¿Cómo funcionan los administradores de contraseñas?

La mayoría de la gente odia registrar cuentas y mucho menos crear contraseñas. Esa podría ser la razón por la que los reutilizan varias veces al crear cuentas. Aunque resuelve el problema en cuestión: el registro, deja un vacío en su seguridad, que algún día podría explotar en su cara.

Sin embargo, es el año 2020 y hay soluciones. Uno de ellos podría ser un administrador de contraseñas. Con ellos, podría crear contraseñas complejas y almacenarlas. Así es como funcionan los administradores de contraseñas y cómo puede usarlos para estar más seguro en la web.

¿Qué es un administrador de contraseñas?

Un administrador de contraseñas es un programa que le permite generar y almacenar sus contraseñas en una bóveda cifrada. Sin uno, tendría que recordar todos sus detalles de inicio de sesión, lo que generalmente resulta en la reutilización de las mismas contraseñas débiles.

Por el contrario, solo debe recordar una contraseña maestracuando utilice un administrador de contraseñas. Y gracias a las funciones de autoguardado y autocompletado, podrá conectarse a todas sus cuentas fácilmente.

La mayoría de ellos también le permiten almacenar información de tarjetas de crédito para compras en línea fáciles y seguras, así como notas seguras. También puede compartir información seleccionada con su familia y amigos sin copiarla y pegarla en un correo electrónico o mensaje instantáneo. También admite el uso de datos biométricos (huellas dactilares o rostro) en lugar de su contraseña maestra para una mayor seguridad y conveniencia.

¿Cómo protegen los administradores de contraseñas sus contraseñas?

Hay varias formas de clasificar a los administradores de contraseñas. Sin embargo, en esta ocasión queremos presentar tres tecnologías y explicar cómo funcionan. También debemos señalar que algunos proveedores ofrecen múltiples métodos para guardar sus datos. La mayoría de ellos requerirán que use una contraseña maestra que protege su bóveda.

Estos son los tres tipos de administradores de contraseñas:

  • Administradores de contraseñas instalados localmente o fuera de línea
  • Servicios de gestión de contraseñas en línea o basados ​​en la web
  • Administradores de contraseñas sin estado o basados ​​en tokens

Exploremos cada uno de ellos más a fondo.

Administradores de contraseñas instalados localmente o fuera de línea

base de datos keepass

Como su nombre lo indica, los administradores de contraseñas instalados localmente, también conocidos como administradores de contraseñas sin conexión, almacenan sus datos en su dispositivo. Puede ser su computadora o un teléfono inteligente, según sus preferencias. Encontrará sus contraseñas en un archivo cifrado, por separado del administrador de contraseñas. Algunos administradores también permiten almacenar cada contraseña en un archivo separado, lo que aumenta enormemente la seguridad general.

Como siempre, necesita una contraseña maestra para acceder a su bóveda sin conexión. Si es fuerte, hay una mínima posibilidad de que el gobierno o algunos piratas informáticos entren en su base de datos local. Eso es porque el cifrado de grado militar de fuerza bruta requiere una cantidad significativa de tiempo. Además, si mantiene ese dispositivo con todas las contraseñas fuera de línea, no hay forma de acceder a él sin apoderarse de él.

administrador de contraseñas sin conexión

Naturalmente, los administradores de contraseñas sin conexión tienen algunos defectos inherentes. Para empezar, usarlos en varios dispositivos puede resultar un desafío. Solo hay una ubicación y otros dispositivos de alguna manera deben sincronizarse con el que tiene la bóveda. Por lo general, significa tener su dispositivo en línea con el administrador de contraseñas instalado localmente, para que sea accesible para terceros. Finalmente, si el dispositivo con su administrador de contraseñas fuera de línea se avería y no tiene una copia de seguridad, prepárese para un tedioso trabajo manual.

Si tiene un administrador de contraseñas sin conexión o instalado localmente, ¡sus contraseñas se almacenan localmente! Para ser más precisos, es el dispositivo que ha elegido para su bóveda. Sin embargo, existe la posibilidad de sincronizar las contraseñas entre varios dispositivos, lo que significa que todos deben estar en línea. Si desea aún más seguridad, puede guardar sus contraseñas en diferentes archivos, requiriendo una clave única para cada uno.

Pros

Elimina el riesgo de que alguien viole su bóveda de contraseñas

Por lo general, es un servicio gratuito.

Contras

Puede acceder a su bóveda en un solo dispositivo

Si pierde su dispositivo, pierde su bóveda

Servicios de gestión de contraseñas en línea o basados ​​en la web

administrador de contraseñas en línea lastpass

Con mucho, el tipo más popular, los administradores de contraseñas basados ​​en la web, almacenan sus contraseñas en una nube, que suele ser el servidor del proveedor. Esta configuración significa que puede acceder a sus contraseñas desde cualquier lugar en cualquier momento, sin la necesidad de instalar el software de administración de contraseñas en línea. Si no es posible acceder a su bóveda a través de una aplicación web, solo necesitará una extensión de navegador o una aplicación móvil.

Pero, ¿cómo se puede saber si el proveedor no puede acceder a sus contraseñas? Bueno, todos los administradores de contraseñas en línea de buena reputación utilizan tecnología de conocimiento cero. Significa que cifran sus datos en su dispositivo antes de enviarlos al servidor. También significa que su bóveda está disponible para intentos de acceso a terceros 24/7. Además, todas las medidas de seguridad no significan nada si hay un malware de keylogger en su dispositivo y no está utilizando la autenticación de dos factores.

administrador de contraseñas en línea

Finalmente, debe esperar pagar por un administrador de contraseñas basado en la web. Hay excelentes versiones gratuitas para elegir, pero algunas características como el límite de dispositivos o el escaneo de la web oscura siempre serán premium. Dicho esto, la mayoría de los administradores de contraseñas en línea pagados no arruinarán su banco, especialmente si se compromete a largo plazo.

Es probable que haya optado por el administrador de contraseñas en línea (o basado en la web). En este caso, ¡sus contraseñas se almacenan en línea! Su bóveda está en el servidor del proveedor, disponible las 24 horas del día, los 7 días de la semana, desde cualquier lugar, siempre que tenga la contraseña maestra. Ni siquiera necesita instalar el cliente del administrador de contraseñas; la mayoría de las veces, una extensión del navegador será suficiente. A veces, puede acceder a la bóveda a través de una aplicación web disponible en el sitio web del proveedor.

Pros

Puede sincronizar su bóveda en todos sus dispositivos

Por lo general, será un servicio de pago.

Contras

Necesitará conectividad a Internet para la autenticación

Sus credenciales se almacenan en una ubicación desconocida

Administradores de contraseñas sin estado o basados ​​en tokens

administrador de contraseñas sin estado onlykey

Los últimos en la lista son los administradores de contraseñas sin estado o basados ​​en token. En este escenario, una pieza de hardware local, como un dispositivo USB flash, contiene una clave para desbloquear su cuenta en particular. Tampoco existe una bóveda de contraseñas porque el administrador de contraseñas las genera de nuevo cada vez que inicia sesión. Para mayor seguridad, recomendamos utilizar no solo el token sino también su contraseña maestra. De esta manera, implementará la autenticación de dos factores.

Los administradores de contraseñas sin estado no requieren sincronizaciónentre sus dispositivos porque, en primer lugar, no hay una base de datos. En cierto modo, eso también es más seguro porque no hay lugar donde un hacker pueda encontrar todas sus contraseñas. Sin embargo, uno puede piratear contraseñas basadas en tokens si conoce la contraseña maestra y una cuenta.

A diferencia de los administradores de contraseñas en línea, estos suelen ser gratuitos y de código abierto. Es por eso que no se recomiendan especialmente para usuarios aficionados porque todo el apoyo que recibirán será foros y bases de conocimiento. Además de eso, necesitará un lector de tarjetas inteligentes o una memoria USB para generar tokens.

Y si se encuentra con un administrador de contraseñas basado en tokens(también conocido como administrador de contraseñas sin estado), eso significa que sus contraseñas no se almacenan en ninguna parte. ¿Cómo puede ser así? Bueno, como su nombre lo indica, no hay bóveda de contraseñas, solo generación de tokens cada vez que accede a una cuenta específica. Se puede generar un token en un dispositivo externo, como una memoria USB.

Pros

Sus credenciales se almacenan en un dispositivo separado

Contras

Si pierde su dispositivo, pierde su acceso

Este método generalmente requiere hardware y software patentados.

H ÓMO gestores de contraseña cifrar contraseñas ?

El cifrado AES de256 bits es un cifrado de nivel de grado militar que seutiliza para cifrar y descifrar datos para que solo las partes autorizadas puedan acceder a él. La NSA y las principales corporaciones lo adoptaron en 2005 y pronto se convirtió en un estándar para redes privadas virtuales, firewalls y administradores de contraseñas.

Mientras que AES es el cifrado, 256 bits es la clave. Las claves de cifrado son cadenas aleatorias de ceros y unos. En este caso, significa que hay 2 ^ 256 combinaciones disponibles. Cuantas más combinaciones, más difícil será aplicar la fuerza bruta a la correcta.

AES de 256 bits es un algoritmo de cifrado de clave privada o simétrico. La clave se utiliza tanto para cifrar como para descifrar datos, por lo que ambas partes deben conocerla. Por el contrario, el cifrado asimétrico o de clave pública utiliza una clave pública para el cifrado y una clave privada para el descifrado. Como resultado, la clave privada no tiene que salir de su dispositivo, lo que aumenta la seguridad.

Esquema de cifrado simétrico

No todos los administradores de contraseñas utilizan el cifrado AES-256. Algunos usan el estándar AES de 128 bits, menos seguro (aunque aún extremadamente difícil de aplicar por fuerza bruta). Por lo general, estos son administradores de contraseñas gratuitos y de código abierto que reciben actualizaciones con menos frecuencia.

Sin embargo,  ya existe un mejor cifrado que AES de 256 bits que se conoce con el nombre de XChaCha2. Hasta ahora, solo NordPass ha implementado este cifrado de próxima generación entre todos los administradores de contraseñas premium. Viene con Argon2 para la derivación de claves, mientras que XChaCha2 cifra su bóveda de contraseñas.

¿Por qué utilizar un administrador de contraseñas?

  1. Generadores de contraseñas. No necesita dedicar 15 minutos a reflexionar sobre las cosas que le gustaría crear con una contraseña. Varios administradores de contraseñas le permitirán generar una contraseña segura con complejidad variable. Esto no solo le ahorra tiempo, sino que también ofrece mejores contraseñas.
  2. Facilita el proceso. La gestión de contraseñas, cuando utiliza una multitud de sitios web y plataformas, es tediosa. Una herramienta de gestión de contraseñas confiable le permitirá administrar todas sus contraseñas desde un entorno centralizado
  3. No más mecanografiar. La mayoría de los administradores de contraseñas tienen una función incorporada que le permite completar automáticamente las contraseñas y otra información recurrente. Se extiende a su información de pago o direcciones. Le ahorra la molestia de tener que recordar cada una de sus contraseñas
  4. Uso compartido seguro de contraseñas. Muchas personas comparten cuentas con sus amigos y familiares. Netflix incluso permite que diferentes usuarios inicien sesión con la misma contraseña. Sin embargo, la mejor manera de compartirlos no es pegarlos en el chat. Esa es la definición de buscar problemas. El administrador de contraseñas permite a los usuarios compartir contraseñas de forma seguracon otros usuarios.
  5. Soporte multiplataforma. Como aplicaciones, los administradores de contraseñas no son nada complicados y no requieren muchos recursos. Significa que es mucho más fácil desarrollarlos para una variedad de plataformas como navegadores web o aplicaciones para teléfonos inteligentes. Para el usuario final, esto significa la posibilidad de obtener la misma bóveda de contraseñas sin importar cuál sea su método de conexión preferido.
  6. Autenticación multifactor.  Incluso si un pirata informático instalara un registrador de teclas y obtuviera su contraseña maestra, esto no significaría el fin del mundo si tiene habilitada la autenticación de dos factores. La contraseña sería inútil sin ella, por lo que aún estaría a salvo y la bóveda permanecería bloqueada.

Configuración del administrador de contraseñas

La respuesta depende del tipo de administrador de contraseñas que planea usar. Si está basado en tokens, primero debe decidir qué tipo de dispositivo desea usar para la generación de claves. En caso de que se haya decidido por un administrador de contraseñas sin conexión, también debe elegir el dispositivo principal que almacenará su base de datos. Y si se está inclinando hacia un servicio en línea, reducir su selección a una opción gratuita o paga debería ahorrarle mucho tiempo.

Configuración del administrador de contraseñas de 7 pasos

Dado que los administradores de contraseñas basados ​​en la web son los más fáciles de usar, los usaremos como ejemplo. A continuación se muestran los pasos clave para configurar un administrador de contraseñas:

  1. Decide en qué dispositivos quieres usar tu administrador de contraseñas.  ¿Será tu teléfono? Si es así, ¿alguien más conoce su código de acceso? ¿Qué pasa con los dispositivos domésticos compartidos, como tabletas y televisores inteligentes? ¿Utilizará su administrador de contraseñas en la computadora de trabajo? Estas son algunas de las preguntas más importantes que debe hacerse antes de configurar su bóveda.
  2. Instale su administrador de contraseñas elegido. Hay muchas versiones gratuitas y de pago para elegir, pero recomendamos usar solo  los mejores administradores de contraseñas. Debe verificar qué funciones están disponibles en la versión gratuita (si corresponde) y si las ventajas adicionales justifican el precio. Luego, asegúrese de que sea compatible con su sistema operativo y navegador. Si planea importar su bóveda actual, primero verifique si es posible. Finalmente, pagar un poco más por la atención al cliente 24 horas al día, 7 días a la semana, a menudo vale la pena.
  3. Cree una contraseña maestra segura. Incluso si el administrador de contraseñas seleccionado permite la recuperación de la contraseña maestra, debe elegir uno que sea memorable pero difícil de adivinar. Para cumplir con el último requisito, puede ser una buena idea utilizar una frase de contraseña que contenga de 4 a 5 palabras elegidas al azar. Por último, si bien esto puede sonar extraño, considere compartir su contraseña maestra con la persona en la que más confía para que pueda acceder a su bóveda en caso de que algo le suceda.
  4. Habilite la autenticación de dos factores (2FA). Agregar 2FA a la combinación mejorará en gran medida la seguridad de su contraseña. Si bien el segundo factor puede ser “algo que tienes”, que probablemente será tu teléfono inteligente, te recomendamos que elijas “algo que eres” y utilices datos biométricos. Dependiendo de su dispositivo, puede ser una huella digital o también un escaneo facial. Además, puede usar 2FA en lugar de una contraseña maestra, lo que mejora significativamente la usabilidad en dispositivos con pantalla táctil.
  5. Empiece a introducir contraseñas. Antes de que se acostumbre a su nuevo administrador de contraseñas y aunque aún no puede recordar su contraseña maestra tan bien, es posible que desee ingresar contraseñas menos importantes primero. Una buena idea es generar una contraseña segura para el correo electrónico que utiliza para recuperar la contraseña maestra. De lo contrario, un pirata informático puede apoderarse fácilmente de su base de datos después de irrumpir en su buzón.
  6. Considere agregar otros datos. La mayoría de los administradores de contraseñas le permiten guardar no solo inicios de sesión, sino también detalles de tarjetas de crédito y notas seguras. Si está haciendo muchas compras en línea, tener la información de pago en autocompletar puede ahorrarle bastante tiempo. Y probablemente no exista un lugar mejor para guardar los secretos que quizás desee compartir solo con los amigos más confiables.
  7. Comparta sus inicios de sesión. Tarde o temprano, alguien te pedirá tu cuenta de Netflix. Copiar y pegar el nombre de usuario y la contraseña no es la mejor idea, por eso su administrador de contraseñas le permite compartir inicios de sesión con otros (o al menos algunos lo hacen). Algunos servicios incluso le permiten crear carpetas donde almacena las contraseñas menos confidenciales y más compartidas.

¿Pueden los administradores de contraseñas trabajar en múltiples dispositivos y aplicaciones de teléfono?

No todos los administradores de contraseñas pueden funcionar en varios dispositivos, incluidos los teléfonos inteligentes. Un administrador de contraseñas sin estado se basa en la idea de que solo un dispositivo puede generar contraseñas para sus cuentas. Además, no existe una bóveda de contraseñas que pueda verificar.

Los administradores de contraseñas instalados localmente tampoco son adecuados para su uso en varios dispositivos. Esto se debe a que está guardando su base de datos en una computadora o teléfono inteligente y la sincronización entre todos los dispositivos es posible, pero no conveniente. Por supuesto, si decide utilizar la autenticación multifactor, probablemente necesitará dos dispositivos compatibles.

Los administradores de contraseñas basados ​​en la web funcionan en varios dispositivos, aplicaciones móviles e incluso extensiones de navegador. Algunos también ofrecen aplicaciones web accesibles desde el sitio web del proveedor. Su bóveda se almacena en la nube, lo que significa que el administrador de contraseñas es tan independiente del dispositivo como puede ser para garantizar la máxima usabilidad. El alcance real dependerá por completo del servicio particular que esté utilizando.

Preguntas más frecuentes

¿Cuáles son las desventajas de un administrador de contraseñas?

La principal desventaja de un administrador de contraseñas es que mantiene todos sus huevos en una canasta. Si un pirata informático logra ingresar a su bóveda, accederá a todas sus cuentas. Sin embargo, si su bóveda está protegida con un cifrado confiable y requiere múltiples factores para permitir la entrada, debe estar seguro.

¿Pueden los administradores de contraseñas trabajar en varios dispositivos?

, la mayoría de los administradores de contraseñasfuncionan en varias plataformas y son compatibles con muchos sistemas operativos. Significa que puede acceder a sus credenciales más importantes sobre la marcha, independientemente del dispositivo que esté utilizando actualmente. Incluso si tiene un iPhone como teléfono y Windows como escritorio.

¿Cómo almacenan las contraseñas los administradores de contraseñas?

Los administradores de contraseñas cifran sus credenciales y las almacenan solo en forma cifrada. Esto significa que incluso en el caso de una violación importante de datos, el pirata informático solo inutilizaría los blobs cifrados sin su contraseña maestra.

Ir arriba