contraseña a partir de ahí, pero aún así, dada la cantidad de sitios donde tenemos que poner nuestro usuario y contraseña, al final se hace inmanejable e imposible de recordar todas ellas. Es necesario, por tanto, tener una herramienta que nos permita administrar las contraseñas.

Utilizar gestores de contraseñas

La solución para tener una buena política de contraseñas es la utilización de gestores de contraseñas. Estos gestores permiten almacenar la información de login que utilizas para cada web y aplicación. Al conjunto de contraseñas se la conoce como bóveda de contraseñas. Para acceder a esta bóveda se utiliza un usuario y contraseña y en la mayoría de ellos se utiliza un factor más, un reto más que debes superar para poder entrar en la propia bóveda y tener acceso a todas las contraseñas: por ejemplo, el envío de SMS con un código que debes utilizar en la autenticación.

La fortaleza de la contraseña de la bóveda es crucial porque de ella depende la seguridad de todas las demás contraseñas. Hay que tener en cuenta que, una vez se conoce la contraseña maestra, se puede tener acceso a todas las demás (salvando el segundo factor de autenticación que comentamos).

Los fabricantes más conocidos son LastPass, 1Password y Keepass. Las dos primeras son soluciones de pago y Keepass es un proyecto open source. Sin embargo, hoy me gustaría hablaros de Bitwarden.

Bitwarden para administrar contraseñas

Bitwarden

Te puedes acercar a Bitwarden de dos formas diferentes:

  • Ya que es un producto gratuito y open source, te puedes bajar los ficheros de instalación e instalarlo en un servidor propio. Las contraseñas estarán almacenadas en tu propio servidor y deberás ser tú el que de acceso al servidor desde los sitios que necesites.
  • Puedes abrir una cuenta gratuita en la web del fabricante y alojar tus contraseñas en su nube. Para poder administrar las contraseñas te tendrás que logar en la página de Bitwarden.

Hoy me centraré en la utilización de la cuenta gratuita que puedes configurar en pocos segundos en la web de Bitwarden. Decir que existe la posibilidad de acceder a una opción de pago por 10$ al año que te permite tener además:

  • 1 GB de almacenamiento de archivos cifrados.
  • Opciones adicionales de inicio de sesión otorgando mayor seguridad.
  • Control de la higiene de las contraseñas: que no hayan salido en listado de contraseñas hackeadas, etc.
  • Acceso prioritario a más características y soporte.

Gestor de contraseñas multiplataforma

Bitwarden posee cliente para las plataformas más utilizadas, tanto desde el punto de vista de escritorio: Windows, macOS y Linux como desde el punto de vista de dispositivos móviles: Android e iOS. Además, si tu dispositivo no lo soporta, siempre vas a poder acceder a la bóveda de tus contraseñas desde un navegador web con la instalación de extensiones o bien yendo directamente a la página web de Birtwarden y hacer login en ella.

Más seguridad a la hora de acceder a la bóveda de contraseñas

Google Authenticator
Google Authenticator

Además de un usuario y contraseña, para acceder a tu propia bóveda puedes configurar que sea necesario la introducción de códigos basados en tiempo o TOTP (Time-based One-time Password).

¿Cómo funciona?

Petición de código antes de entrar en la bóveda
Petición de código antes de entrar en la bóveda

Hay que utilizar aplicaciones como Google Authenticator o Microsoft Authenticator. Desde tu cuenta de Bitwarden indicas que quieres utilizar autenticación en dos pasos y te mostrará un código QR que deberás escanear en la aplicación de Google o Microsoft Authenticator. Una vez guardados los cambios, para acceder a Bitwarden deberás utilizar el código que se genera en la aplicación Authenticator junto con tu usuario y contraseña. El código que aparece en la aplicación Authenticator se regenera cada sesenta segundos con lo que, para una tercera persona, se vuelve más complicado poder entrar tu cuenta.

¡OJO! Si perdemos nuestra contraseña maestra nadie nos podrá dar acceso a nuestra bóveda. La gente de Bitwarden no la conoce y no hay forma de recuperarla.

Generación de contraseña

Generar contraseña en Bitwarden
Generar contraseña en Bitwarden

Esta es la mejor parte. No te tienes que preocupar por nada. Bitwarden te crea la contraseña, de forma aleatoria siguiendo tus directrices de complejidad. Esta contraseña la asignas a una entrada, donde debes incluir el usuario que vas a utilizar y las webs donde vas a utilizar estas credenciales. Adicionalmente, podrás asignar la entrada a una carpeta para tenerlo todo un poco más ordenadito y tener en una misma carpeta contraseñas que tienen algo en común.

Relleno automático de usuario y contraseña

Tanto si estamos en un entorno de escritorio como en dispositivos móviles, la función de autorelleno funciona realmente bien. En la navegación web desde el escritorio, si tenemos la extensión para el navegador, cada vez que visitemos una web en la que se requieran nuestras credenciales, Bitwarden lo detectará y mostrará las opciones que tiene almacenadas para poder logarnos.

De la misma forma, en entorno móvil, cada vez que utilizamos una aplicación o visitamos una web, Bitwarden aparecerá sugiriendo que puede cumplimentar el usuario y contraseña de forma autónoma.

Por otra parte, cada vez que creemos un usuario y contraseña nuevo en una web, Bitwarden lo detectará y nos pedirá permiso para salvar las credenciales en nuestra bóveda de contraseñas.

Tipos de información a almacenar

Tipos de entradas en Bitwarden
Tipos de entradas en Bitwarden

Los tipos de información que podemos guardar en Bitwarden son:

  • Login: se trata de los típicos usuarios y contraseñas asociados a webs y aplicaciones.
  • Card: tarjetas de débito/crédito
  • Identity: permisos de conducir, DNI, Pasaporte, etc.
  • Secure Note: notas generales que queremos guardar en un lugar seguro.

Salud de una contraseña

En la versión gratuita de Bitwarden, nos permite conocer si una contraseña que tenemos configurada para una entrada, ha aparecido en alguna brecha de seguridad. Basta con pulsar al botón de comprobación que aparece al lado de la contraseña.

Comprobar si la contraseña ha sido filtrada
Comprobar si la contraseña ha sido filtrada

Sincronización

Llevo varios meses utilizando la plataforma y la verdad es que la sincronización nunca me ha dado problemas, es prácticamente inmediata.

Conclusión

La utilización de un gestor de contraseñas, hoy en día, me parece básico e imprescindible. Cualquiera de las opciones que he nombrado en el artículo son buenas. Yo me pasé de Keepass a Bitwarden y por el momento estoy muy contento con la decisión. La carga de contraseñas de una herramienta a otra ha sido automática pero he tenido que retocar algunas de ellas porque no ha salido del todo bien: han aparecido entradas sin contenido real, pero no he tenido pérdida de información.

Espero que haya sido de tu interés. Seguimos.

Un comentario

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *