Llegamos a ustedes gracias a:



Reportajes y análisis

Elija si desea sincronizar sus contraseñas

Sincronizar contraseñas

[06/03/2015] Cada contraseña que crea, debe ser única: cada sitio, servicio o sistema, necesita su propia clave. Además, las contraseñas deberían ser largas, no contener palabras que estén en el diccionario, tener signos de puntuación, un pensamiento claramente expresado, y la famosa receta de budín de maíz y de su abuela.

Las contraseñas pueden ser ridículas, y puede sentirse intimidado porque millones de ellas se filtran por las grietas de bases de datos y sitios web todo el tiempo. Es posible que se haya convertido en un fatalista, asumiendo que lo que sea que haya usado para crear sus contraseñas y como sea que las haya usado, ellas siempre estarán propensas a fallarle.

Estoy aquí para decirle que no se desespere. Aún vale la pena poner el esfuerzo en querer crear contraseñas únicas y fuertes que no pueda memorizar, excepto una de ellas, a la cual puede hacer fácil de memorizar sin arriesgar la seguridad.

Las grietas sobre las que se suele escuchar involucran típicamente la filtración de nombres de cuenta o correos electrónicos combinados con contraseñas cifradas, las que están codificadas usando una función criptográfica hashing que muele el "texto plano" (su contraseña actual), a través de una serie de operaciones matemáticas que producen un resultado que no se puede invertir para recuperar el original.

Las contraseñas comunes se pueden probar contraponiéndolas a los resultados de la función hash, y, si a las contraseñas les falta un poco más de entropía, llamada a salt, cualquier prueba exitosa de una contraseña contra su equivalente hash encajará en todas las cuentas con la información filtrada. Es por esto que, por ejemplo, los investigadores saben que "123456" es una contraseña común.

En dichas fugas, siempre que las contraseñas se cifren completamente, elegir una contraseña segura resistirá los esfuerzos por acabar con ella. Elegir una contraseña robusta diferente para cada uso, también significa que un error total en un sitio o servicio impedirá el acceso a todos los aspectos de su identidad en todos lados.

Al igual que con muchos otros aspectos de la seguridad en línea, a menos que sea específicamente "perseguido -es decir, si una persona maliciosa, un criminal, o un gobierno pone esfuerzo decidido para conseguir sus datos- todavía podrá mitigar el riesgo. Sin embargo, podría estar pensando: si creo muchas contraseñas imposibles de memorizar, ¿no necesitaría aún asegurarlas de una manera que sea débil? Voy a llegar a eso, se lo prometo.

Las contraseñas fuertes se crean, no se sueñan

Nunca ha sido más fácil configurar y almacenar contraseñas únicas y fuertes, haciéndolas fácilmente disponibles cuando las necesite. La adición de Apple, iCloud Keychain, en Mavericks de Mac OS X 10.9 y en iOS 7 en el 2013 fue un avance, aunque no es suficiente. En Safari, iOS y OS X pueden sugerir una contraseña extensa y robusta, y luego almacenarla localmente, y, opcionalmente, sincronizarla a otros dispositivos que se registren en la misma cuenta de iCloud.

Las extensiones en iOS 8 hacen a 1Password aún más conveniente, ya que puede llegar a su bóveda de contraseñas desde otras aplicaciones, incluyendo Safari.
Sincronizar contraseñas-

Apple genera resultados casi memorizables: doce caracteres en cuatro grupos (separados por guiones) con una combinación de letras y números en mayúsculas y minúsculas. iCloud Keychain también almacena y sincroniza las contraseñas que introduzca en los formularios web (con su permiso), y otras contraseñas del sistema, incluyendo las de redes Wi-Fi.

La generación y el almacenamiento de contraseñas solo funcionan en Safari, aunque las aplicaciones de terceros pueden utilizar iCloud Keychain para el almacenamiento y la sincronización. Varias opciones de otros fabricantes ofrecen beneficios similares y otros más amplios. Yo uso 1Password, mientras muchos de mis colegas recurren a LastPass. Estas combinaciones de generador de contraseñas y de trabajo seguro a través de múltiples plataformas, ofrecen múltiples métodos de sincronización. En iOS 8, usando App Extensions, las aplicaciones se pueden atar directamente en Safari. 1Password tiene una API que muchas de aplicaciones populares han aprovechado; esto le permite acceder a sus contraseñas almacenadas fuera de la aplicación 1Password. Ambas aplicaciones también permiten usar ID Touch para el desbloqueo. (Transmit para iOS es una de mis favoritas, ya que es una aplicación de conexión de servidor de archivos que puede utilizar 1Password cuando estoy configurando las conexiones que también uso en el escritorio).

Sincronizar o no sincronizar

Entonces, así está la cosa: si está teniendo todo este problema al crear contraseñas distintas, ¿no es una terrible, terrible idea tenerlas todas en un lugar protegido por una sola contraseña que necesite ser capaz de recordar? Y si está sincronizando su caché de contraseñas a través de Dropbox, iCloud, u otro sistema de almacenamiento en la nube, ¿no está exponiendo a todas aquellas contraseñas a un fácil robo en masa? En realidad no, a pesar de que pueda parecer un riesgo enorme.

Con la autenticación de dos factores activada, la configuración de iCloud Keychain en un nuevo dispositivo requiere la contraseña de iCloud, más la aprobación de otro dispositivo.
Sincronizar contraseñas

En primer lugar, tiene que considerar el acceso físico. iCloud Keychain y 1Password requieren que obtenga acceso local a un dispositivo o computadora. (Compartir la pantalla de forma remota a una Mac es también un riesgo, dependiendo también de cómo haya hecho la configuración).

En segundo lugar, aún con el acceso físico (o el acceso basado en web con LastPass, que explicaremos más adelante), alguien tiene que tener su contraseña maestra u otros factores. Apple y las aplicaciones de contraseñas de terceros ofrecen todo tipo de opciones para asegurar aún más el acceso en dispositivos móviles y computadoras. Incluso si alguien se apodera de un archivo para una aplicación de terceros que contiene sus contraseñas y pueda buscar automáticamente contraseñas diferentes por horas o años, el método más inteligente por el cual 1Password, LastPass, y otros hagan hash de su contraseña maestra, hacen que sea "computacionalmente costoso de realizar cada intento.

En tercer lugar, hay dos obstáculos diferentes para acceder a los datos almacenados en la nube. El primero es el acceso a la cuenta; el segundo, es descifrar los datos almacenados allí -el mismo problema que en el segundo punto anterior. Apple asegura iCloud Keychain con una protección adicional en la parte superior de la seguridad, ahora reforzada, del almacenamiento de iCloud en general. Es tan segura que puede terminar accidentalmente bloqueándose a sí mismo y quedarse fuera sin poder sincronizar. Confieso que esto casi me pasó a mí después de una realizar una actualización de mi iPhone en la que me equivoqué de grabar el PIN que utilicé como una copia de seguridad. (Sí, ¡nos sucede a todos!)

Capas de protección

1Password puede sincronizar a través de un par de métodos, incluyendo la localización vía Wi-Fi; pero, cuando almacena sus datos en Dropbox, un atacante necesitaría su contraseña de Dropbox (además de un segundo factor, si lo habilita, como yo lo recomiendo), y luego, incluso con el paquete 1Password, todavía necesitaría su contraseña maestra para descifrar su almacén de datos.

Tanto 1Password como LastPass le permiten configurar Touch ID en lugar de usar la contraseña maestra en su iPhone.
Sincronizar contraseñas

LastPass utiliza su propio almacenamiento basado en la nube para la sincronización y el acceso al navegador, lo que significa que alguien tiene que atravesar solo la capa de la cuenta, pero la empresa ofrece una gama muy sólida de métodos para limitar y validar las credenciales, incluyendo varias opciones multifactoriales.

Lo que esto debería dejar claro es que el punto más débil de todos estos sistemas es lo que, o las cosas que, abren su almacén de contraseñas. Con Apple, ya que s3e requiere pasos adicionales para validar los dispositivos que se sincronizan, está confiando en todas las garantías que ellos ponen el capa y ofrecen para OS X e iOS, así como para iCloud.

Con 1Password, LastPass, y otros, es necesario seleccionar una contraseña maestra que sea fuerte, se pueda recordar, y que no sea una molestia para ingresarla en un dispositivo móvil de forma rutinaria (a menos que este confiando principalmente en Touch ID).

Yo no soy una contraseña Pollyanna: un sitio web con mala seguridad puede dejar a las contraseñas de sus usuarios vulnerables en varios puntos de entrada. Pero yo soy un fanático de la compartimentación. En lugar de darse por vencido y usar una contraseña débil en todas partes, optar por contraseñas únicas imposibles de memorizar, y una contraseña fuerte que proteja a estas, y que guarde herméticamente, minimizará el riesgo que enfrente debido a las malas decisiones de otras personas.

Glenn Fleishman, Macworld.com