Por qué deberíamos usar un gestor de contraseñas
En algún momento de nuestra vida nos plantearemos la pregunta de si vale la pena usar un gestor de contraseñas. Y tras esa pregunta, vendrán otras: ¿es seguro? ¿Qué pasa si pierdo o consiguen mi contraseña maestra? ¿La aplicación/servicio que utilice, podrá ver mis contraseñas? Y así.
Bueno, en esta entrada intentaremos ver por qué es interesante (y necesario) usar un gestor de contraseñas.
Usamos muchos servicios y aplicaciones
Este es uno de los principales motivos, y es que si nos paramos a pensarlo, podemos llegar a tener decenas (mi bóveda tiene más de 400 entradas) de servicios y aplicaciones que usamos en mayor o menor medida: correos, servicios de streaming, redes sociales, portales de gestión…
Y sí, en algún momento de nuestra vida hemos utilizado la misma contraseña para todo; no para algunos servicios, para todo.
La información que guardan esos servicios de nosotros es más de la que creemos
Puede que de primeras no le demos mucha importancia al hecho de que alguien acceda a nuestra cuenta de Facebook o Twitter, pero eso puede tener mucha más implicación de la que inicialmente pensemos:
- Acceso a muchos de nuestros contactos, pudiendo hacerse pasar por nosotros para obtener información
- Muchos servicios tienen nuestra tarjeta de crédito vinculada
- Muchos otros, nuestra dirección física
- ...
Acordarse de todas ellas puede ser muy complicado
Es cierto que hace unos años, antes del boom de los gestores de contraseñas, había ciertas prácticas que permitían generar contraseñas bastante seguras siguiendo un patrón. Por ejemplo, combinar el nombre (o parte) del servicio, modificando ciertos caracteres y añadiendo algo que sólo nosotros supiéramos. Una aproximación sería utilizar las 4 primeras letras del servicio, la primera mayúscula, añadir un + seguido del nombre de mi marca de champú favorita, y cambiar algunas vocales por un número o carácter especial que se parezca en forma. Si cogemos Facebook como ejemplo:
F4c3+del1plu$
Aparentemente, tiene cierta complejidad, y si usamos la herramienta de la que hablamos en otro artículo nos da una entropía de 83. Aprobada por los pelos, aún teniendo combinaciones de todo tipo. Y sí, en el peor de los casos se tardaría aproximadamente 1.064.205.111 de años en descubrirla, pero eso es con una cafetera (1 core). Si empleamos un ordenador más potente, pongamos 32 cores, el tiempo se reduce a 33.256.409.
Ahora intentemos recordar esa contraseña, y otras 20 o 30. Dudo que seamos capaces, y de hacerlo, escribirla nos llevaría casi tanto tiempo como descubrirla, además de posiblemente bloquear la cuenta por exceso de fallos.
Reutilizar no es una opción
No nos extenderemos mucho aquí, pero escoger una contraseña similar a la anterior, más larga y complicada, aprenderla de memoria y reutilizarla para todo no es una buena idea.
Comodidad
Sí, comodidad, esa maravillosa palabra que ya hemos comentado en algún otro momento que es el mal. Pero como suele decirse, la excepción confirma la regla.
La mayoría de gestores de contraseñas permiten el autocompletado de los campos usuario/contraseña, por lo que tan siquiera tendremos que escribirla cuando vayamos a acceder a ellos. Y de la única contraseña que deberemos acordarnos es la contraseña maestra de acceso, que esa sí que deberá ser lo más larga y "compleja" posible, entendiendo por compleja la dificultad de descifrarla basándonos en su entropía como ya vimos en otro artículo, donde hablamos sobre cuándo elegir un tipo de contraseña u otro (passphrase o contraseña "tradicional").
Son seguros (si lo hacemos bien)
La pregunta del millón: ¿me puedo fiar?
A grandes trasgos, sí. Son servicios lo suficientemente seguros como para que estemos tranquilos, ya que la única forma de acceder a nuestra bóveda es usando nuestra contraseña maestra. Y esto es muy importante tenerlo en cuenta, pues si la perdemos, lo perdemos todo; no hay forma de restaurar la bóveda.
¿Y si el servicio no está disponible?
Puede pasar, cierto. Todas las empresas pueden tener caídas en sus servidores, y esto puede ser un problema, pero si lo hacen bien, todas las aplicaciones guardan en caché una copia local de nuestra bóveda. Por tanto, sólo nos afectaría para el acceso vía web o para acceder a nuestra cuenta por primera vez desde un nuevo dispositivo, las demás aplicaciones podrán seguir siendo utilizadas, lo único que no se podrán sincronizar.
¿Con cuál me quedo?
Dependerá de la preferencia de cada uno el escoger uno u otro servicio. Por ejemplo, hay opciones donde la bóveda es únicamente local (no hay ninguna empresa que nos provea su infraestructura) como KeePass, que es OpenSource, pero tienen el inconveniente que si lo queremos usar en más de un dispositivo tenemos que buscarnos la vida, y acabaremos subiendo nuestra bóveda a otros servicios como Google Drive o Dropbox para poder sincronizarla.
Luego están las opciones con "soporte", que nos permiten usar la infraestructura de la empresa que nos ofrece el servicio, y es donde entran las más famosas como "LastPass" o "1Password". La parte buena es que ofrecen sincronización entre varios dispositivos, por lo que podremos acceder a nuestra bóveda desde el ordenador, móvil o tablet. La parte mala, que para poder utilizarlas hay que pagar, y los precios rondan los 2-3 €/mes.
Pero (siempre hay un pero, aunque esta vez para bien), hay una opción que nos ofrece una gran cantidad de funcionalidades en su plan gratuito (incluida la sincronización entre tantos dispositivos como queramos), y que su plan de pago cuesta apenas 10 €/año: Bitwarden. Y sí, como habéis podido deducir, es OpenSource, y tiene opción para poderlo gestionar nosotros mismos (haremos un artículo en breve), por lo que es la opción que recomendaría.
En resumen, démosle una oportunidad
Es algo que de primeras puede darnos cierto respeto, pero creo que es interesante darles una oportunidad. Podemos empezar por añadir sólo algunas contraseñas y ver qué tal nos va, e ir añadiendo poco a poco todas las que vayamos usando sobre la marcha, ya que todas las aplicaciones de este estilo permiten añadir nuevas entradas automáticamente cuando accedemos o nos registramos en una nueva página, por lo que ni siquiera la tenemos que añadir nosotros.
Y no os preocupéis, en breve haremos un artículo de cómo preparar un "Kit de recuperación" de nuestra bóveda de contraseñas en caso de desastre.