Llegamos a ustedes gracias a:



Reportajes y análisis

Asegurando las contraseñas

Las contraseñas son un eslabón débil de la seguridad, pero estos productos ayudan a protegerlas de los atacantes.

[24/09/2013] Para las empresas que tratan de conseguir una ayuda en la gestión de contraseñas, la buena noticia es que hay productos que pueden ayudar a poner en práctica políticas de contraseñas fuertes para los usuarios finales que ingresan a los servicios personales y corporativos basados en la web, así como para empleados que comparten una conexión al servidor local.
El objetivo aquí es hacer que el proceso de contraseñas sea más seguro, y también permitir que los usuarios ingresen a recursos específicos sin tener que recordar todas sus contraseñas individuales.
Nos fijamos en seis productos, que van desde los orientado al consumidor a los orientados solamente a la empresa. Ellos son: Kaspersky Pure, LastPass Enterprise, Lieberman Enterprise Random Password Manager, 1Password, RoboForm Enterprise y TrendMicro DirectPass.
Todos estos productos utilizan una bóveda de contraseña maestra para almacenar toda su información de forma encriptada. Y todos, menos TrendMicro, tienen una manera de generar una contraseña compleja e insertarla en el proceso de inicio de sesión, para que los usuarios no tengan que poner algo por su cuenta. Esto hace la vida más fácil para los usuarios finales y también elimina los problemas de seguridad asociados a los usuarios que escogen una contraseña para todos sus accesos.
Para ser incluidos en esta revisión, cada producto tenía que tener la capacidad de sincronizar contraseñas a través de una colección diferente de clientes y servidores. Para Lieberman, esto significa la sincronización de los accesos a los servidores internos a través de múltiples usuarios que quieren compartir la misma contraseña. Para los demás productos, significa tener el mismo usuario con múltiples dispositivos y contraseñas para los servicios web.
Debido a que hemos incluido una variedad de herramientas, no podemos comparar los productos directamente y no calificar los programas de software o declarar un ganador. Pero aquí están los aspectos más destacados:
* LastPass Enterprise ofrece una excelente relación precio/rendimiento y cuenta con funciones fuertes de administración. LastPass también tiene la plataforma móvil y de soporte más amplia que cualquiera de los productos que probamos.
* Lieberman tiene las mejores características para la gestión de contraseñas del servidor local, y la herramienta de Lieberman fue la única que funcionó a la perfección en nuestras pruebas.
* Pure de Kaspersky ofrece un gestor de contraseñas básico como parte de un paquete más amplio que incluye otras herramientas de seguridad. Lo malo es que es solo para Windows, lo que significa que no puede sincronizar su bóveda con dispositivos que no sean Windows.
* 1Password es un producto orientado al consumidor que le permite almacenar más que solo contraseñas en su bóveda.
* RoboForm tiene un buen equilibrio de características empresariales y una fuerte administración de contraseñas, pero tuvimos algunos problemas de soporte técnico.
* El software de TrendMicro es el menos desarrollado, aunque se espera que la próxima versión arregle muchas deficiencias.
Estas son las opiniones individuales:
Kaspersky Pure
Al igual que otros proveedores de antivirus tradicionales, Kaspersky ha entrado al juego de gestión de contraseñas. Kaspersky tiene dos productos para la administración de contraseñas. Uno de ellos es su software independiente Password Manager que se vende por 25 dólares. Esto no incluye la posibilidad de sincronizar el almacén de contraseñas (aunque el proveedor se compromete a incluirlo a finales de esta primavera).
Decidimos revisar Pure, que es la suite de seguridad de Kaspersky. Pure incluye una variedad de herramientas, como controles anti-spam, copia de seguridad, control parental, cifrado de datos, protección avanzada del navegador y gestor de contraseñas. Este último módulo hace sincronizar contraseñas utilizando las cuentas basadas en la nube que mantiene el sitio web de Kaspersky.
El administrador de contraseñas de Pure cubre los conceptos básicos, con un generador de contraseñas complejas y opciones para cerrar la bóveda de forma automática después de que la PC esté inactiva. También puede almacenar notas de texto e información de contacto en la bóveda.
Pure también tiene módulos que mejoran la seguridad del navegador, y esto es probablemente más de una razón para comprarlo, no solo para la protección y gestión de contraseñas. Por ejemplo, el módulo SafeMoney configura sesiones protegidas del navegador para los sitios de comercio electrónico y la banca en línea, y otro módulo puede borrar de forma segura el historial del navegador o analizar la configuración de Internet Explorer.
Pure se ejecutará en Windows 8, además de las versiones anteriores a Vista. Sin embargo, el módulo gestor de contraseñas es solo para PC de 32 bits. Por otro lado, hay una larga lista de navegadores compatibles, incluso algunos que nunca hemos escuchado mencionar. Dado su enfoque en Windows, la función de sincronización tiene un valor limitado, ya que no puede transportar la bóveda a su teléfono inteligente o moverse entre equipos Mac y PC con Windows. Pure tiene un precio de 65 dólares para licencias de hasta tres computadoras.
LastPass Enterprise
LastPass es un producto de nivel empresarial que viene con una consola de administración independiente. Este software está basado en la web, lo que le da un buen toque. Viene con la colección más amplia de clientes soportados, que van desde Windows (incluyendo versiones de 32 bits y de 64 bits y de XP a Windows 8) a varios teléfonos inteligentes. También hay un cliente web donde se puede ver el contenido de su bóveda de contraseñas. También combina las mejores características de un producto de consumo con un sabor sólido empresarial.
Los mejores productos de seguridad empresarial tienen herramientas de creación de políticas flexibles y de administración, y este es el caso aquí. Por ejemplo, puede configurar una política para anular las protecciones de cierre de sesión automático por defecto al apagar la PC o en el modo de protector de pantalla, o cuando está en reposo, o cuando el equipo está bloqueado. Hay docenas de políticas para elegir, incluyendo soporte para tokens multifactoriales como Yubikey, su propia herramienta de "Sesame", y las contraseñas de un solo uso de autenticación en Google. También puede fortalecer el acceso en línea a su bóveda, restringiendo el acceso a determinados países, con exclusión de cualquier acceso de cualquier persona que utilice la red de intercambio de archivos Tor.
También puede federar sus nombres de usuario LastPass a través de otros servicios en la nube como Wordpress, Salesforce.com, Box y demás utilizando SAML. Hay una larga lista de notificaciones potenciales que pueden ser configuradas, incluyendo a los usuarios que tienen un cierto número de contraseñas duplicadas o en blanco. Estas vienen con mensajes de advertencia pre-escritos que pueden ser fácilmente personalizados de acuerdo a sus circunstancias. La herramienta también tiene algunos informes sencillos disponibles en la consola de administración. Hay acceso API a su motor de informes, lo cual es un bonito detalle.
LastPass se puede integrar en el proceso de inicio de sesión estándar de Windows para crear automáticamente nuevos usuarios y registrar a los usuarios existentes.
Una de las cosas que nos gustó sobre LastPass es que tras su instalación (y este control de seguridad también se puede ejecutar después), le dice qué contraseñas inseguras se han guardado en sus navegadores (o bóveda de contraseña), y le ofrece la opción de eliminarlas.
Otra cosa interesante es que sincroniza los nombres de usuario a través de su propio servicio en la nube: una vez que se crea un inicio de sesión para su nube, las cosas se actualizan para sus diversas entradas. A veces, los cambios tomaron unos minutos para propagarse a Internet. Además de inicios de sesión, su bóveda también almacena notas de texto de manera segura y puede auto-completar formularios en línea.
LastPass instala automáticamente plug-ins al navegador, donde se pueden añadir manualmente los sitios -o notas- a su bóveda, junto con otras tareas de configuración.
En el software también se incluye un generador de contraseñas complejas que tiene algunas opciones interesantes, como la posibilidad de establecer una contraseña que se puede pronunciar con facilidad y con una mínima complejidad. Puede acceder a esto desde el menú del plug-in en el navegador o desde el cliente web.
LastPass es gratuito para el usuario individual, y tiene toda la funcionalidad de la herramienta para que los administradores de TI puedan fácilmente comprobarla y ver cómo funciona. Una vez que esté listo para actualizarse a la versión empresarial, puede iniciar una versión de prueba gratuita de dos semanas, después de lo cual le costará 24 dólares por usuario al año. Esto incluye la capacidad de utilizar todos sus clientes de teléfonos inteligentes, de lo contrario tendrá que suscribirse a una cuenta premium, que cuesta 12 dólares al año por usuario. Nos gusta la simplicidad y facilidad de familiarizarse con el producto.
Finalmente, los distintos módulos de cliente para LastPass tienen mejor consistencia de interfase entre ellos que la mayoría de las otras herramientas que hemos revisado.
Lieberman Enterprise Random Password Manager
La solución de contraseña de Lieberman está dirigida a un mercado diferente a la mayoría de los otros productos de esta revisión. Su idea es fortalecer las cuentas con privilegios y acceso administrativo compartido a servidores locales críticos Windows y Linux. Por lo general, muchos usuarios acceden a la misma cuenta con privilegios, y todos ellos necesitan saber la contraseña.
Teniendo en cuenta que muchas empresas tienen docenas, si no cientos de servidores, es fácil pasar por alto que muchos de ellos tienen cuentas de administrador obsoletas, o no saben dónde se encuentran. Una situación común es ser capaz de cambiar todas las contraseñas de administrador local sobre una base regular.
La herramienta Lieberman descubre y consolida todas las contraseñas del servidor, y luego las encripta y almacena en una base de datos especial. Puede elegir entre longitudes de 128 a 256 bits para el cifrado AES. ERPM genera contraseñas únicas y complejas que no necesita recordar, y las cambia tan a menudo como lo requieran sus políticas de contraseñas, incluso a diario si es muy paranoico. Cada inicio de sesión puede tener un horario y requisitos de complejidad diferentes.
ERPM maneja contraseñas de cuentas de servicios de Windows, cuentas de IIS, SQL Server y las cuentas de base de datos Oracle, SharePoint, Directory Services, Linux y otras plataformas importantes, tanto de servidores físicos como virtuales. Como un producto empresarial, está diseñado para trabajar con una variedad de repositorios de gestión de configuración, tales como CA, IBM y el software CMDB de BMC, y con las herramientas de administración de sistemas como Microsoft System Center, HP Operations Center y ArcSight.
Todas estas cuentas son descubiertas sin la necesidad de instalar ningún agente en los servidores individuales. Una vez que encuentra estas cuentas, ERPM detectará automáticamente los cambios de contraseña y hará las actualizaciones a través de los diversos sistemas y dispositivos.
La instalación es un poco complicada con una enorme lista de requisitos previos de software para apoyar sus servicios. Lo instalamos en una máquina ejecutando una versión previa de Windows 8.1 y elegimos la base de datos MySQL por defecto para su almacén de contraseñas. Pero una vez que pasa por este proceso, es fácil de mantener. Una de sus ventajas es un descubrimiento automatizado en tiempo real de posibles cuentas amenazadas. También puede agregar cuentas de su tienda de Active Directory, para explorar determinados rangos de direcciones IP, o de forma individual. Las nuevas cuentas se colocan en un trabajo de "cambio de control" que se puede ejecutar periódicamente para actualizar su colección de contraseñas.
ERPM también incluye una variedad de informes de auditoría para que pueda satisfacer diversos requisitos de cumplimiento, y puede emitir su información a varios formatos de archivo para su posterior procesamiento por software de gestión de la seguridad. Para empezar, con el software vienen una serie de informes preconfigurados.
Lieberman soporta diversas herramientas de autenticación de múltiples factores, incluyendo RSA SecurID y YubiKey, junto con otros métodos de una sola vez. Los usuarios pueden ser autorizados para usar cuentas particulares, o para recuperar o restablecer contraseñas específicas.
Una buena característica de ERPM es que es capaz de recuperar una contraseña a través de su cliente web. Cualquier usuario con los permisos de acceso adecuados puede utilizarla, y estas peticiones también se registran. También puede configurar los flujos de trabajo más complejos para aprobar las solicitudes de escalada de privilegios.
Lieberman también trabaja con una herramienta de terceros llamada Shell Control Box de BalaBit, un aparato de monitoreo de actividad, para restringir el acceso de los usuarios a los recursos privilegiados.
La mayor desventaja de ERPM es su costo. La etiqueta de precio de nivel de entrada es de 25 mil dólares, pero incluye un número ilimitado de usuarios y cuentas. Dada la posición única en el mercado de ERPM, esto podría ser una razón de por qué es tan caro.
1Password de Agilebits
1Password es un producto individual para consumidores sin capacidad de gestión empresarial. Tiene versiones para Windows -incluyendo Windows 8-, Mac, iOS y Android. El soporte de Windows 8 funciona muy bien con los navegadores que no son IE: si utiliza IE, tienes que arrancarlo desde el escritorio y no desde la interfase Metro, aunque se está trabajando en arreglar eso.
El software establece una bóveda de contraseña local y luego sincroniza la bóveda usando una variedad de servicios externos basados en la nube, como Dropbox o iCloud. Tuvimos problemas para hacer que esta sincronización trabaje inicialmente, porque las instrucciones son un tanto ambiguas. Pero una vez que esto se configura, funciona según lo previsto. Al abrir la aplicación - ya sea en el escritorio, en el teléfono inteligente o el plug-in del navegador - se le pregunta por su contraseña maestra de la bóveda con el fin de desbloquearla. A continuación, puede añadir nuevos servicios o recordar contraseñas particulares o información de la bóveda.
Una de las mayores ventajas con 1Password es que tiene una gran colección de diferentes tipos de cosas que puede proteger al interior de la bóveda, incluyendo números de tarjetas de crédito, notas de texto y la información de licencia de software, junto con las identidades habituales de acceso. Todo lo que es colocado en la bóveda puede ser asequible en cualquier otra plataforma, lo cual es muy conveniente. También puede añadir archivos adjuntos a cada registro de inicio de sesión, podría ser útil incluir copias de sus correos electrónicos o imágenes de sus firmas de contratos como referencias útiles.
Hay una serie de características adicionales para la versión de iOS, como el envío de una sesión de navegador segura donde se pueden borrar los datos basados en web para la seguridad adicional. También hay un modo de demostración donde puede mostrar a sus socios cómo funciona el software sin revelar las contraseñas reales, ya que a los usuarios de móviles les gusta compartir sus aplicaciones con más frecuencia. Con el tiempo, estas características encuentran su camino en las versiones de escritorio y el navegador.
El software también tiene una serie de opciones de protección que le impiden disparar sus propios errores en su pantalla de preferencias. Esto incluye la posibilidad de borrar el portapapeles y cerrar la bóveda al salir de la aplicación, o cuando el protector de pantalla de escritorio está activo. En las preferencias de escritorio, se puede ver de un vistazo qué plug-ins ha instalado y cuáles no están protegidos, lo cual es una referencia práctica.
Todas las versiones de 1Password incluyen un generador de contraseñas fuertes, donde se puede configurar una contraseña aleatoria. Se puede ajustar el control deslizante a una duración especial y la complejidad (el grado más alto de la contraseña después de excelente es fantástico). En algunas de sus herramientas de generación, también se puede elegir si la contraseña es pronunciable, si utiliza caracteres que no sean ambiguos, y si permite la repetición de caracteres. Sería bueno que Agilebits actualice sus versiones para ofrecer características consistentes a través de las versiones del navegador, escritorio y móviles.
1Password no soporta tantos teléfonos inteligentes como LastPass, y su sincronización podría usar un poco de atención, pero por lo demás es una buena herramienta para usar la contraseña individual. Los precios también son simples: cada ejemplar se vende a un pago de 50 dólares por única vez.
RoboForm Enterprise
RoboForm, como se podría suponer por su nombre, se acerca a la gestión de contraseñas por volumen desde la automatización de formas de la empresa. Se trata de un estudio de contrastes. A su favor están sus características sólidas de administración de contraseñas. Hay dos inconvenientes: cómo se construye y da soporte al software.
Cómo instalar el software es tedioso, y requerirá una cierta secuencia de requisitos que no están bien documentados. Esto no ayudó por la falta de apoyo que recibimos. Nuestro problema era único: En el medio de la revisión, el equipo responsable de apoyar el software de la empresa se fue de la compañía. Esperemos que, para cuando lea esto, se haya llenado este vacío. Una vez que tiene todo instalado, no debería tener demasiados problemas para conseguir que se despliegue a los usuarios finales, ya que viene en varios paquetes útiles, incluyendo Windows MSI.
El software se vende en varias versiones, incluyendo Pro, Enterprise, y consola de administración (que parece un nombre extraño). Cada una tiene un precio diferente en dos configuraciones básicas: una versión de estación de trabajo independiente y una versión Enterprise. El software de la consola cuesta cinco mil dólares para los primeros 50 usuarios, con descuentos por volumen, y una cuota de mantenimiento anual de mil dólares por encima de eso. Las licencias de estaciones de trabajo se pueden alojar por usuario y por dispositivo, por lo que preferirá seguir con los precios de Enterprise. Sí, esto es confuso.
La consola de gestión incluye el servicio de sincronización de nube llamado Everywhere. Esto significa que cada hora (o más a menudo si se cambia el valor predeterminado), las contraseñas de los usuarios se sincronizan en sus bóvedas, para que puedan acceder a ellas desde cualquier dispositivo que elijan. Hay otro módulo add-on llamado 2Go, donde puede copiar su bóveda de contraseñas en una unidad flash USB y moverla. Y también hay un cliente web, que es útil, por ejemplo, en una PC prestada.
La herramienta viene con un plug-in que puede acceder a sus funciones como otros productos revisados aquí, incluyendo un generador de contraseñas complejas y un botón para forzar la sincronización con su servicio en la nube. El plug-in también contiene varios menús, como aquel para el control de la configuración, o para establecer nuevas conexiones, o para apoyar un lector biométrico de huellas digitales de Windows.
Puede configurar la desconexión automática cuando se activa el protector de pantalla o cuando la PC entra en modo de espera, como la mayoría de los demás productos revisados aquí pueden hacer. Una diferencia es que crea un portal de inicio donde se puede hacer clic directamente sobre los nombres de usuario almacenados, de forma similar a como operan los productos Single Sign On. Puede guardar los archivos y los inicios de sesión en su bóveda, y también puede asignar archivos a usuarios o grupos concretos para una colaboración segura.
El producto tiene la segunda mayor compatibilidad con sistemas operativos móviles, incluyendo iOS, Android, BlackBerry y Windows Phone. Es compatible con los navegadores Chrome, IE, Firefox y Opera, y tiene una pantalla de estado que muestra los plug-ins instalados en el navegador, aunque la información de IE se segrega a otro conjunto de pantallas por alguna extraña razón.
La versión Enterprise de RoboForm incluye la posibilidad de recuperar algunas de las contraseñas maestras de sus usuarios, ya que se guardan encriptadas en un recurso compartido de red. Esto es algo que la mayoría de sus competidores no tienen actualmente. También tiene la capacidad de importar volúmenes de usuarios de Active Directory para ayudar con la configuración inicial.
TrendMicro DirectPass
Al igual que las otras herramientas de nivel de consumidor, DirectPass no tiene características empresariales de administración. También tuvo el menor número de características generales y la mayoría de problemas en su uso, y recomendamos que espere hasta su próxima versión antes de evaluarla seriamente. Por ejemplo, de los seis productos analizados, fue el único que no incluye un generador de contraseñas. TrendMicro promete incluir esta característica en su próxima versión. En su lugar, solo capta los inicios de sesión cuando aparece una sesión del navegador web. No hay manera de agregar manualmente el sitio web y su contraseña asociada a una lista aparte.
DirectPass sincroniza sus bóvedas a través de su propio servicio basado en la nube, que es simple. Su bóveda puede contener archivos de texto y los datos de formularios web en general. Puede forzar la sincronización a través de botones de la interfase, o debe hacerse de forma automática al abrir el software.
Tuvimos problemas al usar DirectPass con nuestra versión Pro Preview de Windows 8.1. Trabajó muy bien con XP o en nuestro iPhone. Se tardó una hora antes de que se sincronicen todos los anuncios y las notas de identidad, pero a partir de entonces la sincronización ocurrió casi en tiempo real.
Además, el cuadro de diálogo de captura en Windows 8.1 aparecería al mismo tiempo que el mensaje basado en el navegador que dice "guardar esta sesión". El proveedor reconoce todos estos artículos y está trabajando en su fijación y en hacer un cliente actualizado cuando Windows 8.1 se lance a finales de esta primavera.
La buena noticia es que es compatible con Windows desde XP-SP2 hasta la versión original de Windows 8 y las versiones de 32 y 64 bits. También está disponible para Android (al menos v2.3) e iOS (al menos v4.3). DirectPass tiene un plan de precios simple: 15 dólares por usuario al año. Se puede utilizar gratis si lo que desea es ahorrar un máximo de cinco contraseñas con la herramienta.
¿Cómo probamos los gestores de contraseña?
Instalamos cada producto en un equipo con Windows 7 o una versión pre-lanzamiento de Windows 8.1 de escritorio. También utilizamos los teléfonos Android e iOS y computadoras Mac de escritorio (si había un cliente disponible para estos sistemas), así como servidores de Windows, y varios servicios basados en la web, tales como Dropbox, Gmail, y un blog de Wordpress para probar estos inicios de sesión.
Nos conectamos a las distintas páginas web con los navegadores Firefox y Chrome para probar los plug-ins asociados. Cuando había un servicio basado en la nube para sincronizar nuestra bóveda de contraseñas, apuntamos a ese servicio y observamos si los datos de la contraseña se propagaban a través de los distintos clientes. También tomamos nota de las diferencias relativas de los clientes a través de diferentes sistemas operativos, tanto en términos de funcionalidad y en la interfase de usuario.
David Strom, Network World (EE.UU.)