Gestor de contraseñas

De Wikipedia, la enciclopedia libre
Generación automática de contraseñas, en KeePass

Un gestor de contraseñas o administrador de contraseñas es un programa de cómputo que se utiliza para almacenar una gran cantidad de parejas usuario/contraseña.[1]​ La base de datos donde se guarda esta información está cifrada mediante una única clave (contraseña maestra; en inglés: master password), de forma que el usuario solo tenga que memorizar una clave para acceder a todas las demás. Esto facilita la administración de contraseñas y fomenta que los usuarios escojan claves complejas sin miedo a que no podrán recordarlas posteriormente.

Generación de contraseñas[editar]

A menudo los gestores de contraseñas ofrecen la opción de generar una contraseña automáticamente, lo cual contribuye a evitar que se utilice la misma clave para acceder a distintos recursos, una práctica muy poco recomendable pero muy extendida, especialmente para acceder a páginas web que requieren que el usuario se registre. Asimismo, si el usuario opta por elegir su propia contraseña, estos programas suelen indicar el nivel de fortaleza de la palabra elegida. Evidentemente, es imprescindible que la contraseña maestra sea lo suficientemente compleja para que sea difícil de desactivar. Si alguien consiguiera adivinar la contraseña maestra y acceder a la BBDD del programa, por ejemplo mediante un ataque de diccionario, automáticamente ganaría acceso a todas las claves.

Implementación[editar]

La mayoría de los navegadores de Internet actuales, como Firefox o Internet Explorer, llevan incorporado un gestor de contraseñas en forma de plugin que puede protegerse mediante una contraseña maestra, sin embargo este forma de almacenar credenciales ha demostrado ser inseguro.[2]​ De esta manera, cuando se visita una página web que requiere autenticación, el navegador escribe automáticamente el usuario y la clave en los campos correspondientes, sin necesidad de que intervenga el usuario.

También existen aplicaciones independientes de navegador, como por ejemplo KeePass (código abierto) o complementos de navegadores como LastPass Password Manager (con versión gratuita), que tienen el mismo cometido y a menudo son más seguras. Una opción especialmente conveniente consiste en instalar el programa en una memoria USB para traerlo consigo. Esto solo es posible si el gestor de contraseñas elegido dispone de una versión portátil. También es conveniente respaldar el archivo donde se almacenan las contraseñas en un Servicio de alojamiento de archivos en la nube, ya sea como respaldo en caso de pérdida o borrado accidental, como para tenerlo disponible desde otros dispositivos que también dispongan de conexión a Internet.

Una manera alternativa de gestionar las contraseñas consiste en almacenarlas en páginas web que ofrezcan este tipo de servicios. De esta manera, es posible tener acceso a ellas desde cualquier lugar con conexión a Internet. En este caso, la seguridad de las claves dependerá fundamentalmente del nivel de confianza que se otorgue a quien ofrece el servicio.

Seguridad[editar]

La seguridad del gestor de contraseñas depende de varios parámetros:

  • La robustez de la clave maestra elegida
  • La seguridad del algoritmo de cifrado utilizado
  • La calidad del código fuente de la aplicación
  • La forma de almacenar la clave cuando el usuario la solicita
  • La existencia de virus u otro tipo de malware en el ordenador. La solidez de la clave maestra y del gestor de contraseñas sirven de poco si se tiene instalado un keylogger.

Se debe tener en cuenta que algunos gestores de contraseñas almacenan la contraseña en texto claro en la memoria del ordenador, de manera que existe la posibilidad de que ésta sea robada por un programa parásito, como por ejemplo un troyano.

Phishing[editar]

Los gestores de contraseñas también son útiles como medida de defensa contra la suplantación de identidad, ya que, a diferencia de un ser humano, una máquina no se equivoca al distinguir entre dos páginas parecidas pero con diferente dominio, con lo que garantiza que la contraseña se introducirá únicamente en una página legítima.

Alternativas[editar]

Una de las alternativas al uso de gestores de contraseñas es el OpenID.

Lista de gestores de contraseñas[editar]

Algunas aplicaciones son las siguientes:

Nombre del Software Tipo de licencia
1Password[3] Software propietario
Bitwarden[4] Código abierto
Dashlane[5] Software propietario
Firefox Lockwise[6] Código abierto
Keeper[7] Software propietario
KeePass[8] Código abierto
PassPack[9] Software propietario
Password Safe[10] Código abierto
Pitbull Keyholder[11] Software propietario
RoboForm[12] Software propietario
SplashID[13] Software propietario
E-generateur[14] Software propietario

Véase también[editar]

Referencias[editar]

  1. F.M., Yúbal (19 de agosto de 2018). «Gestores de Contraseñas: qué son, cuáles son los más populares y cómo utilizarlos» (html). Xataka. Archivado desde el original el 19 de agosto de 2018. Consultado el 14 de febrero de 2020. «Se trata de servicios completos que suelen ofrecerte aplicaciones para diferentes plataformas, y que pueden ser gratuitos o de pago dependiendo de las opciones que estés buscando en ellos. (...) Algunos también tienen sincronización en la nube para poder utilizar estas mismas contraseñas en varios dispositivos, (...) ». 
  2. Kasanmascheff, Markus. «Eklatante Sicherheitslücke: Firefox, Chrome und IE verraten gespeicherte Passwörter» (html). Softonic (en alemán). Archivado desde el original el 7 de marzo de 2016. Consultado el 14 de febrero de 2020. «Im Webbrowser gespeicherte Passwörter sind hochgradig unsicher. Ein Datendieb benötigt nur wenige Sekunden und ein paar Mausklicks um ein Kennwort auszulesen. » 
  3. Página web principal de 1Password
  4. Página web principal de Bitwarden
  5. Página web principal de DashLane
  6. Página web principal de Firefox Lockwise
  7. Página web principal de Keeper
  8. Página web principal de KeePass
  9. Página web principal de PassPack
  10. Página web principal de Password Safe
  11. Página web principal de Pitbull Keyholder
  12. Página web principal de RoboForm
  13. «Página web principal de SplashID». Archivado desde el original el 7 de febrero de 2022. Consultado el 12 de octubre de 2019. 
  14. Página web principal de E-generateur