¡Hola! Realizo este post ya que no veo ninguno similar en el foro, y fue un tema del cual yo investigué por mi cuenta y no encontré mucha información al respecto. Se trata sobre el manejo seguro de contraseñas.
El mejor software (a mi parecer) de guardar contraseñas
Empezemos hablando de la forma que muchos usuarios usan: “Guardar contraseña” del navegador. Los navegadores más utilizados como los basados en Chromium las guardan simplemente en texto plano, por lo que cualquier atacante con acceso a nuestra computadora puede simplemente tomarlas como si de un .txt se tratase (es que en realidad, prácticamente lo es)
Continuemos por una solución algo común: El software privativo. Aplicaciones como LastPass, que son gratuitos pero de pago por muchas funciones, tienen algunos grandes problemas:
- Son privativos. ¿Qué sabemos nosotros del uso que le dan a nuestras contraseñas?
- Nuestros datos se guardan en la nube. ¿Qué ocurre si la empresa quiebra, si el servidor se cae? ¿Cómo podemos guardar nuestra información? ¿Qué hacemos en equipos no compatibles?
- La seguridad es muy mala. LastPass por ejemplo sufrió un hackeo a su base de datos, y se descubrió que las contraseñas se guardaban también en texto plano. ¿Cómo aseguramos la integridad de nuestras cuentas?
- Varias aplicaciones. Normalmente uno necesita una aplicación de contraseñas, una aplicación de notas seguras, una aplicación de 2FA, etcétera. Con varios de los problemas de puntos anteriores.
Sin embargo, existe una alternativa (varias en realidad) que es de código abierto y puede solucionar todos los contratiempos del software privativo.
1. KeePass
Para guardar nuestras contraseñas, es muy usado el software KeePass para almacenarnas. Este programa tiene certificación OSI (Open Source Iniviative), por lo que sigue sus normativas. Con él, podemos guardar nuestras contraseñas (y más) de manera segura pues estará cifrada, con un gran nivel de configuración posible.
Permite generar contraseñas seguras utilizando los carácteres que queramos.
Personalmente yo utilizo la versión no oficial KeePassXC, ya que permite de manerá más sencilla (La versión oficial KeePass2 también lo permite, pero se debe añadir la información a mano, ya que no hay una forma facil de hacerlo) configurar la autenticación de dos factores (TOTP). Si, podés reemplazar tu Authy, Google Authenticator o lo que utilizes en la misma aplicación que guarda tus contraseñas.
Hay un pequeño ¿problema? en esta aplicación dependiendo cómo lo mires, y es que tu información se guarda en un archivo. No es texto plano pues está cifrado, el verdadero problema es justamente que no tenés cómo sincronizarlas con tus dispositivos si así lo deseas. Sin embargo, otro programa Open Source y ligero puede resolver este problema. También lo utilizo ya que es muy sencillo.
2. Syncthing
Syncthing es una aplicación Open Source que funciona mediante P2P para enviar información entre dispositivos en una red local (o abierta si se abren puertos, cosa que yo no recomiendo). En ella podemos compartir varias carpetas entre los dispositivos que queramos, incluida una donde guardemos el archivo de KeePass, y se estará continuamente sincronizando. Podemos también compartir otro tipo de archivo entre ellos, cosa a veces útil.
De esta forma, podemos siempre tener respaldo en cada dispositivo que tengamos. Aunque nunca está de más hacer diversas copias de seguridad.