Las contraseñas son como la ropa interior

Todo resulta muy divertido al principio. La primera vez que necesitas escribir un nombre de usuario y una contraseña parece un momento distinto y hasta entretenido. Cuando ya has hecho eso mismo en más de cuarenta webs, unas veces utilizando tu correo electrónico personal, otras el de tu empresa y además empiezan a surgir reglas para escribir contraseñas que parecen haber sido definidas por algún ser diabólico que disfruta con el sufrimiento ajeno, deja de ser divertido. Pero no solo eso, sino que además tiendes a repetir contraseñas, a hacerlas débiles para poder acordarte de ellas y es entonces cuando, además de no ser agradable, se convierte en algo peligroso para nuestra seguridad.

Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores. Kevin Mitnick

Tiene razón Mitnick, de nada sirven todos los mecanismos de seguridad y procesos que implemente tu banco o tu empresa si al final la seguridad de la cadena depende del eslabón más débil, que es la persona. Es irremediable, al menos a medio plazo, tener varios usuarios y contraseñas para acceder a nuestros datos, ya sean proveedores de facturación electrónica, el hosting de la web de la empresa, el usuario de red o el usuario del correo electrónico. Además, contamos con decenas de webs o foros a los que accedemos y que requieren usuario personalizado con su contraseña. En resumen, un infierno en vida.

Las contraseñas son como la ropa interior. No puedes dejar que nadie las vea, debes cambiarlas regularmente y no debes compartirlas con extraños. Chris Pirillo

La cita de Pirillo, CEO de LockerGnome, es ingeniosa y muy cierta. Hay que tomarse la gestión de las contraseñas en la vida personal y en el trabajo muy en serio. Mi recomendación es utilizar un gestor de contraseñas que te ayude a organizar y mantener tus contraseñas de forma segura. Concretamente mi propuesta la he centrado en aquellos gestores de contraseña que son de código abierto (open source). Esto significa que el código del programa está disponible y abierto para que cualquier persona pueda verlo y mejorarlo. Aunque pueda parecer paradójico, es posiblemente la mejor forma de detectar vulnerabilidades y de robustecer el software, dejando que cualquiera lo vea y pueda indicar posibles fallos de seguridad.

1. KeePass

Este gestor es mi preferido; el que utilizo de forma regular tras haber utilizado otros anteriormente. Almacena los datos de forma local en tu ordenador a partir de una contraseña, la única que debes realmente recordar y que debe ser fuerte. Está disponible para Windows y Linux, pero también existen ports no oficiales para IOS, Android e incluso como extensión para Chrome.

Te permite organizar tus contraseñas de forma jerarquizada, para que puedas agrupar por temática, y la información disponible asociada a cada usuario y contraseña es muy completa y permite añadir notas o nuevos campos personalizados.

Otro punto importante es que te ayuda a configurar la generación de contraseñas conforme al algoritmo que mejor te parezca, pudiendo seleccionar si quieres mayúsculas, minúsculas, números, caracteres especiales, guiones o incluso utilizando un patrón determinado.

La información detallada sobre los aspectos de seguridad de KeePass está disponible aquí. Utiliza los algoritmos de cifrado AES y Twofish para mantener la base de datos a salvo de miradas indiscretas.

2. Password Safe

Diseñado en sus orígenes y recomendado por Bruce Schenier, una respetada autoridad en seguridad informática, este programa sigue el mismo espíritu de KeePass en cuanto a interfaz de usuario y usabilidad. El algoritmo de cifrado es también Twofish y existen numerosos proyectos desarrollados para otras plataformas distintas a Windows que se han basado en el código fuente de Password Safe y han tratado de mantener la compatibilidad.

3. Padlock

Hemos visto dos gestores de contraseña que guardan la información de forma local en un fichero de tu ordenador. En el caso de Padlock, el enfoque es radicalmente distinto. Se trata de una extensión de Chrome con un diseño minimalista, que puede guardar la información en la nube, para que sea sincronizada desde otros dispositivos, al disponer también de aplicación para IOS y Android. Su diseño simple ofrece la posibilidad de guardar únicamente usuario y contraseña de cada web, aunque da la posibilidad de incorporar tantos campos personalizados como se quiera para cada nueva entrada. Si lo que buscas es sincronización en la nube y sencillez, es una buena elección.

4. Passopolis

En 2014 Twitter comunicó la compra del software Mitro, un gestor de contraseñas al estilo de Padlock pero que no solamente gestiona las contraseñas de una persona sino que permitía la compartición de las mismas entre distintos equipos. Al final del verano de 2015 el servicio que proporcionaba Mitro se paró. Pero afortunadamente como suele ocurrir en los proyectos de código abierto, basta con que haya interés de algunas personas por continuar con el servicio para que aparezca un fork del código (llamado así cuando se crea una copia del proyecto para seguir un desarrollo independiente del original) y como consecuencia apareció Passopolis. Es una buena opción si además se busca esa característica de compartir contraseñas en un mismo equipo además de las personales.

En resumen, hay dos buenas alternativas entre KeePass y Password Safe, si quieres tener la información guardada en tu PC. Si por el contrario prefieres las ventajas de guardar tu base de datos de contraseñas en la nube, tanto Padlock como Passopolis son excelentes alternativas. Por supuesto hay más opciones en el mercado, pero si no tienes muy claro por dónde empezar, puedes probar con alguna de estas cuatro que, sin duda, cubren perfectamente las necesidades que tenemos en el día a día para gestionar nuestras contraseñas minimizando riesgos.

Foto: Ron Mader