Puede empezar sin arriesgar contraseñas de gran valor
Si los riesgos mencionados le hacen reacio a utilizar un gestor de contraseñas para todas sus cuentas, considere la posibilidad de empezar con aquellas contraseñas que menos le preocupen si se pierden o se ponen en peligro.
Por ejemplo, probablemente no le preocupe una contraseña utilizada para crear una suscripción de prueba de siete días a un programa de software, artículos de noticias o investigaciones. Si compra en muchos sitios web diferentes, es posible que tenga docenas de cuentas que protegen copias de la misma información: su número de tarjeta de crédito, su número de teléfono y su dirección. Ninguno de estos datos es muy secreto, su responsabilidad es limitada si le roban el número de su tarjeta de crédito, y es fácil restablecer la contraseña de la mayoría de los sitios de compras recibiendo un correo electrónico de restablecimiento de contraseña.
Al comenzar con sus contraseñas de menor valor, puede familiarizarse con el funcionamiento de los gestores de contraseñas mientras las consecuencias de los errores son bajas. A medida que adquiera experiencia, también comprenderá mejor los riesgos y las ventajas. Es posible que cuando ya no tenga que crear, recordar y escribir esas contraseñas de menor valor, pueda dedicar parte de ese esfuerzo ahorrado a proteger las contraseñas de las cuentas de mayor valor.
También puede utilizar su gestor de contraseñas para generar contraseñas aleatorias que no debería guardar. Probablemente querrá anotarlas. Deberías ser capaz de aprender contraseñas aleatorias para unas cuantas cuentas con el tiempo simplemente usándolas.
La mayoría de los usuarios pueden empezar sin comprar o descargar un nuevo software. Si usas principalmente Safari o Chrome, ambos navegadores tienen gestores de contraseñas que generarán contraseñas aleatorias para ti. No voy a cubrir Brave, Edge o Firefox porque, en el momento de escribir este artículo, no generan contraseñas.
Aunque debería considerar gestores de contraseñas independientes, especialmente si almacena contraseñas para sus cuentas más valiosas, puede importar fácilmente en ellos las contraseñas que guardó mientras probaba los gestores de contraseñas incorporados en Chrome o Safari.
Una razón para ir más allá de Chrome es que no identificará qué contraseñas ha reutilizado entre sitios . La auditoría de las contraseñas reutilizadas es esencial para obtener los beneficios de seguridad que puede ofrecer un gestor de contraseñas. La mayoría de los gestores de contraseñas independientes ofrecen una función de auditoría, y el gestor de contraseñas integrado en Safari (Keychain de Apple) también la ha añadido recientemente.
Incluso si intentas no almacenar contraseñas importantes en tu gestor de contraseñas, merece la pena revisar periódicamente qué contraseñas has guardado y cuáles se reutilizan: algunas cuentas que parecían no tener valor cuando las creaste pueden resultar más valiosas con el tiempo. Algunos gestores de contraseñas también te indicarán si algunas de tus contraseñas son obviamente débiles (por ejemplo, si aparecen en listas de contraseñas comunes). No tiene que esperar a tener suficiente tiempo para cambiarlas todas a la vez; priorice y empiece.
Por desgracia, los gestores de contraseñas que comprueban si ha reutilizado una contraseña sólo lo harán si usted les permite almacenar esa contraseña. Si sólo almacena las contraseñas de las cuentas de bajo valor, el gestor de contraseñas sólo podrá decirle cuáles de sus contraseñas de bajo valor han sido reutilizadas. No conozco ningún gestor de contraseñas que te avise si escribes una contraseña que has guardado para otro sitio en la página web actual. No hay ninguna razón técnica por la que la mayoría de los gestores de contraseñas no puedan alertarte de la reutilización de contraseñas, así que espero que alguno lo haga pronto.
Aprende una contraseña maestra fuerte
La mayoría de los gestores de contraseñas protegen tus contraseñas con otra contraseña -comúnmente llamada contraseña maestra. Los gestores de contraseñas independientes te pedirán que crees una contraseña maestra cuando empieces a utilizarlos. Si utilizas el navegador Chrome de Google para almacenar tus contraseñas y compartirlas entre dispositivos, éstas serán almacenadas por Google y estarán protegidas por la contraseña de tu cuenta de Google (junto con cualquier otro factor que puedas utilizar). El llavero de iCloud de Apple se basa principalmente en las contraseñas de tu dispositivo y en las funciones de desbloqueo para proteger sus datos de forma regular, pero tiene una contraseña maestra de reserva llamada Código de seguridad de iCloud .
No utilices una contraseña maestra que hayas usado para cualquier otra cosa. Esto vale la pena repetirlo porque probablemente hayas aprendido a advertir contra la reutilización de contraseñas al haber recibido este consejo para cuentas que no te interesan. A diferencia de esas contraseñas sin valor, la contraseña maestra que protege todas tus otras contraseñas debe ser realmente única.
Si utilizas el gestor de contraseñas de Chrome sincronizado a través de tu cuenta de Google, y no estás 100% seguro de que tu cuenta de Google tiene una contraseña fuerte y única, crea una nueva (después de asegurarte de que tienes un plan de recuperación para si olvidas esa nueva contraseña, como se comenta más adelante). Este es también un buen momento para reevaluar si deberías tener una autenticación de dos factores para esa cuenta. Del mismo modo, si utiliza el llavero de iCloud de Apple, no reutilice una contraseña como su código de seguridad de iCloud.
Su contraseña maestra debe ser generada aleatoriamente y lo suficientemente larga como para proteger su contraseña incluso si los atacantes se hacen con la lista de contraseñas cifradas de un sitio web e intentan romper ese cifrado. Para asegurarte de que tu contraseña es realmente aleatoria, deja que tu gestor de contraseñas la genere (o utiliza dados y una lista de palabras). Mucha gente cree falsamente que puede generar aleatoriedad invocando letras en su mente o golpeando el teclado, pero muchos de los procesos mentales que consideramos aleatorios en realidad no lo son. Un buen gestor de contraseñas utilizará un generador criptográfico de números aleatorios para asegurarse de que su contraseña es lo suficientemente aleatoria (y los dados son una fuente de aleatoriedad física de eficacia probada que puede comprobar simplemente lanzándolos).
Su contraseña maestra debe tener al menos 12 caracteres en minúscula o cinco palabras. ¿Por qué usar caracteres en minúscula o palabras cuando probablemente le han dicho (y obligado) a usar caracteres en mayúscula y símbolos en el pasado? Si tienes que introducir la contraseña en un dispositivo con teclado en pantalla (como el de tu teléfono), cada letra o símbolo en mayúscula puede requerir una pulsación extra. Puedes conseguir la misma seguridad, y ahorrarte una gran frustración, haciendo que tu contraseña en minúsculas sea sólo un 30% más larga que si fuera mixta. En otras palabras, una contraseña generada aleatoriamente de 13 caracteres en minúsculas, que puede ser introducida con 13 pulsaciones, es tan segura como una contraseña mixta de 10 caracteres, que puede requerir muchas más.
No espere aprender su nueva contraseña maestra inmediatamente – muy pocas personas pueden aprender una larga cadena generada aleatoriamente en una sola sesión. Más bien, la mejor manera de aprender su contraseña maestra es escribirla y usarla a menudo. Configura tu gestor de contraseñas para que te obligue a reintroducirla al menos una vez al día hasta que la conozcas, y deshazte de tu copia en papel sólo cuando la hayas introducido de memoria de forma fiable durante muchos días. Aunque la capacidad de las personas para aprender contraseñas aleatorias no está bien estudiada, las investigaciones que mis colaboradores y yo hemos realizado sugieren que se necesitan entre 10 y 30 usos para recordarlas. (Esa investigación estudia las técnicas que los gestores de contraseñas podrían utilizar para ayudarte a aprender contraseñas maestras fuertes, pero ninguna ofrece actualmente ninguna ayuda.)
Por último, no des por sentado que no perderás tu copia en papel de la contraseña maestra antes de haberla memorizado, o que no la olvidarás más tarde.
Factor de recuperación en la elección de un gestor de contraseñas
Dado que una de las mayores diferencias entre los gestores de contraseñas es el proceso de recuperación de sus datos si pierde su contraseña maestra, no debería elegir un gestor de contraseñas sin investigar su proceso de recuperación de emergencia. Después de hacer su elección, lo primero que debe hacer, junto con la elección de su contraseña maestra, es configurar este proceso de recuperación. Es posible que lo necesite muy pronto, ya que lo más probable es que olvide una contraseña maestra poco después de crearla, y antes de que la haya aprendido a través del uso repetido.
Aunque las consecuencias de perder sus contraseñas pueden parecer pequeñas cuando está configurando las cosas, y no tiene ninguna contraseña guardada que perder todavía, puede llegar a depender rápidamente de su gestor de contraseñas. Es posible que asuma erróneamente que, una vez que haya aprendido su contraseña, nunca la olvidará. Aunque lo más habitual es olvidar las contraseñas poco después de crearlas, también es común olvidarlas después de un periodo sin usarlas. Por ejemplo, puede olvidarse después de las próximas vacaciones que ha planeado o, como aprendió un amigo hace unos años, después de una estancia imprevista en el hospital.
¿Por qué cada producto gestiona la recuperación de forma diferente? En parte, porque es un problema realmente difícil incluso para las empresas que se encuentran entre las más grandes del mundo, mejor financiadas y más conocidas por su gran usabilidad. Pensemos en iCloud de Apple, que almacena el llavero de iCloud utilizado por Safari. Una forma de recuperar una cuenta de iCloud es a través del servicio de atención al cliente, pero los piratas informáticos han engañado a los agentes del servicio de atención al cliente para comprometer las cuentas de los usuarios, incluso de un periodista de alto perfil en 2012. Por ello, Apple también ofreció a los usuarios la opción de almacenar una contraseña generada aleatoriamente para utilizarla en la recuperación (Apple la denominó clave de recuperación) y configurar sus cuentas para que el servicio de atención al cliente no pudiera cambiar su contraseña. Pocos usuarios adoptaron las claves de recuperación, y algunos de los que lo hicieron se disgustaron cuando descubrieron que, de hecho, el servicio de atención al cliente ya no podía ayudarles cuando lo necesitaban. Apple dejó de ofrecer claves de recuperación en 2015 . Actualmente, Apple permite restablecer las contraseñas después de verificar a los clientes a través de su número de teléfono, a pesar de que este proceso es bastante vulnerable a los ataques.
Por si fuera poco, los requisitos que determinan si el soporte al cliente restablecerá la contraseña de un usuario u otras credenciales no están disponibles para el público. De las empresas que permiten al servicio de atención al cliente restablecer las credenciales de las cuentas de los usuarios, no conozco ninguna que comparta las reglas que utilizan para tomar decisiones sobre lo que se necesita para volver a entrar. Sin esas reglas, los usuarios no pueden saber en qué condiciones podrán recuperar su cuenta y en qué condiciones un atacante puede hacerse con ella. Merece la pena repetirlo: estas empresas esperan que les confíes tu cuenta, pero no te dicen las reglas que dictan si podrás seguir accediendo a ella o si un atacante puede robártela.
En lugar de basarse en reglas opacas de atención al cliente, muchos gestores de contraseñas utilizan soluciones que son menos vulnerables a los ataques, pero más vulnerables a las pérdidas accidentales.
Los gestores de contraseñas de código abierto KeePass y PasswordSafe (el gestor de contraseñas original) le dejan a usted la tarea de encontrar una forma de almacenar y hacer una copia de seguridad del archivo que contiene sus contraseñas, junto con la clave utilizada para proteger (encriptar) los datos de esos archivos. Por lo tanto, si quieres compartir tus contraseñas entre máquinas, tendrás que crear una cuenta de almacenamiento de archivos en línea (por ejemplo, DropBox). Tu copia de seguridad podría ser una copia escrita de la contraseña maestra y de la contraseña de la cuenta para compartir archivos. Si utiliza la autenticación de dos factores en esa cuenta, también necesitará una copia de seguridad.
LastPass, Keeper , y Dashlane le permiten preautorizar a los contactos de emergencia para que accedan a su cuenta… siempre que también tengan una cuenta con el mismo gestor de contraseñas. Este requisito existe porque estos productos utilizan la criptografía para garantizar que tus amigos, pero no las empresas, puedan acceder a estos datos. Esto ayuda a protegerte si su servicio es hackeado o si un atacante logra hacerse pasar por ti ante su personal de atención al cliente. La desventaja es que un atacante que comprometa la cuenta de tu contacto puede entonces ser capaz de comprometer la tuya. Puedes reducir la posibilidad de que esto ocurra poniendo un tiempo de espera antes de que tu información pueda ser revelada a tu contacto de emergencia. Si conoce a personas que utilizan uno de estos productos y en las que confiaría para ser su contacto de emergencia, ese producto puede ser mejor para usted que los que no utilizan sus contactos.
Con 1Password, su secreto maestro se compone en realidad de dos piezas: una clave secreta, que el software almacena en todos los dispositivos en los que ha puesto sus contraseñas, y su contraseña maestra. Para utilizar un nuevo dispositivo con 1Password, tienes que transferir tu clave secreta a él. Puedes hacer una copia de seguridad de tu clave secreta generando un «kit de emergencia», un PDF que puedes imprimir y que contiene tu secreto y espacio para anotar tu contraseña maestra. (Esperemos que tu letra sea mejor que la mía.) Al igual que LastPass y Dashlane, 1Password ha diseñado su servicio en línea para no guardar estos secretos y para que el servicio de atención al cliente no pueda ayudar a un atacante -o a ti- a acceder a tus datos sin ellos. A diferencia de LastPass y Dashlane, su proceso de recuperación no requiere ninguna interacción con el servicio, ni con nadie. Esto hace que 1Password sea posiblemente la opción más privada, pero hay un coste para que cada cliente tenga este nivel de privacidad: 1Password no puede saber qué fracción de clientes han impreso kits de recuperación, cuántos los han utilizado con éxito, ni cuántos han perdido sus contraseñas para siempre. Los únicos datos que obtienen para ayudarles a mejorar la fiabilidad de su proceso de recuperación provienen de lo que los usuarios ofrecen voluntariamente si se ponen en contacto con el servicio de asistencia.
Si utilizas Chrome con una cuenta de Google y la autenticación de dos factores, puedes obtener diez contraseñas de recuperación de un solo uso (números de ocho dígitos a los que llaman códigos de respaldo) que pueden sustituir a uno de tus dos factores . Google recomienda «imprimirlos o descargarlos». Google también almacena estos códigos, por lo que, a diferencia de las contraseñas generadas aleatoriamente y bien gestionadas, tus códigos podrían verse comprometidos si Google sufre una brecha.
Si utilizas un secreto de recuperación impreso con Chrome o 1Password, o si creas el tuyo propio para KeePass o PasswordSafe, tendrás que decidir dónde guardar tus secretos de recuperación después de imprimirlos. Una caja de seguridad o una caja fuerte doméstica pueden ser adecuadas, especialmente si ya tienes una o la necesitas de todos modos. No hay ninguna razón técnica por la que no puedas compartir las impresiones de tus secretos de recuperación con tus amigos. Si lo hicieras, es posible que no quieras que la hoja diga para quién es, ya que excluir ese hecho podría proporcionar una pequeña defensa si te la roban. Otra opción es dar a dos contactos de confianza la mitad de un código, o a tres contactos de confianza dos tercios de cada código (para que dos contactos cualesquiera puedan ayudarte).
Si no te gusta ninguna de las opciones anteriores, podrías imprimir todas tus contraseñas periódicamente o escribirlas. Si imprimes, dependerás de que tu impresora sea segura y de que tengas una conexión de red segura a esa impresora.
Tu contraseña principal de correo electrónico también requiere una consideración especial a la hora de planificar tu estrategia de recuperación, ya que muchas otras contraseñas se pueden restablecer por correo electrónico. Esta puede ser la contraseña más importante para cambiar a una contraseña generada aleatoriamente, pero también es la que más necesitarás si pierdes el acceso a tu gestor de contraseñas. Si vas a cambiar esa contraseña, deberías considerar anotarla o hacer una copia de seguridad también.