Llegamos a ustedes gracias a:



Reportajes y análisis

5 cosas que debe saber acerca de los gestores de contraseñas

[20/07/2016] Nuevas violaciones de datos salen a la luz casi todas las semanas y revelan un simple pero preocupante hecho: muchas personas siguen optando por contraseñas débiles y las reutilizan a través de múltiples sitios. La realidad es, que recordar docenas de contraseñas complejas es casi imposible, y llevarlas en un trozo de papel que tiene que mantener actualizado es una gran molestia. Es por eso que existen gestores de contraseñas. Aquí le decimos por qué son importantes, y cómo obtener el máximo provecho de ellos.

Es importante la variedad de las contraseñas

Siendo las fugas de contraseñas casos de "cuándo" y no "si", se debe limitar el daño que puedan hacer los atacantes mediante la elección de una contraseña diferente para cada cuenta en línea. Recordar todas esas contraseñas es difícil sin hacerlas predecibles, y ahí es donde los administradores de contraseñas pueden jugar un papel muy importante. Están disponibles para la mayoría de navegadores y sistemas operativos, incluidos los itinerantes, y proporcionan una experiencia de inicio de sesión sin problemas.

La complejidad de la contraseña importa

La mayoría de los administradores de contraseñas pueden generar contraseñas complejas, y eso es importante. Los sitios Web generalmente almacenan representaciones de cifrado de contraseñas llamadas "hash", pero dependiendo del algoritmo utilizado, los valores hash pueden ser descifrados. Cuanto más compleja sea una contraseña, menor será la posibilidad de que un atacante pueda recuperarla a partir del hash, por lo que es recomendable utilizar contraseñas con 12 o más caracteres, combinando letras mayúsculas y minúsculas, números y símbolos especiales.

Por lo general, todavía necesita recordar una contraseña maestra que se registra en su gestor de contraseñas. También querrá saber su contraseña para algunas cuentas críticas, como el correo electrónico, en caso de que el gestor de contraseñas no esté disponible por alguna razón. En ese caso, las secuencias de palabras combinadas con números y letras mayúsculas pueden ser difíciles de descifrar. Un ejemplo sería DogsCatsRabbitsMyTop3Animals. Éstas se refieren típicamente como 'contrafrases', porque son largas.

Online versus fuera de línea

Los administradores de contraseñas emplean una variedad de modelos de seguridad. Algunos están fuera de línea, como KeePass, Password Safe o Enpass, lo que significa que no se sincronizan a través de diferentes dispositivos: tiene que mover la base de datos cifrada entre las distintas instancias del programa cada vez que añada o cambie una contraseña, o utilizar un servicio para compartir en la nube como Dropbox para mantener la base de datos sincronizada. Otros, como LastPass, Dashlane y 1Password, sincronizan automáticamente sus contraseñas a través de diferentes dispositivos, y algunos incluso ofrecen acceso basado en Web a su "bóveda" de contraseñas.

Si elige una de las implementaciones basadas en servicios, preste atención a la arquitectura y asegúrese de que descifra la base de datos a nivel local dentro de la aplicación o navegador, sin tener que compartir la contraseña maestra con el proveedor de servicios.

No se atenga a una sola contraseña maestra

Proteger todas las contraseñas con una sola llave maestra no es la mejor idea, ya que puede crear un único punto de falla. Sin embargo, muchos administradores de contraseñas ofrecen autenticación de dos factores, donde el acceso a la bóveda de contraseña también requiere un código de una sola vez a través de SMS o generado por una aplicación como Authenticator de Google. Asegúrese de que el gestor de contraseñas que elija tenga esta característica y actívela.

Incluso cuando se está utilizando un gestor de contraseñas, es una buena idea habilitar la autenticación de dos factores (a veces llamada la verificación de dos pasos) en todas sus cuentas en línea que la ofrecen. Una capa adicional de protección nunca viene mal.

Haga uso de otras funciones de seguridad

Algunos gestores de contraseñas ofrecen la opción de desconectarlo después de un período de inactividad. Eso es útil, porque no es buena idea mantener el almacén de contraseñas abierto durante períodos prolongados de tiempo, sobre todo en una computadora compartida. Desconectarse de forma automática puede limitar el daño si el equipo se infecta temporalmente con malware. También es mejor no señalar los dispositivos como "de confianza", pues se deshabilita la autenticación de dos factores para ese dispositivo.