¿Por qué no elegir Keychain en lugar de 1Password o LastPass?

Recomiendo regularmente que la gente utilice algún tipo de sistema de gestión de contraseñas que les permita establecer contraseñas difíciles de descifrar (ya sean cortas y complicadas o largas y fáciles de recordar) de forma única para cada sitio y servicio, y que también les permita rellenar esas contraseñas en todos los sitios que necesiten.

Lowell Nelson me envió un correo electrónico hace unas semanas en el que me preguntaba por qué me gustaban tanto las opciones de terceros, como 1Password, Dashlane y LastPass, cuando Apple tiene una solución sólida y multiplataforma propia que incluye la sincronización: Keychain. (Keychain describe más específicamente la parte de OS X, mientras que iCloud Keychain permite la sincronización entre dispositivos y el uso con iOS.)

Es una pregunta estupenda, y prefiero no decirle a la gente que compre un servicio de pago (ya sea una cuota única o una suscripción) a menos que la utilidad de esa utilidad sea tan alta que compense el coste.

Veamos los detalles. Como he probado y estudiado ampliamente 1Password y LastPass, los uso como base de comparación. Usted debe ser capaz de encontrar respuestas a cada uno de los puntos a continuación en las preguntas frecuentes o descripciones de las características de cualquier alternativa suficientemente robusta.

Aunque el Llavero de Apple, 1Password y LastPass pueden almacenar otros tipos de datos de forma segura, las contraseñas son el elemento más fiable que se puede utilizar en todo un ecosistema y en todas las plataformas.

¿Cómo de seguros están tus datos?

Una «caja fuerte» de contraseñas necesita mantener las contraseñas, bueno, seguras, en tres áreas principales:

• Datos en reposo en un dispositivo. Las contraseñas deben estar seguras en un dispositivo para que nadie más que el propietario pueda acceder a ellas.

• Datos almacenados en servidores. Debe ser difícil o imposible para un atacante acceder y descifrar las contraseñas almacenadas en la nube.

• Datos en tránsito mientras se sincronizan o hacia y desde el acceso basado en la web. Un cifrado fuerte debería impedir que un fisgón descifre las nuevas entradas, recuperaciones y actualizaciones, así como las sesiones interactivas.

Keychain y iCloud Keychain son bastante robustos en estos aspectos. OS X e iOS tienen que estar desbloqueados para rellenar las entradas del Llavero, y la app Acceso al Llavero de OS X requiere una contraseña administrativa o de usuario para desbloquear y ver las contraseñas. Con Touch ID o un código de acceso en iOS y FileVault 2 en OS X, las contraseñas son muy seguras también cuando estás apagado (OS X) o bloqueado (iOS). iCloud Keychain utiliza un cifrado basado en el dispositivo que impide que Apple pueda (o se vea obligado a) descifrar tus contraseñas.

1Password y LastPass utilizan un método de cifrado de frases de contraseña «caro» para sus bases de datos almacenadas localmente, de modo que incluso si alguien se hace con ellas, un cracker sólo puede intentar forzar la contraseña a un ritmo muy, muy lento. LastPass probó esto involuntariamente después de un hackeo: no surgieron informes de que ninguna bóveda de contraseñas fuera desbloqueada.

LastPass sincroniza todo a través de sus servidores, pero encripta con claves conocidas sólo por los usuarios. 1Password sincroniza a través de Dropbox y otros servicios basados en la nube (confiando en sus métodos de seguridad y encriptación en reposo), así como a través de sus suscripciones adicionales para compartir con la familia o los miembros del equipo, pero bloquea todo con claves propiedad del usuario.

LastPass y las opciones de equipo o familia para 1Password también le dan acceso a través de un navegador web, y utilizan el descifrado basado en el navegador en lugar de software de cliente nativo; las empresas no poseen sus claves. Sin embargo, confiar en el navegador tiene su punto débil. El malware y otros exploits basados en el navegador hacen que éste sea mucho más vulnerable en relación con el nivel de seguridad disponible a través de las aplicaciones nativas y la sincronización en la nube. Los fallos de Safari en iOS y OS X se descubren con regularidad (aunque muy pocos se ven en la naturaleza), y usted podría estar tentado de acceder a sus contraseñas desde una máquina desconocida que ejecuta otro sistema operativo.

¿Qué tan fácil es el sistema de usar?

Un sistema de contraseñas tiene que ser fácilmente invocable. Si no lo es, no lo usará de forma consistente, porque esa es la naturaleza humana. Peor aún, si lo instalas para que otra persona mejore su seguridad, es probable que no lo utilice en absoluto si no es un recordatorio constante y magníficamente sencillo.

Keychain es utilizado en gran medida por Apple como una forma de recordar las contraseñas para campos específicos en las páginas web, y para almacenar las contraseñas para una recuperación automática y eludirlas en su software (como AirPort Admin en OS) o con software de terceros que utiliza los ganchos de Keychain de Apple. En Safari móvil y de escritorio, Keychain funciona muy bien, desde la sugerencia de una contraseña fuerte, hasta el almacenamiento de la misma, pasando por la posibilidad de recuperarla o utilizar otras alternativas almacenadas.

Pero mientras que es ampliamente útil en OS X, ya que más desarrolladores lo han adoptado y hay Acceso al Llavero para búsquedas y recuperaciones directas, en iOS tienes que profundizar en Ajustes > Safari > Contraseñas para ver, editar o (deslizando hasta el fondo) añadir contraseñas. Además, no se puede invocar el llavero en los diálogos de inicio de sesión que no son de la web de Apple, lo que lo hace inútil para propósitos comunes. Y aunque se puede inventar una contraseña cuando se necesita, es incómodo llegar a ella y sólo se puede recuperar fácilmente en una página web correspondiente.

La adición de extensiones por parte de Apple a partir de iOS 8 permite invocar 1Password, LastPass y otras herramientas en Safari y otras aplicaciones. Muchas de las aplicaciones de iOS que utilizo están vinculadas directamente a la API de 1Password que permite la invocación directa. En el peor de los casos, puedo cambiar a LastPass o 1Password para encontrar la contraseña, copiarla y luego volver a la app y pegarla.

También puedes usar la app para crear contraseñas fuertes que se conservan al crearlas, se sincronizan automáticamente y se copian en el portapapeles para usarlas en otras apps.

1Password

La situación multiplataforma es mucho peor. Apple no hace que iCloud Keychain esté disponible fuera de sus propios sistemas operativos. 1Password y LastPass (y otras aplicaciones) están disponibles en una amplia variedad de plataformas principales, además de tener acceso basado en el navegador (por defecto con LastPass y como una opción de suscripción con 1Password).

El Llavero de iCloud no tiene ningún mecanismo para compartir con otras personas -parte de la narrativa en curso que he estado discutiendo durante años sobre cómo Apple no diseña sus sistemas desde el principio para reconocer que las personas trabajan en grupos y como familias. (No empecemos con los problemas de Family Sharing.)

La mayoría de los sistemas de contraseñas tienen algún mecanismo para compartir secretos con otras personas que tienen cuentas. 1Password permite la transmisión directa sin suscripción o, más recientemente, el acceso compartido selectivamente entre miembros de grupos empresariales y familiares. LastPass, debido a que los elementos se almacenan de forma centralizada, ha ofrecido esto durante años.

Elegir entre ellas

Si utilizas casi exclusivamente contraseñas en sitios web, sólo usas iOS y OS X, y no te importa memorizar y teclear las contraseñas que exige Apple para sus servicios, Keychain con iCloud Keychain se ajusta a la perfección. Si no se dan todas esas condiciones, merece la pena invertir en un sistema de gestión de contraseñas.

Actualización: Una versión anterior de esta noticia decía que iOS no ofrecía acceso a las contraseñas almacenadas ni una forma de crear otras nuevas. Sí lo hace; sólo está enterrado en Ajustes.