Categories: CortafuegosSeguridad

Gestores de contraseñas

La proliferación de contraseñas, debido al gran número de sistemas y entornos que requieren de autenticación del usuario que accede, se ha convertido en un auténtico problema. Un problema por la imposibilidad material de recordar todas y cada una de las contraseñas, especialmente en los momentos de crisis que es cuando suele ser necesario acceder a un dispositivo al que habitualmente no conectamos.

Los administradores de sistemas suelen recurrir a diversos trucos para sortear este problema. El más clásico consiste en la utilización de una contraseña común en todos los dispositivos. Esto no siempre es viable, debido a la existencia de políticas que obligan a la rotación o a la necesidad de restringir el acceso a determinados dispositivos.

Otro sistema habitual consiste en mantener una hoja de cálculo o una base de datos con las contraseñas. De esta forma, las contraseñas se encuentran centralizadas… y, porque no decirlo, desprotegidas. La mayoría de hojas de cálculo almacenan los datos de una forma poco segura y cualquier persona con acceso al archivo puede, con poco o nulo esfuerzo, acceder a su contenido.

El tercer método es todo un clásico: el típico post-it. Evidentemente este no puede considerarse como seguro, ya que todo el mundo puede leerlo… y además es muy fácil de perder.

En este boletín mostramos un método alternativo, más eficiente y que puede considerarse más seguro para mantener catalogadas las contraseñas que cualquier administrador de sistemas debe utilizar para el desarrollo de su actividad profesional: la utilización de gestores de contraseñas.

No voy a tratar sobre los sistemas de Single Sign-On ni de sincronización de contraseñas, ya que estos generalmente se aplican dentro de un ámbito corporativo para las aplicaciones y entornos con un número importante de usuarios. Difícilmente se aplican, por ejemplo, en servidores o dispositivos de red. Esto sin olvidar el caso de aquellos que desarrollan su actividad en múltiples redes de diferentes corporaciones.

Gestores de contraseñas

Los gestores de contraseñas son aplicaciones especializadas en almacenar las credenciales (identificador de usuario y contraseña) dentro de una base de datos. Una característica no estrictamente imprescindible, aunque si muy deseable, es que la información almacenada se encuentre cifrada con un algoritmo de cifrado fuerte, debido a las características especiales de los datos contenidos.

Otra característica habitual de estos gestores es que llevan incorporados un generador de contraseñas. Librados de la necesidad de recordar una contraseña, podemos utilizar contraseñas especialmente complejas y, por tanto, más seguras.

El gestor de contraseñas no ha de ser necesariamente una aplicación especializada. Las últimas versiones de los navegadores web más populares llevan integrados sus propios gestores de contraseñas, aunque su ámbito de utilización se encuentra reducido a la autenticación de aplicaciones y recursos que se acceden a través de la web.

Es preciso indicar, no obstante, que estos gestores integrados dentro de los navegadores web almacenan las contraseñas de una forma poco segura. En la actualidad, muchas empresas desaconsejan a los usuarios la utilización de los mismos, debido justamente a la facilidad con que esta información sensible puede ser sustraída.

Algunos ejemplos

A continuación indicamos las características principales de algunos gestores de contraseñas. No pretende ser una lista exhaustiva sino simplemente mostrar algunos productos que realizan esta función.

Password Safe

El primer gestor de contraseñas que comentamos está disponible para los sistemas Windows (incluyendo Windows CE) y es una aplicación de código abierto. Inicialmente desarrollada por Bruce Schneier, almacena las contraseñas dentro de una base de datos cifrada con el algoritmo Blowfish. Se distribuye con el código fuente completo y su mecanismo de cifrado ha sido cuidadosamente verificado por la empresa Counterpane.

SplashID

Esta es una aplicación comercial, especialmente dirigida a los usuarios de asistentes personales (da soporte a los sistemas operativos PalmOS y PocketPC), aunque también dispone de una versión para Windows, que se sincroniza con los datos del asistente personal. También cifra la información con el algoritmo Blowfish.

Figaro’s Password Manager

Es otra aplicación de código abierto, para el entorno GNOME. Como las anteriores, la base de datos se encuentra cifrada con el algoritmo Blowfish. Se integra con el navegador web, actuando como un gestor de favoritos y rellenando automáticamente los campos de autenticación del usuario.

PasswordVault

Aplicación comercial (aunque está disponible una versión gratuita) con versiones para Windows y Mac, que también puede almacenar las contraseñas dentro de una base de datos especializada cifrada con el algoritmo Blowfish.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago