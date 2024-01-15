Los administradores de contraseñas se han vuelto casi imprescindibles para manejar el método de autenticación más usado en aplicaciones y servicios de Internet. A la espera de que la industria alumbre una nueva era «sin contraseñas», el uso de software especializado que haga el trabajo por nosotros es altamente recomendable.

Como uno de los resúmenes en ciberseguridad del pasado año decíamos que ‘Las contraseñas más usadas en 2023 eran perfectas… para los ciberdelincuentes’. Y es que las contraseñas son un método inseguro si no se manejan correctamente, como vienen confirmando este tipo de listados. Y a ello hay que unir las que -aún siendo seguras- quedan expuestas en la violación masiva de servicios de Internet.

Además de intrínsicamente inseguras, las contraseñas son odiosas en términos de usabilidad, frustrantes a la hora de recordar centenares de ellas para manejar la inmensa cantidad de páginas web, servicios, aplicaciones y equipos donde tenemos que autentificarnos. La cuestión es que siguen siendo imprescindibles hasta que otros métodos (como las claves de acceso o la identificación biométrica) nos libren de ellas.

Hasta entonces los administradores de contraseñas son un buen apoyo, ya que automatizan su proceso de generación y gestión reduciendo al máximo los errores humanos, ya que las contraseñas creadas son altamente seguras cumpliendo las normas estándar en tamaño, complejidad y diversidad.

También ayudan contra los ataques de phishing al identificar de forma inmediata los caracteres procedentes de otros alfabetos. Suelen funcionar sobre múltiples plataformas y pueden funcionar en modo off-line y on-line. Por supuesto, ahorran tiempo en la autenticación y quizá lo más importante: el usuario solo necesita recordar una contraseña maestra y el gestor se encargará de todo lo demás.

Administradores de contraseñas gratuitos y de código abierto

Las opciones más conocidas en gestores de contraseñas son aplicaciones comerciales que además de cobrar por sus servicios requieren que deposites en ellos una confianza como para entregarle las llaves de tu casa digital. La gran ventaja de los administradores de código abierto es la posibilidad de auditar el software y especialmente mantener las credenciales bajo tu control, instalando y autohospedando el código necesario en tu propia máquina. Te recordamos los más interesantes que puedes usar, todos ellos gratuitos.

KeePass

Es el abuelo de los administradores de contraseñas de código abierto y existe desde los días de Windows XP. KeePass almacena las contraseñas en una base de datos cifrada a la que puedes acceder mediante una contraseña o clave digital. Puede importar y exportar contraseñas en una amplia variedad de formatos.

A lo largo de los años ha surgido una mayor cantidad de complementos y variaciones, como KeeWeb y KeePassX. Aunque es una aplicación para Windows, KeePassX es una versión multiplataforma destinada a proporcionar una versión más amigable con Linux e incluso los entusiastas pueden ejecutar la aplicación en móviles como el Purism Librem 5. En cuanto a KeeWeb, se trata de una aplicación web que puede ejecutarse en cualquier navegador.

Bitwarden

Especialmente destinada a usuarios de LastPass que buscan una alternativa más transparente, funciona como un servicio web al que puedes acceder desde cualquier navegador de escritorio, mientras que para Android e iOS cuenta con sus respectivas apps móviles. Bitwarden puede compartir contraseñas y tiene acceso seguro con autenticación multifactor y registros de auditoría.

Destinado tanto para usuarios como para empresas, ofrece una API para que éstas puedan integrar sus herramientas dentro de la organización. Por ello puede ejecutarse en servidores, en navegadores, en PCs de escritorio o en móviles. El código fuente está disponible para todas estas versiones bajo la licencia GNU (GPL 3.0). Algo que nos gustará a todos es que las contraseñas se guardan en los servidores de la compañía.

Passbolt

Un administrador de contraseñas autohospedado diseñado específicamente para equipos de trabajo. Se integra con herramientas de colaboración en línea como navegadores, correo electrónico o clientes de chat. Puedes autohospedar Passbolt en tus propios servidores para mantener un control completo de los datos, aunque equipos sin experiencia o infraestructura pueden usar una versión en nube que los aloja en los servidores de la compañía.

Psono

Psono es otra opción para los equipos que buscan software de gestión de contraseñas empresariales de código abierto. Esta es una solución autohospedada que ofrece un atractivo cliente basado en web escrito en Python, con código fuente disponible bajo la licencia Apache 2.0.

Además de compartir contraseñas, también puede administrar archivos o carpetas. Las extensiones del navegador están disponibles para Mozilla Firefox y Google Chrome. Psono es gratuito para equipos pequeños y las empresas más grandes deberán pagar en función de la cantidad de usuarios.

Teampass

Un administrador orientado a equipos con un modo base fuera de línea que nos gusta, donde exporta sus elementos a un archivo cifrado que puede usarse en ubicaciones sin conexión a Internet. Teampass no es la aplicación más bonita del mundo, pero el diseño es tremendamente y se puede definir rápidamente roles, privilegios de usuario y acceso a carpetas. Está licenciado bajo la GPL 3.0.

¿Y si no quiero usar administradores de contraseñas?

En este caso tendrás que administrarlas tú mismo, guardando las normas básicas para la creación y uso de contraseñas seguras, que se repiten en cualquier manual de ciberseguridad:

No usar palabras típicas o números comunes.

Combinar mayúsculas y minúsculas.

Combinar números con letras.

Añadir caracteres especiales.

Alargar el término con el mayor número de dígitos.

No utilizar la misma contraseña en todos los sitios.

Especialmente, usar contraseñas específicas para banca y sitios de compra on-line.

Y en su caso variar también el nombre de usuario.

Mantener la contraseña a salvo de cualquier tercero.

No revelar nunca la contraseña en supuestas peticiones oficiales desde correos electrónicos o mensajes de servicios de mensajería (suelen ser ataques de phishing).

Reforzar el uso de contraseñas con otros sistemas soportados, especialmente la doble autenticación (2FA) o sistemas biométricos, sensores de huellas o reconocimiento facial.

Por último, destacar otra buena alternativa, los gestores de contraseñas que todos los navegadores web incluyen y que tienen el mismo objetivo que las aplicaciones nativas: guardar de forma segura tus contraseñas y ayudar a iniciar sesiones más rápido sin tener que recordarlas ni reutilizarlas.