Debido a los sustos de alto perfil en la seguridad informática -como las vulnerabilidades de Heartbleed o en Target- así como a las acusaciones formuladas contra los gobiernos y los proveedores de nube por Edward Snowden, más de nosotros los usuarios de Internet estamos tomando consciencia de la seguridad de nuestra información. Una de las acciones más inteligentes que podemos hacer para protegernos a nosotros mismos es el uso de un administrador de contraseñas. Es una de las más fáciles también.
Un administrador de contraseñas no lo protegerá contra Heartbleed o la NSA, pero es un excelente primer paso para asegurar su identidad, lo que ayuda a aumentar la seguridad de las contraseñas que protegen sus cuentas en línea, ya que éste recordará esas contraseñas por usted. Un administrador de contraseñas incluso genera contraseñas seguras al azar, sin necesidad de memorizar o anotar estas cadenas aleatorias de caracteres. Estas contraseñas fuertes ayudan como un escudo contra los ataques a las contraseñas tradicionales, como los de diccionario, tablas de arco iris, o los ataques de fuerza bruta.
Muchos administradores de contraseñas le permiten rellenar automáticamente su bóveda de contraseñas mediante la captura de sus logins de Web utilizando plugins para navegador, permitiéndole almacenar estas credenciales. Otras opciones para poblar la base de datos de contraseñas incluyen la importación de una hoja de cálculo de Excel o introducir manualmente su información de inicio de sesión. Además, el uso de estas credenciales almacenadas se automatiza típicamente usando un plugin en el navegador, que reconoce los campos de nombre de usuario y contraseña de la página web, y a continuación, rellena estos campos con la información apropiada de inicio de sesión.
Aunque varios navegadores ofrecen una funcionalidad similar de fábrica, muchos gestores de contraseña ofrecen varias ventajas con respecto a la funcionalidad integrada en el navegador -como el cifrado, la multiplataforma y la sincronización entre navegadores, soporte para dispositivos móviles, la compartición segura de credenciales, y el soporte para autenticación multifactor. En algunos casos, los nombres de usuario y las contraseñas deben ser copiados desde el administrador de contraseñas en el navegador, lo que reduce la facilidad de uso, pero aumenta el nivel de seguridad al solicitar la entrada de la contraseña maestra antes de acceder a la información de inicio de sesión almacenada.
Algunos administradores de contraseñas almacenan sus credenciales localmente, otros se basan en servicios en la nube para el almacenamiento y la sincronización, mientras que otros tienen un enfoque híbrido. Algunas de las opciones sobre el uso de almacenamiento local (como el KeePass y 1Password) todavía soportan la sincronización a través de Dropbox u otros servicios de almacenamiento. La decisión sobre qué gestor de contraseñas es el mejor para usted dependerá de las características y la facilidad de uso, así como de si se siente cómodo almacenando sus contraseñas en Internet.
Si tener sus datos críticos almacenados en un servicio de nube le preocupa, entonces KeePass, 1Password o SplashID Safe (sin el servicio de nube SplashID) ofrecen las mejores opciones. Si confía en los servicios basados en la nube para sus contraseñas y cree que realmente protegerán sus datos mediante buenas prácticas de seguridad y cifrado, LastPass, Dashlane o PasswordBox son sus mejores apuestas.
A mi juicio, KeePass es la mejor de las opciones sobre el uso de almacenamiento local. El hecho de que sea de código abierto, gratuito y complementado por un sinnúmero de plugins lo convierte en una opción muy flexible. Con la combinación correcta de plugins, KeePass se puede amoldar para hacer casi cualquier cosa que pueda necesitar de un administrador de contraseñas. Mi opción favorita es la nube LastPass, principalmente debido a su bajo costo y la aplicación coherente de las funciones a través de todos los clientes. Fue fácil trabajar con cada cliente LastPass que probé; además son estables y notablemente uniformes desde una perspectiva de usabilidad. Además, el hecho de que una cuenta de LastPass Premium cuesta un dólar al mes hace que sea una opción muy atractiva.
Pero una de estas otras opciones podría adaptarse mejor. En realidad, no le puede ir mal con alguno de estos administradores de contraseñas.
1Password
1Password es una idea original de AgileBits, fabricante de la popular herramienta de cifrado de Knox para OS X. A diferencia de Knox, 1Password ofrece soporte para múltiples plataformas, incluyendo Mac, Windows, iOS y Android.
Al igual que el KeePass, 1Password utiliza un archivo local para almacenar las contraseñas cifradas. AgileBits no proporciona un servicio en la nube para la sincronización con dispositivos móviles, pero 1Password si soporta la sincronización de la bóveda de contraseñas usando Dropbox (todas las plataformas) o iCloud (Mac y iOS solamente). 1Password también admite la sincronización a través de Wi-Fi entre Windows, Mac y los clientes de iOS. Debido a que la bóveda de 1Password está contenida en un solo archivo, gana la comodidad de una bóveda de contraseñas portátiles sin tener que almacenar sus contraseñas en Internet.
Los clientes de 1Password le permiten crear y mantener múltiples bóvedas de contraseña. Múltiples bóvedas pueden utilizarse para compartir algunas de sus contraseñas con otro miembro de la familia o un compañero de trabajo. La compartición segura entre clientes 1Password está soportada, brindándole un método para transmitir un login (o cualquier información confidencial, como números de tarjetas de crédito o de la respuesta a la pregunta de seguridad de un sitio Web) a otro usuario con licencia de 1Password, mediante un canal cifrado. También soporta el envío por correo electrónico de la información de inicio de sesión en texto sin formato, pero esta información es tan segura como su tráfico de correo electrónico.
El costo de utilizar 1Password es marcadamente diferente a los lockers de contraseñas basados en nube. Los usuarios deben adquirir clientes para cada plataforma que se propongan utilizar, costando más al principio que un servicio de suscripción, pero potencialmente ahorra dinero en el largo plazo. 1Password para PC y Mac cuesta 49,99 dólares, mientras que la versión universal de iOS cuesta 17,99 dólares. La aplicación para Android es gratis con la compra de la aplicación, ofreciendo acceso de solo lectura a su bóveda de contraseñas hasta que adquiera la actualización. AgileBits también proporciona opciones para la compra de paquetes de 1Password para PC y Mac o una licencia familiar para cinco usuarios.
Mi mayor preocupación con 1Password tiene que ver con la función de paridad entre las versiones de Mac y PC. Actualmente ambas plataformas ofrecen características similares, en gran parte debido a una actualización masiva para la versión de Windows solo unos días antes de la publicación de este artículo. Anteriormente, las funciones como intercambio seguro o sincronización por Wi-Fi no se encontraban en ninguna. AgileBits ha cumplido con las promesas de traer estas características a todas las plataformas, pero si es principalmente un usuario de PC, el retraso puede ser motivo de preocupación. Independientemente de eso, 1Password es un gestor de contraseñas fuerte. AgileBits tiene fuertes lazos con la comunidad de Apple, esto es particularmente cierto para los usuarios de Mac e iOS.
Dashlane
Dashlane deja de lado la línea entre un servicio en la nube y uno de contraseñas local en un intento de responder a todos los problemas de seguridad. Puede almacenar su base de datos de contraseñas en los servidores de Dashlane y aprovechar la sincronización entre dispositivos, o puede almacenar su bóveda de contraseñas de forma local y renunciar a la sincronización. Usted elige.
Si almacena la base de datos de contraseñas en la nube de Dashlane, la contraseña maestra se queda solo con usted. En lugar de almacenar una copia de la contraseña maestra en sus servidores, Dashlane afirma que usa la contraseña solo para cifrar y descifrar los datos de forma local. Por esta razón, su base de datos de contraseñas en la web es de solo lectura, y los cambios solo se pueden hacer en un cliente.
La autenticación se realiza contra los dispositivos que están registrados con Dashlane a través de un proceso de dos etapas, la incorporación de la contraseña maestra y un código de registro del dispositivo enviado por correo electrónico. Se ofrecen dos niveles de precios a los usuarios Dashlane. Una cuenta gratuita le permite el acceso a sus contraseñas a través de un único dispositivo de su elección. Las cuentas Premium, que cuestan 29,99 dólares al año, le permiten sincronizar sus contraseñas a través de múltiples dispositivos, le dan acceso a la aplicación web de solo lectura, y le da derecho a la atención al cliente de Dashlane.
Con Dashlane, es fundamental que mantenga la contraseña maestra. La empresa señala que no es capaz de realizar la recuperación de la contraseña en caso de pérdida, un efecto secundario de su decisión de no guardar una copia de la contraseña en ninguna forma. La autenticación de dos factores también es soportada a través de la utilización de Google Authenticator. La compatibilidad con la autenticación de dos factores debe ser habilitada a través del cliente de Windows o Mac, y solo se puede utilizar en los clientes conectados a Internet. El proceso de intercambio seguro de Dashlane combina un correo electrónico con un enlace y un código de acceso, los cuales vencen dentro de un corto período de tiempo. Es el mejor método para asegurar el intercambio de contraseñas que he visto.
Debido a que Dashlane intenta ser un gestor híbrido de contraseñas locales y basadas en la nube, no es tan completo como otras ofertas de la nube, y no puede ganarse a los clientes temerosos de los servicios en la nube. Sin embargo, Dashlane ha sido capaz de lograr algo verdaderamente notable a través de una buena dosis de ingenio y atención a las precauciones de seguridad. Antes de que descarte Dashlane por ser un servicio basado en la nube, échele un vistazo a este whitepaper de seguridad de la compañía, que detalla los conceptos y las prácticas de seguridad que está aplicando.
KeePass
KeePass, proyecto de código abierto ya maduro (GNU GPL versión 2), es una solución de administración de contraseñas gratuita para Windows, OS X o Linux, que se ejecuta de forma nativa en Windows y requiere Mono para las otras plataformas. Muchos de los beneficios del software de código abierto son frecuentes en KeePass, incluyendo adaptaciones para otros sistemas operativos de cliente y un robusto ecosistema de plugins. Con la capacidad de extensión que ofrecen los plugins para KeePass, puede cambiar el algoritmo de cifrado, automatizar los inicios de sesión a través de su navegador, integrar un teclado en pantalla, o incluso crear scripts que se puedan ejecutar contra KeePass.
KeePass fue diseñado para guardar una copia local de la bóveda de contraseñas. La copia de seguridad y el soporte para la sincronización a través de múltiples dispositivos de nube se obtienen a través de plugins que trabajan con servicios como Dropbox, Google Docs y Microsoft OneDrive. Un beneficio adicional de una base de datos de contraseñas como KeyPass es la capacidad para que varios usuarios compartan una base de datos o para que un usuario mantenga múltiples bases de datos, compartiendo algunas y manteniendo las demás en privado.
El soporte móvil para KeePass es un poco más lento que algunas de las opciones comerciales. Se puede portar a iOS, Android y Windows Phone pero la gran duda se encuentra en el soporte de sincronización. No todas las versiones móviles admiten sincronización en la nube, y aquellas que lo hacen solo admiten un subconjunto de opciones en la nube. Algunos clientes de KeePass móviles tienen un costo, aunque la mayoría está en el rango de uno a dos dólares.
Si está más preocupado por la seguridad de su bóveda de contraseñas que por los clientes móviles y la sincronización de dispositivos, le complacerá saber que KeePass soporta varios métodos de autenticación por defecto. Los archivos de base de datos de KeePass pueden ser bloqueados por una combinación de contraseña, archivo clave, y la cuenta de usuario de Windows. Con un archivo de clave almacenado en un medio extraíble, como una unidad flash USB, se puede usar autenticación de dos factores para proteger el acceso a sus contraseñas críticas.
La mayor desventaja de KeePass es la complejidad. Obtener toda la funcionalidad avanzada ofrecida por la competencia requerirá un poco de investigación, configuración y mantenimiento.
LastPass
LastPass puede ser el administrador de contraseñas más popular en esta revisión, debido a un amplio conjunto de características, el soporte a una amplia gama de plataformas móviles, y la concesión sencilla de licencias, por no hablar de una comercialización agresiva. A diferencia de KeePass, LastPass está decididamente centrada en la nube, utilizando su propio servicio en la nube para almacenar la información del usuario y sincronizar los datos.
LastPass ofrece niveles de precio gratuitos y Premium para los usuarios. El servicio premium cuesta solo un dólar al mes. Los usuarios de la edición gratuita consiguen muchos de los conceptos básicos que esperaría de un servicio basado en la nube, incluyendo soporte de plugins para múltiples navegadores, acceso desde cualquier lugar, e incluso soporte para autenticación multifactor mediante Google Authenticator en un dispositivo Android o iOS o Microsoft Authenticator en Windows Phone. El soporte para dispositivos móviles requiere una cuenta Premium, pero incluye soporte para iOS, Android, Blackberry y Windows Phone. Incluso algunos navegadores móviles como Dolphin y Firefox Mobile trabajan con LastPass para automatizar el ingreso con nombre de usuario y contraseña. Por último, los usuarios premium tienen acceso al equipo de soporte LastPass, en lugar de ser relegados a los foros de usuarios.
LastPass ofrece una funcionalidad muy útil para compartir cuentas con amigos y familiares. El servicio gratuito le permite compartir de forma selectiva su información de login con otros usuarios de LastPass, permitiéndoles autenticarse a aplicaciones web individuales usando su información, sin tener que darles directamente acceso a su contraseña. Los suscriptores a la cuenta Premium obtienen acceso al Family Folder, una función que le permite especificar exactamente qué información de login desea compartir, hasta con otros cinco usuarios de LastPass.
El soporte de escritorio para LastPass es un tanto confuso. El instalador básico de descargas para Windows ofrece plugins de navegador, una herramienta importante (para migrar desde otra bóveda de contraseñas u hoja de cálculo), y un atajo a la aplicación web de LastPass. Los suscriptores Premium también tienen acceso a LastPass para aplicaciones, lo que proporciona una mayor utilidad al permitir que se conecte automáticamente a las aplicaciones de escritorio, como Skype o un cliente VPN corporativo.
LastPass admite varias formas de autenticación de dos factores. Ya he mencionado que tanto Microsoft Authenticator y Google Authenticator son compatibles con las cuentas gratuitas, proporcionando una integración sencilla con un dispositivo móvil. Las cuentas premium dan soporte a YubiKey, un dispositivo de autenticación de hardware USB y a Sesame, una herramienta de autenticación de software que se ejecuta desde un dispositivo de almacenamiento USB.
Si necesita un administrador sencillo de contraseñas en una aplicación web, no le puede ir mal con una cuenta gratuita de LastPass. Para compartir credenciales de forma más detallada y para soporte móvil, LastPass Premium es la mejor opción por un dólar al mes.
PasswordBox
PasswordBox tiene varias similitudes con Dashlane. Las contraseñas maestras no se almacenan ni transmiten, lo que significa que los datos de la contraseña están asegurados durante todo el proceso, y el restablecimiento de contraseñas es técnicamente imposible. PasswordBox incluso toma medidas adicionales para garantizar la seguridad de su información por otros medios, tales como los centros de datos compatible con PCI y ofreciendo la posibilidad de enviar a la compañía correo electrónico cifrado utilizando la clave PGP publicada en su sitio web.
PasswordBox carece actualmente de algunas de las características disponibles en Dashlane, como la autenticación de dos factores, pero se ha informado que tanto la autenticación de dos factores y la basada en huellas digitales llegarán muy pronto. Puede leer acerca de las medidas de seguridad que PasswordBox utiliza para proteger los datos de contraseña en este whitepaper de la compañía.
PasswordBox no utiliza programas de cliente independientes en Windows y Mac, optando en su lugar por los complementos del navegador (Chrome, Firefox e Internet Explorer), pero las aplicaciones móviles están disponibles tanto para iOS y Android. Otro detalle menor: PasswordBox no ofrece una aplicación web para ver o editar las contraseñas o gestionar su cuenta -todo se maneja a través de la aplicación móvil o el plugin de navegador.
PasswordBox tiene un precio competitivo respecto a los otros administradores de contraseña basados en nube. Las cuentas gratuitas soportan hasta 25 contraseñas almacenadas, incluyendo capacidades completas de sincronización y de compartir. Las cuentas premium cuestan 12 dólares al año y ofrecen almacenamiento ilimitado de contraseñas. Al referir a cinco amigos gana una cuenta Premium de por vida.
PasswordBox permite a los usuarios (gratuitos o premium) compartir la información almacenada de inicio de sesión sin problemas entre diversas cuentas, incluso sin que las contraseñas sean visibles. Los inicios de sesión compartidos persisten incluso a través de los cambios de contraseña, y pueden ser revocados en cualquier momento. Una característica interesante y única de PasswordBox es el Locker Legacy, que le permite designar una o más partes responsables que tienen acceso a la información de su cuenta en caso de su muerte. Las transferencias de cuenta a través de Legacy Locker no se realizan hasta que se proporcione un certificado de defunción validado.
Para una mayor seguridad verdaderamente de vanguardia, PasswordBox se ha asociado con el dispositivo de autenticación nymi que pronto será lanzado. La pulsera nymi mide su ritmo cardiaco para ofrecer autenticación de tres factores a PasswordBox -utilizando la contraseña maestra (algo que sabe), su pulsera nymi (algo que tiene), y los latidos del corazón (algo que es). La nymi puede ser preordenada por 79 dólares, e incluirá una cuenta PasswordBox Premium de por vida.
SplashID Password
SplashID ha estado durante años en el negocio de los administradores de contraseñas. Su producto, SplashID Safe, ha sido muy popular en los dispositivos móviles. Actualmente SplashID Password soporta el acceso a través de las aplicaciones web y cliente de escritorio de Windows, Windows 8, Mac, iOS, Android, Blackberry 10 y Windows Phone.
Mientras que otros administradores de contraseña o son locales o son de nube, SplashID Password soporta las dos opciones. El servicio en la nube SplashID le permite sincronizar su bóveda de contraseña a través de Internet por 1,99 dólares al mes ó 19,99 dólares al año. Para los usuarios que no quieren guardar su bóveda de contraseña en la nube, SplashID está disponible en una versión que admite la sincronización manual a través de Wi-Fi (por un costo por única vez de 29,99 dólares) o una versión que no se sincroniza por 9,99 dólares.
Por un adicional de cinco dólares por usuario al mes, las familias o las empresas pueden aprovechar la edición SplashID Safe Teams, lo que añade un panel de administración que le permite controlar quién tiene acceso a cada registro, ya sea mediante la asignación de un registro a un usuario individual o un grupo de usuarios. Tenga en cuenta que el cliente de Windows 8 actualmente no es soportado en la edición Teams.
SplashID Safe tiene al menos una característica que quisiéramos que todos los servicios basados en la nube implementaran: La posibilidad de configurar un inicio de sesión, ya que solo las versiones locales, le otorgan la capacidad de evitar que sus datos más confidenciales sean almacenados en Internet. La idea es que si tiene cierta información de login u otros datos confidenciales que no confía dejar en la Internet, puede evitar que esta información sea subida a los servidores de SplashID.
SplashID Safe permite a los usuarios compartir información de acceso mediante el envío de un correo electrónico que contiene un enlace para recuperar la información. Los enlaces a información compartida se aseguran con una contraseña -que puede incluirse en el correo electrónico o compartirse por cualquier otro método- que tiene validez por solo 24 horas y expira después del primer uso.
El soporte de dos factores en SplashID solo proporciona una capa adicional de seguridad a la hora de registrar un nuevo dispositivo -no en cada inicio de sesión., que requiere que introduzca un código de seis dígitos enviado por correo electrónico. Aunque un dispositivo registrado y emparejado con una contraseña técnicamente cumple con la definición de autenticación de dos factores (algo que tiene y algo que sabe), no está muy a la par con los servicios que ofrecen soporte para Google Authenticator u otros métodos de dos factores. SplashID Safe ofrece una función de desbloqueo de patrón como alternativa a una contraseña maestra, pero me di cuenta que esta función es algo inconsistente.
Otros contendientes
Siempre es bueno cuando un producto de seguridad cuenta con el respaldo de una marca sinónimo de seguridad para computadoras y el Norton Identity Safe de Symantec ciertamente tiene ese factor a su favor. Identity Safe tiene otra ventaja: es totalmente gratuito. Tiene un número de administradores de contraseña gratuitos para elegir, pero ninguno es un servicio de nube operado por un proveedor de software con un nivel de confianza construido a lo largo de décadas. Norton Identity Safe solía ser parte de una suite de seguridad de Norton, pero ahora es un servicio independiente con un front end web y clientes para Windows, iOS y Android.
RoboForm es un administrador de contraseñas y de llenado de formularios popular, pero se queda corto frente a los principales contendientes en unos pocos casos. A pesar de que ofrece sincronización a través de múltiples plataformas, no hay una aplicación Web, ni autenticación de dos factores, ni la capacidad de compartir. Las licencias individuales de escritorio de RoboForm pueden ser compradas para Mac o PC a un precio de 29,95 dólares, y la versión portable de Windows para almacenamiento USB está disponible por 39,95 dólares. RoboForm también ofrece licenciamiento basado en suscripción por 19,95 dólares al año, el cual proporciona sincronización y acceso a través de aplicaciones móviles en iOS, Android, Windows 8 y Windows Phone.
KeePass no es el único administrador de contraseñas de código abierto. También está Password Safe, actualmente disponible para Windows en versiones instalables y portátiles, y para Linux en una versión beta. Password Safe no es tan rico en características o maduro como KeePass, y me pondría en apuros darle una razón para usarlo en lugar de su hermano mayor. Dicho esto, Password Safe es una alternativa viable, y si todo lo que necesita es un administrador de contraseñas locales, la decisión puede decantar hacia qué programa encuentre más fácil de usar. El resultado puede ser Password Safe.
My1Login tiene tanto una versión gratuita, con soporte a través de anuncios y enlaces de afiliados a los sitios asociados, y una versión Pro, que elimina los anuncios y enlaces de afiliados por dos dólares al mes. My1Login ofrece características que se encuentran comúnmente en los otros contendientes como el uso compartido seguro y generación de contraseñas fuertes. El problema con My1Login es que todo el servicio está basado en la web, con soporte móvil que viene solo a través de la aplicación web móvil. Aunque My1Login es bueno en cuanto a los requisitos mínimos de configuración debido a la falta de aplicaciones de cliente, me parece que este método es más difícil de utilizar en el largo plazo.
Keeper Backup es un administrador de contraseñas completo que soporta diversas plataformas cliente incluyendo Mac, Windows, iOS, Android y Windows Phone. Las características de seguridad ofrecidas por Keeper Backup incluyen autenticación de dos factores y compartir seguro. Keeper Backup ofrece tres niveles de precios, empezando con una edición gratuita que soporta un dispositivo, no se puede compartir, y tiene una cantidad limitada de datos. Keeper Backup ofrece almacenamiento ilimitado, acceso a la aplicación web de Keeper, compartir seguro y acceso al equipo de soporte por 9,99 dólares al año. Backup Unlimited añade soporte para sincronización entre dispositivos por la suma de 29,99 dólares al año.
DirectPass de Trend Micro tiene una opción gratuita que soporta solo cinco contraseñas. El servicio de suscripción de Trend Micro, que cuesta 14,95 dólares al año o 24,95 dólares por dos años, soporta un número ilimitado de contraseñas y dispositivos. Los clientes de escritorio están disponibles tanto para PC como Mac, y los clientes móviles están disponibles para iOS y Android. Si bien no hay nada malo con DirectPass, no alcanza a otros competidores en características o en acabados.
-Tim Ferrill, InfoWorld (EE.UU.)