La mejor manera (en mi opinión) de guardar contraseñas

¡Hola! Realizo este post ya que no veo ninguno similar en el foro, y fue un tema del cual yo investigué por mi cuenta y no encontré mucha información al respecto. Se trata sobre el manejo seguro de contraseñas.

El mejor software (a mi parecer) de guardar contraseñas

Empezemos hablando de la forma que muchos usuarios usan: “Guardar contraseña” del navegador. Los navegadores más utilizados como los basados en Chromium las guardan simplemente en texto plano, por lo que cualquier atacante con acceso a nuestra computadora puede simplemente tomarlas como si de un .txt se tratase (es que en realidad, prácticamente lo es)

Continuemos por una solución algo común: El software privativo. Aplicaciones como LastPass, que son gratuitos pero de pago por muchas funciones, tienen algunos grandes problemas:

  1. Son privativos. ¿Qué sabemos nosotros del uso que le dan a nuestras contraseñas?
  2. Nuestros datos se guardan en la nube. ¿Qué ocurre si la empresa quiebra, si el servidor se cae? ¿Cómo podemos guardar nuestra información? ¿Qué hacemos en equipos no compatibles?
  3. La seguridad es muy mala. LastPass por ejemplo sufrió un hackeo a su base de datos, y se descubrió que las contraseñas se guardaban también en texto plano. ¿Cómo aseguramos la integridad de nuestras cuentas?
  4. Varias aplicaciones. Normalmente uno necesita una aplicación de contraseñas, una aplicación de notas seguras, una aplicación de 2FA, etcétera. Con varios de los problemas de puntos anteriores.

Sin embargo, existe una alternativa (varias en realidad) que es de código abierto y puede solucionar todos los contratiempos del software privativo.

1. KeePass

Para guardar nuestras contraseñas, es muy usado el software KeePass para almacenarnas. Este programa tiene certificación OSI (Open Source Iniviative), por lo que sigue sus normativas. Con él, podemos guardar nuestras contraseñas (y más) de manera segura pues estará cifrada, con un gran nivel de configuración posible.

Permite generar contraseñas seguras utilizando los carácteres que queramos.

Personalmente yo utilizo la versión no oficial KeePassXC, ya que permite de manerá más sencilla (La versión oficial KeePass2 también lo permite, pero se debe añadir la información a mano, ya que no hay una forma facil de hacerlo) configurar la autenticación de dos factores (TOTP). Si, podés reemplazar tu Authy, Google Authenticator o lo que utilizes en la misma aplicación que guarda tus contraseñas.

Hay un pequeño ¿problema? en esta aplicación dependiendo cómo lo mires, y es que tu información se guarda en un archivo. No es texto plano pues está cifrado, el verdadero problema es justamente que no tenés cómo sincronizarlas con tus dispositivos si así lo deseas. Sin embargo, otro programa Open Source y ligero puede resolver este problema. También lo utilizo ya que es muy sencillo.

2. Syncthing

Syncthing es una aplicación Open Source que funciona mediante P2P para enviar información entre dispositivos en una red local (o abierta si se abren puertos, cosa que yo no recomiendo). En ella podemos compartir varias carpetas entre los dispositivos que queramos, incluida una donde guardemos el archivo de KeePass, y se estará continuamente sincronizando. Podemos también compartir otro tipo de archivo entre ellos, cosa a veces útil.

De esta forma, podemos siempre tener respaldo en cada dispositivo que tengamos. Aunque nunca está de más hacer diversas copias de seguridad.

3 Me gusta

La buena y confiable libreta fisica. Nada le gana

5 Me gusta

Buenas, yo uso pass, aunque es para los fans de la terminal :wink:

3 Me gusta

Una buena libreta escondida en un cajón con doble fondo (falta la bolsa de gasolina).

2 Me gusta

Me pasó de perderla… Además no te solucionaría el problema del TOTP. Pero todo tiene sus ventajas y desventajas

Muy buen aporte.
@Chad sacó un video muy bueno sobre las contraseñas y también me explicó algunas cosas que, si bien me he especializado un poco en el sector de la ciberseguridad. las desconocía totalmente. Por decirte que ahora llevo un par de dados en mi mochila todo el tiempo jajajaja

De igual manera, añadí un par de pasos más a la hora de acceder a la base de KeePass. Primero hice una contraseña de XX caracteres para la base de datos, luego la encripté usando AES-256. Para desencriptarla, hice un script en bash oculto y con propiedad del usuario root que me pide otra contraseña para desencriptarla, ahí ya uso una común que puedo recordar, aunque no es tan sencilla.
Modifiqué el parámetro de los terminales el cual no registra el comando ingresado por terminal, si el mismo tiene un espacio al principio, de esa manera, cree un alias para poder utilizarlo de forma más cómoda y al ser propietario root, con permisos sólo de ejecución, me pide la contraseña del usuario y la contraseña que utilicé para encriptarlo para poder obtener la contraseña de la base de datos.
Para terminar, cree una llave de acceso con el mismo KeePass, la cual se encuentra en un pendrive (puede ser cualquier tipo de unidad extraíble), por lo que se necesita también una llave física para poder acceder.

Sé que todo esto suena a un lío tremendo, pero para acceder a la base de datos lo hago en dos segundos y sin problema, lo que sí fue un lío, fue el establecer todas las medidas de antemano.

Aclaración: Esto en parte también fue un experimento para determinar qué tan seguras podían estar mis contraseñas (sobre todo, las que utilizo para el trabajo) y también para entrenar mis buenas practicas como profesional y como usuario.

3 Me gusta

Kira, sos vos?

3 Me gusta

Ahora estoy realizando una nueva configuración del MikroTik de casa. Necesito crear un pool de direcciones IP para conectarme vía VPN al servidor en casa y acceder a los servicios de afuera. Luego voy a tener que revisar todas mis reglas de firewall y configuraciones de acceso (desconfío mucho al tener servicios abiertos fuera de la red local).

1 me gusta

Si se me permite yo voy a recomendar una muy buena opción: https://spectre.app/

Esta es una aplicación que ya tiene su tiempo y fue de las primeras en su estilo, aunque el desarrollador se ha dedicado a actualizarla me parece que el proyecto esta “en proceso”, sin embargo, la aplicación es totalmente funcional y aunque originalmente fue una aplicación en toda la extensión, hoy en dia funciona mas en la nube. El proyecto se puede ver en github.

PROS:
1.No almacena absolutamente nada, por lo que aun si la hackearan no encontrarian nada .
2.Las contraseñas se generan por medio de un algoritmo por lo que solo usas un “usuario” (no hay un login real) y tu contraseña maestra que es lo único a memorizar.
3.Muy rápida, eficiente y fácil de usar, tampoco requiere de sincronización ni correo electronico.

CONTRAS:
1.Debido a que el proyecto esta en desarrollo, no es posible usarla como aplicación todavía, aunque como ya mencioné, es totalmente funcional.
2.Derivado del punto anterior, diría que su mayor contra es que se requiere internet para acceder a ella.
3.No es muy recomendada para un uso mas tradicional si lo que buscas es poner tus datos en una aplicación.

Conclusión:
Definitivamente vale la pena darle una oportunidad aunque yo recomendaría usarla desde un navegador con privacidad con un buen motor de búsqueda si lo que se busca es mayor privacidad. Un ejemplo podría ser usar Brave browser con Startpage o Mullvad como otra posible opción.

3 Me gusta

Yo estoy usando Bitwarden, no se que tan buena será pero la uso hace años sin ningún problema.

1 me gusta