Por Lucas Teixeira | #Boletín12

En el artículo del boletín pasado hablamos sobre la creación de contraseñas seguras contra software de fuerza bruta. Al final, abordamos el problema de guardar tantas contraseñas difíciles y la solución de los llaveros o administradores de contraseñas.

Estos pueden pensarse como cofres para guardar secretos. Guardas tus contraseñas adentro y proteges todo con una única contraseña maestra. Cuando necesitas usar la contraseña del webmail, por ejemplo, solo tienes que desbloquear el acceso para poder copiarla.

Como ya no tiene que recordar las contraseñas de cada servicio, Alice simplemente puede copiarlas y pegarlas en el campo contraseña. Ella usa un generador de contraseñas, presente en el programa, para crear contraseñas aleatorias cada vez que se inscribe en un nuevo servicio.

Eso es bueno por dos motivos:

• Ella tiene una contraseña para cada sitio web. Compartir la contraseña en varios servicios es muy malo porque una vez que alguien con malas intenciones la descubre, puede afectar toda tu vida digital de una sola vez. Las fugas de datos mediante invasiones o bugs vienen comprometiendo cada vez más sitios web grandes y pequeños (consulta Have I been pwned? y descubre si ya fuiste afectado en algún caso documentado) y, muchas veces, las contraseñas se exponen juntas, con protecciones de hashing débiles o inexistentes.
• Las contraseñas son muy fuertes. Como son producto directo de la entropía, el tiempo necesario para violarlas por «fuerza bruta» es el máximo que ofrecen la gama de caracteres usada y el tamaño de la seña. Lo que el programa incluya de forma predeterminada probablemente será suficiente. Incluir caracteres de puntuación (^~$%&…) aumenta la fuerza de la contraseña, pero hace más difícil escribirla en un teclado de celular, que solamente letras mayúsculas, minúsculas y números. (Estoy dejando de lado detalles sobre backdoors en el procesador; si estás protegiendo tus contraseñas contra la NSA o la GCHQ, la cosa es mucho más complicada).

Vale la pena recordar que nada en el programa hace que la contraseña del Gmail se vuelva, de hecho, la que Alice generó: ella debe cambiar la contraseña antigua manualmente en caso de que ya tenga una cuenta. El papel del administrador (sin plugins específicos para eso, claro) es solamente guardar esos secretos de forma segura y dar acceso a ellos a quien sepa la contraseña.

Software

Existen numerosos programas de llavero disponibles en cada plataforma. Hay una lista de softwares (incompleta, pero amplia) en la Wikipedia en inglés.

Nosotros recomendamos el KeePass por algunos motivos: tiene licencia libre (y por eso, código abierto para consulta); es un software multiplataforma y maduro, desarrollado desde 2003; se lo está manteniendo activamente y tiene bastante documentación en portugués, como un paso a paso completo del Security in a Box y tutoriales en video en Youtube.

En la página de download de KeePass hay dos versiones: la Professional es la mejor opción; la Classic está disponible principalmente para ofrecer compatibilidad con sistemas antiguos. Para Windows y Mac,

Otra buena opción es el Password Safe. Pensado desde cero por el especialista en seguridad Bruce Schneier, el proyecto es mantenido en la actualidad por un grupo voluntario. Su diseño minimalista ofrece menos funciones, pero al mismo tiempo presenta una superficie de ataque menor.

Para quien prefiere cambiar la seguridad del código abierto por la comodidad, algunas soluciones propietarias, como 1Password y LastPass ofrecen opciones de sincronización entre dispositivos, backups y soporte técnico.

Consejos

Antes de usar cualquier función de sincronización o de guardar tu llavero en la nube, debes evaluarlo con cuidado de acuerdo con tus necesidades y modelos de amenaza. Eso facilita el acceso a las contraseñas y puede reducir el riesgo de que pierdas el archivo (¡y con él, todas tus contraseñas!), pero como dicen, «no existe la nube, solamente existen computadoras de otras personas». Incluso si no te preocupa el acceso de la NSA (aunque debería), tu llavero también puede estar expuesto a ataques y debes controlar bien el acceso a tus datos.

La contraseña del llavero debe ser la más fuerte que creaste hasta ahora, especialmente si la guardas en la «computadora de otra persona». Sigue los consejos de nuestro artículo sobre contraseñas, relájate y libera tus sinapsis, crea poesía o tira los dados con el método Diceware.

Si no todos, la mayoría de los llaveros permite usar «archivos de llave» (keyfiles) con una protección adicional. La idea es guardar ese pequeño archivo en un lugar separado (una memoria USB portátil, por ejemplo) y usarlo en lugar de o combinado con una contraseña. Así, si alguien toma el control de tu máquina o invade tu servicio en la nube no podrá tratar de violar tu contraseña por fuerza bruta.

Siempre ten cuidado con las operaciones críticas: haz backups con frecuencia y presta atención para no sobrescribir ni borrar una contraseña cuando vayas a generar una nueva. No guardes todos los huevos en la misma cesta. Es interesante crear llaveros separados (con contraseñas separadas) para cada identidad digital o proyecto conjunto.