Todo lo que necesitas saber sobre el administrador de contraseñas
¿Estás confundido con respecto a los administradores de contraseñas? Son más sencillos de lo que crees
Si aún no lograste usar un administrador de contraseñas, que es una de las prácticas de seguridad más recomendadas por los expertos de seguridad, no estás solo. Incluso Lorrie Cranor, hasta hace poco Jefe de Tecnología de la Comisión Federal de Comercio (Federal Trade Commission), quien ayudó a proteger a los consumidores de los delitos online, recién comenzó a usar un administrador de contraseñas a finales de 2016. “Defiendo los administradores de contraseñas hace años pero nunca había probado uno,” dice Cranor.
Estos servicios ayudan a protegerte de los delincuentes ya que generan y almacenan una contraseña diferente que es larga y complicada, para cada una de tus cuentas online. Pero decidir a cuál administrador de contraseñas confiarle las claves de tu vida online puede resultar abrumador.
Los principios básicos también son confusos. Los consumidores se preguntan cómo configurar el servicio, dónde se almacenan las contraseñas, cómo compartir las contraseñas con un cónyuge, cómo funcionan los administradores de contraseñas en las aplicaciones para los smartphones y más. (Yo me hice esas mismas preguntas). A continuación proporcionamos una explicación detallada de lo que tienes que saber.
¿Qué son exactamente los administradores de contraseñas?
La gran mayoría de nosotros usamos contraseñas no seguras o reutilizamos las contraseñas en múltiples cuentas. Esto nos hace más vulnerables a delitos como el robo de identidad. Un administrador de contraseñas genera, recupera y controla contraseñas muy largas y extremadamente aleatorias en innumerables cuentas, al mismo tiempo que protege toda tu información vital online, no solo contraseñas, sino también PIN, números de tarjeta de crédito y sus códigos CVV de 3 dígitos, respuestas a preguntas de seguridad y más usando una encriptación tan resistente que a un hacker o pirata cibernético le tomaría décadas hacerlo o que jamás podría descifrar.
Y para obtener toda esta seguridad solo debes recordar una sola contraseña, la que usas para abrir tu llamado almacén. Tus datos de inicio de sesión están seguros, pero, al mismo tiempo, al alcance de tu mano.
De todas formas, deberías tomar otras medidas de seguridad, como configurar pantallas de bloqueo en todos tus dispositivos, usar autenticación en dos fases en tus cuentas de valor y solo usar computadoras en las que confíes.
“Los administradores de contraseñas no son una solución mágica”, dice Lujo Bauer, un investigador en seguridad y profesor adjunto de la Carnegie Mellon University, “pero para la mayoría de los usuarios ofrece una combinación de seguridad y conveniencia mucho mejor que si no los tienen. Todos deberían usar uno”.
Estas convencido de esto, ¿pero no sabes cuál usar? Los expertos de seguridad dicen que no deberías pensarlo demasiado. “Mientras sea una marca comercial”, como 1Password, Dashlane, KeePass o LastPass, las 4 opciones más populares,“qué administrador de contraseñas usar se reduce principalmente a tus preferencias personales,” dice Dan Guido, CEO de la firma de seguridad digital Trail of Bits. “Al final del día, lo más importante es que sea fácil de usar para que la continúes usando.”
Si pruebas un administrador de contraseñas y no te gusta, no es algo importante. Cada uno de los 4 grandes administradores de contraseñas te permiten exportar todos tus datos, así que, si no estas a gusto, puedes eliminar tu cuenta y cambiar de administrador.
¿Cuánto te va a costar?
Algunos administradores de contraseñas se pagan, pero no todos. Dashlane cobra $40 por año para sincronizar una cuenta en todos tus dispositivos: tu computadora de escritorio, laptop, teléfono celular y tablet. (Puedes usar la versión gratuita de Dashlane, pero después del primer mes no podrás sincronizar los cambios). 1Password te cobrará $2.99 dólares por mes para todos tus dispositivos después de un período de prueba de 30 días.
Al igual que otros administradores de contraseñas, ambos ofrecen una sólida seguridad: Encriptación AES-256, utilizada por el gobierno federal para proteger información clasificada. Pero por lo que realmente les estás pagando a Dashlane y a 1Password es por un software fácil de usar con características excelentes, como alertas cuando uno de tus sitios o servicios ha sido violado, atención preferencial al cliente, la posibilidad de cambiar tus contraseñas viejas de forma automática en ciertos sitios, sincronización continua y una interfaz inteligente y atractiva.
Otros servicios son gratuitos. El administrador de contraseñas basado en la nube LastPass recientemente dejó de aplicar su cargo de $1 dólar mensual. Ofrece muchos de los mismos servicios que Dashlane y 1Password y sincroniza tu almacén en todos tus dispositivos. (De todas maneras, vas a tener que pagar $12 dólares al año para tener características como servicio técnico preferencial, un gigabyte de almacenamiento de archivos encriptados y hasta 5 usuarios en una cuenta, lo que permite compartir contraseñas de forma segura).
También existe KeePass (y su variante para Mac, KeePassX), un software de código abierto popular entre los fanáticos de la tecnología. Esta opción es totalmente gratuita. Parece algo del año 1995, pero eso no significa que escatime en seguridad. Protege tu almacén de contraseñas con la misma encriptación sólida utilizada por los administradores de contraseñas que cobran un cargo.
Pero existe una advertencia. KeePass es un administrador de contraseñas “hágalo usted mismo” (Do It Yourself, DIY) —solo elígelo si estas dispuesto a trabajar con él. Puedes encontrar instrucciones detalladas en línea que te guiarán en la configuración básica, además de características más avanzadas que requieren una mezcla de conocimiento técnico y paciencia. Pero no puedes llamar a servicio al cliente si te encuentras en problemas.
¿Cómo lo configuro?
A excepción de KeePass, todos los administradores de contraseñas se comienzan a usar de manera similar y es algo bastante sencillo. Para Dashlane y 1Password, primero debes descargar e instalar un software y una extensión para tu navegador. LastPass solo requiere una extensión para el navegador. También puedes descargar una aplicación para tu teléfono celular o tu tablet. Todo tomara solo unos minutos.
Para configurar tu cuenta, usas tu dirección de correo electrónico y necesitas una contraseña maestra que sea larga, aleatoria y complicada.
Luego, tendrás que informar al administrador de contraseñas sobre todas tus cuentas. Podrás importar contraseñas que tengas almacenadas en tus navegadores o hacer que el administrador almacene tu nombre de usuario y contraseña la próxima vez que ingreses a un sitio, o ingresar la información manualmente.
¿Puede un administrador de contraseñas cambiar mis contraseñas viejas por mí?
Cambiar las contraseñas viejas y no seguras de tus numerosas cuentas online por otras nuevas, seguras y generadas por computadora puede ser toda una tarea. Tanto Dashlane como LastPass cuentan con una característica que realiza esto automáticamente en listas seleccionadas de sitios, pero son colecciones al azar.
Para cambiar la mayoría de tus contraseñas, tendrás que hacerlo tú mismo: Inicia sesión en el sitio, ve a tu información de cuenta y deja que tu administrador de contraseñas genere una contraseña larga y única. De paso, deberías cambiar las respuestas a tus preguntas de seguridad por una secuencia de caracteres que no tengan sentido (que después también puedes almacenar en tu almacén de contraseñas).
Reemplazar todas tus contraseñas no seguras o reutilizadas llevará tiempo, especialmente si estas administrando decenas de cuentas. Pero no tienes que hacerlo todo al mismo tiempo. Los expertos en seguridad recomiendan ocuparte primero de tus cuentas de mayor valor y después de las otras, cuando tengas tiempo. “Incluso si cambias tu contraseña solo para unos pocos sitios como tu correo electrónico, tu banco y el almacenamiento en la nube, ya has aumentado tu seguridad significativamente,” dice Bauer.
A medida que agregues cuentas a tu almacén, verás que los administradores de contraseñas también almacenan las URL para iniciar sesión, una característica de seguridad muy útil: Muchos ataques de phishing tratan de engañar a los usuarios para que envíen información de la cuenta dirigiéndolos a sitios web fraudulentos con direcciones web ligeramente diferentes. En lugar de hacer clic en los hipervínculos de un correo electrónico sospechoso, usa el hipervínculo almacenado en tu administrador de contraseñas para iniciar sesión, o escribe la URL tú mismo.
Otra característica excelente y que podría ayudarte a ahorrar tiempo: La extensión del navegador de un administrador de contraseñas puede completar automáticamente tu información de usuario. Incluso puede iniciar sesión en tu cuenta automáticamente, pero los expertos de seguridad advierten que los usuarios deben tener cuidado con esto. En general, es más seguro desactivar el inicio de sesión automático en las configuraciones del administrador.
“Los navegadores web son softwares enormes de funcionalidad compleja,” dice Bauer. “Con el inicio de sesión automático, estás forzado a confiar en que los navegadores de Internet no engañen al administrador de contraseñas para que divulgue tu contraseña. Es mucho más seguro tener un pedido de confirmación para que lo aceptes antes de que tu administrador de contraseñas envíe una contraseña a un sitio web”.
¿Dónde se almacenarán mis contraseñas?
Esta es una gran línea divisora entre los enfoques de los administradores de contraseñas. Es una cuestión de almacenamiento local vs. almacenamiento en la nube. Puedes o tener todas tus contraseñas en una laptop o en una unidad de almacenamiento en tu hogar o de forma remota en los servidores de una compañía.
De manera predeterminada, LastPass, 1Password y Dashlane almacenan tu almacén de contraseñas en sus servidores, lo que te permite sincronizar tus datos fácilmente en todos tus dispositivos. Como un segundo beneficio, si tu computadora se rompe no pierdes tu almacén.
Pero algunas personas simplemente detestan la idea de almacenar todas sus contraseñas en un solo sitio en la nube, sin importar lo que prometa la compañía sobre sus medidas de seguridad, probablemente tengan un blanco pintado en su espalda encriptada. Si esto te recuerda a ti, es posible almacenar las contraseñas localmente.
Dashlane te permite hacer esto desactivando la característica “Sincronizar” en Preferencias. Esto elimina tu almacén y sus contenidos de los servidores de la compañía. Desde luego, todos los cambios adicionales que realices a tu almacén en tu computadora no se verán en tus otros dispositivos.
Otra opción: Puedes comprar una licencia de software para 1Password por un único cargo de $64.99 dólares, que te dará el control completo sobre dónde almacenas tu almacén. Para transferir tus datos a tu dispositivo móvil, puedes subir tu almacén encriptado manualmente a un servicio de almacenamiento basado en la nube que sea de tu elección, como Dropbox o iCloud. Luego, para tu tranquilidad, puedes eliminar permanentemente tu almacén de contraseñas de la nube, una vez que hayas movido tus datos a tu teléfono o tableta.
KeePass es la opción puramente local. Guarda tu almacén encriptado en tu propia computadora, y puedes elegir en qué ubicación guardarlo. Existen métodos para transferir tu archivo de contraseña de KeePass para que puedas usarlo en tu teléfono celular. Por ejemplo, la aplicación para iOS MiniKeePass puede enviar el almacén a tu iPhone por medio de iTunes.
¿Cómo accedo a las aplicaciones?
Los administradores de contraseñas funcionan fácilmente con un navegador web en tu laptop. Pero, probablemente, también quieras iniciar sesión en aplicaciones, desde Facebook hasta sitios bancarios. La forma de hacerlo varía según el tipo de teléfono que uses.
Los teléfonos Android te permiten usar Dashlane o LastPass para iniciar sesión en tu aplicación automáticamente, después de realizar unas pocas modificaciones sencillas en las configuraciones; 1Password puede completar tus nombres de usuario y contraseñas con solo presionar una tecla en un teclado dedicado.
Las aplicaciones para iPhone son otra historia. Aunque unos pocos centenares son compatibles con la función autocompletar de 1Password, Dashlane y LastPass, es probable que la mayoría de las aplicaciones que usas no sean compatibles.
Pero no significa que quedas aislado de esas aplicaciones. En el peor de los casos, tendrás que alternar entre la aplicación de tu administrador de contraseñas y, digamos, tu aplicación bancaria, copiando y pegando tu nombre de usuario y contraseña. Esto suena complejo, pero después de presionar unas pocas teclas ya iniciaste sesión, y nunca tendrás que volver a escribir una contraseña larga y complicada.
¿Puedo compartir contraseñas con mi cónyuge?
A pesar de que es una buena práctica de seguridad guardar tus contraseñas, hay momentos en los que necesitarás compartirlas con un familiar o un compañero de trabajo. Algunos administradores de contraseñas son mejores que otros para hacer esto de forma segura.
KeePass, por ejemplo, no está diseñada para compartir contraseñas de forma discreta con un usuario que no utilice KeePass. Puedes almacenar una base de datos de contraseñas compartidas en la nube, pero esto significa que tendrás que configurar a alguien que tenga KeePass.
1Password tiene una opción de inscripción familiar de hasta 5 integrantes a $4.99 por mes (si comienzas con un plan individual puedes cambiarlo a un plan familiar más tarde). Puedes invitar a integrantes de tu familia por correo electrónico y puedes proporcionarles niveles de acceso personalizados, como por ejemplo sitios bancarios solo para los adultos, servicios de juegos para los niños y servicios de streaming para todos. Los integrantes de la familia deben descargar 1Password a sus dispositivos y establecer sus propias contraseñas maestras, y así el almacén de la familia queda almacenado en los servidores de la compañía, con cambios que se sincronizan inmediatamente en todos los dispositivos.
Tanto LastPass como Dashlane te permiten compartir todas las contraseñas individuales que quieras con personas que no sean usuarios (sin embargo, deben inscribirse a una cuenta gratuita para recuperar la información de inicio de sesión) y tus datos confidenciales estarán encriptados en todo momento. Sin embargo, las versiones gratuitas que no son premium tienen límites para los usuarios. Si tú no estás pagando las características premium de Dashlane, solo puedes compartir 5 elementos con otra persona.
¿Qué sucede si olvido mi contraseña maestra?
Solo LastPass te ofrece un indicio de contraseña (o una manera de restablecer la contraseña maestra, si estas usando un dispositivo que ya usaste anteriormente).
Pero en los demás administradores, olvidar tu contraseña maestra significa que se bloqueará el acceso a tu almacén para siempre. Lo cual es una mala noticia, pero no el fin de tu mundo online. En caso de que bloquees el acceso a tu almacén solo debes restablecer todas tus contraseñas, cuenta por cuenta, sitio por sitio.
Para estar a salvo, escribe tu contraseña maestra y almacénala en un lugar seguro.
Vamos, ¿no puedes simplemente decirme qué administrador de contraseñas usar?
Realmente se reduce a una preferencia personal. Al entrevistar a media docena de expertos en seguridad, descubrí que uno le tenía mucha fe a 1Password, 2 eran leales a KeePass, uno me dijo “solo usa LastPass” y uno usaba Dashlane. No había consenso.
Así que decidí probar los 4. Configurar 1Password, Dashlane y LastPass y sus extensiones del navegador fue realmente fácil y rápido. (Pospuse lidiar con KeePassX ya que leí que solo es para expertos en tecnología). Pero, a pesar de que las características fáciles de uso, como autocompletar, y la generación de contraseñas fueron útiles; por momentos parecía demasiado bueno, como si una mano invisible buscara en las páginas web, completara los casilleros e iniciara sesión en mi cuenta por sí sola. Fue perturbador.
Y por otro lado estaba el precio. Por supuesto, estos servicios solo cuestan unos pocos dólares al mes y eso cuesta menos que ser víctima de un robo de identidad. Pero, en unos años, sumaría $400 dólares o más. ¿Y quién quiere gastar ese dinero en contraseñas?
Finalmente, me senté a tratar de descifrar KeePass. A los 5 minutos de tratar ya estaba listo para darme por vencido. ¿Estaba descargando la versión correcta? ¿Esto podría ser malware? Pero, después de un rato, encontré una guía muy útil a través de Security in a Box, un proyecto fundado por 2 grupos de derechos humanos. Ofrecía instrucciones paso a paso que hicieron la configuración de KeePass tan difícil como lo es armar una estantería de Ikea.
Para integrar KeePass con un navegador web hubiera necesitado un complemento separado, pero ya tenía todas las características que realmente quería: una encriptación sólida, un generador de contraseñas y un lugar para almacenar información de la cuenta, los PIN y preguntas de seguridad. Suficientemente bueno para mí. Además, no tenía que confiar en el servidor de otros. A pesar de que no me cabe duda de que los administradores de contraseñas comerciales están tomando las medidas de seguridad más rigurosas, simplemente me siento mucho más cómodo si mantengo el acceso a mi almacén en mis propias manos.
Y, además, hubo otros beneficios. Una vez que instalé KeePass y lo empecé a ejecutar, no solo obtuve un gran administrador de contraseñas, sino que también sentí una satisfacción tecnológica ganada con mucho esfuerzo. Y no me costó ni un centavo.
– Andrew Chaikivsky