🔑Administradores de Contraseñas

Parece que hoy en día todo requiere una contraseña. Usamos contraseñas para el Wi-Fi de nuestro hogar, redes sociales, cuentas bancarias, correos electrónicos comerciales e incluso nuestras aplicaciones y sitios web favoritos. Según este estudio de NordPass , la persona promedio tiene 100 contraseñas, que es una de las razones por las que la mayoría de la gente reutiliza contraseñas o crea contraseñas simples.

Teniendo todo esto en cuenta, necesitamos contraseñas diferentes y seguras, pero no todo el mundo puede memorizar cientos de contraseñas que cumplan con la complejidad necesaria para que una contraseña sea segura. Necesitamos algo que pueda ayudarnos a organizar nuestras contraseñas de forma segura. Un administrador de contraseñas es una aplicación que permite a los usuarios almacenar sus contraseñas y secretos en una base de datos cifrada. Además de mantener seguras nuestras contraseñas y datos sensibles, también cuentan con funciones para generar y administrar contraseñas robustas y únicas, 2FA, completar formularios web, integración del navegador, sincronización entre múltiples dispositivos, alertas de seguridad, entre otras características.

---

¿Cómo funciona un administrador de contraseñas?

La implementación de los administradores de contraseñas varía según el fabricante, pero la mayoría funciona con una contraseña maestra para cifrar la base de datos.

El cifrado y la autenticación funcionan utilizando diferentes funciones hash criptográficas y funciones de derivación de claves , para evitar el acceso no autorizado a nuestra base de datos de contraseñas cifradas y su contenido. La forma en que funciona depende del fabricante y de si el administrador de contraseñas está en línea o sin conexión.

Analicemos los administradores de contraseñas comunes y cómo funcionan.

---

Administradores de contraseñas Online

Uno de los elementos clave a la hora de decidirse por un administrador de contraseñas es la comodidad. Una persona típica tiene 3 o 4 dispositivos y los usa para iniciar sesión en diferentes sitios web, aplicaciones, etc. Un administrador de contraseñas en línea permite al usuario sincronizar su base de datos de contraseñas cifradas entre múltiples dispositivos, la mayoría de ellos proporcionan:

• Una aplicación móvil.

• Un complemento del navegador.

• Algunas otras características que discutiremos más adelante en esta sección.

Todos los proveedores de administradores de contraseñas tienen su propia forma de gestionar su implementación de seguridad y, por lo general, proporcionan un documento técnico que describe cómo funciona. Puedes consultar la documentación de Bitwarden , 1Password y LastPass como referencia, pero hay muchas otras. Hablemos de cómo funciona esto en general.

Una implementación común para los administradores de contraseñas en línea es derivar claves basadas en la contraseña maestra. Su propósito es proporcionar un cifrado de conocimiento cero , lo que significa que nadie, excepto usted (ni siquiera el proveedor de servicios), puede acceder a sus datos protegidos. Para lograr esto, comúnmente derivan la contraseña maestra. Usemos la implementación técnica de Bitwarden para derivar contraseñas para explicar cómo funciona:

1. Clave maestra: creada por alguna función para convertir la contraseña maestra en un hash.

2. Hash de contraseña maestra: creado mediante alguna función para convertir la contraseña maestra con una combinación de la clave maestra en un hash para autenticarse en la nube.

3. Clave de descifrado: creada mediante alguna función que utiliza la clave maestra para formar una clave simétrica para descifrar elementos de la bóveda.

Diagrama de Bitwarden

Esta es una forma sencilla de ilustrar cómo funcionan los administradores de contraseñas, pero la implementación común es más compleja. Puede consultar los documentos técnicos anteriores o ver el vídeo Cómo funcionan los administradores de contraseñas: Computerphile .

Los administradores de contraseñas en línea más populares son:

1. 1Password

2. Bitwarden

3. Dashlane

4. Keeper

5. Lastpass

6. NordPass

7. RoboForm

---

Administradores de contraseñas locales

Algunas empresas y particulares prefieren gestionar su seguridad por diferentes motivos y no depender de servicios proporcionados por terceros. Los administradores de contraseñas locales ofrecen esta opción al almacenar la base de datos localmente y responsabilizar al usuario de proteger su contenido y la ubicación donde se almacena.

Los administradores de contraseñas locales cifran el archivo de la base de datos utilizando una clave maestra. La clave maestra puede constar de uno o varios componentes: una contraseña maestra, un archivo de clave, un nombre de usuario, contraseña, etc. Por lo general, todas las partes de la clave maestra son necesarias para acceder a la base de datos.

El cifrado de los administradores de contraseñas locales es similar a las implementaciones en la nube. La diferencia más notable es la transmisión de datos y la autenticación. Para cifrar la base de datos, los administradores de contraseñas locales se centran en proteger la base de datos local utilizando diferentes funciones hash criptográficas (según el fabricante). También utilizan la función de derivación de claves (salt aleatorio) para evitar el cálculo previo de claves y obstaculizar los ataques de diccionario y adivinanzas. Algunos ofrecen protección de la memoria y protección del registrador de pulsaciones mediante un escritorio seguro, similar al Control de cuentas de usuario (UAC) de Windows.

Los administradores de contraseñas locales más populares son:

1. KeePass

2. KWalletManager

3. Pleasant Password Server

4. Password Safe

Características

Imaginemos que usamos Linux, Android y Chrome OS. Accedemos a todas nuestras aplicaciones y sitios web desde cualquier dispositivo. Queremos sincronizar todas las contraseñas y notas seguras en todos los dispositivos. Necesitamos protección adicional con 2FA y nuestro presupuesto es de 1 USD mensual. Esa información puede ayudarnos a identificar el administrador de contraseñas correcto para nosotros.

Al decidirnos por un administrador de contraseñas local o en la nube, debemos comprender sus características. Wikipedia tiene una lista de administradores de contraseñas (en línea y locales), así como algunas de sus características. Aquí hay una lista de las funciones más comunes para los administradores de contraseñas:

1. Soporte 2FA .

2. Multiplataforma (Android, iOS, Windows, Linux, Mac, etc.).

3. Extensión del navegador.

4. Iniciar sesión Autocompletar.

5. Capacidades de importación y exportación.

6. Generación de contraseña.

---

Alternativas

Las contraseñas son la forma más común de autenticación, pero no la única. Como aprendemos de este módulo, hay múltiples formas de comprometer una contraseña, descifrarla, adivinarla, navegar por el hombro, etc., pero ¿qué pasa si no necesitamos una contraseña para iniciar sesión? ¿Es posible tal cosa?

De forma predeterminada, la mayoría de los sistemas operativos y aplicaciones no admiten ninguna alternativa a una contraseña. Aún así, los administradores pueden utilizar aplicaciones o proveedores de identidad de terceros para configurar o mejorar la protección de identidad en sus organizaciones. Algunas de las formas más comunes de proteger identidades más allá de las contraseñas son:

1. Autenticación multifactor .

2. Estándar de autenticación abierto FIDO2 , que permite a los usuarios aprovechar dispositivos comunes como Yubikey para autenticarse fácilmente. Para obtener una lista de dispositivos más amplia, puede consultar Proveedores de claves de seguridad de Microsoft FIDO2 .

3. Contraseña de un solo uso (OTP) .

4. Contraseña de un solo uso basada en tiempo (TOTP) .

5. Restricción de propiedad intelectual .

6. Cumplimiento del dispositivo. Ejemplos: Endpoint Manager o Workspace ONE

---

Passwordless

Varias empresas como Microsoft , Auth0 , Okta , Ping Identity , etc., están intentando promover la estrategia Passwordless, para eliminar la contraseña como forma de autenticación.

La autenticación sin contraseña se logra cuando se utiliza un factor de autenticación distinto de una contraseña. Una contraseña es un factor de conocimiento, lo que significa que es algo que el usuario sabe. El problema de depender únicamente de un factor de conocimiento es que es vulnerable al robo, el intercambio, el uso repetido, el mal uso y otros riesgos. La autenticación sin contraseña significa, en última instancia, no más contraseñas. En cambio, se basa en un factor de posesión, algo que tiene un usuario, o un factor inherente, que es un usuario, para verificar la identidad del usuario con mayor seguridad.

A medida que evolucionan nuevas tecnologías y estándares, debemos investigar y comprender los detalles de su implementación para comprender si esas alternativas brindarán o no la seguridad que necesitamos para el proceso de autenticación. Puede leer más sobre la autenticación sin contraseña y las estrategias de diferentes proveedores:

1. Microsoft Passwordless

2. Auth0 Passwordless

3. Okta Passwordless

4. PingIdentity

Existen muchas opciones a la hora de proteger contraseñas. Elegir el adecuado dependerá de los requisitos del individuo o de la empresa. Es común que las personas y las empresas utilicen diferentes métodos de protección con contraseña para diversos fines.