Últimamente, parece que hay una nueva violación de seguridad cada dos días, exponiendo la información personal de millones de personas. Eso incluye nombres legales completos, nombres de usuario, direcciones de correo electrónico, direcciones físicas y sí, contraseñas. Muy a menudo, el objetivo de piratear algún foro oscuro no es obtener acceso a tu cuenta en ese foro. En cambio, es obtener tus credenciales de inicio de sesión que probablemente también uses en otros sitios web. Con eso, los piratas informáticos pueden acceder todas las cuentas que usan tu correo electrónico/nombre de usuario y contraseña.
Hay servicios como Have I Been Pawned dedicados a esto. Verifican si tu contraseña se ha filtrado buscando en bases de datos de contraseñas robadas. Los piratas informáticos suelen utilizar estas bases de datos en ataques de diccionario. Incluso hay servicios que te alertan automáticamente cuando tu contraseña se ha filtrado. Muchos administradores de contraseñas vienen con esta funcionalidad incorporada.
Obviamente, lo primero que debes hacer cuando esto suceda es cambiar tu contraseña. Pero si estás utilizando la misma contraseña en otros sitios web, ahora también tienes que cambiar todas esas otras contraseñas. Y ahí es donde entran los administradores de contraseñas. Su funcionalidad principal es almacenar tus credenciales de inicio de sesión para cada servicio. De esa manera, no tienes que recordar todas y cada una de las contraseñas. Con esta libertad, ya no tienes que crear contraseñas que sean fáciles de recordar. Puedes crear contraseñas seguras e imposibles de adivinar.
Los administradores de contraseñas también te protegen de los ataques de phishing con su servicio de autocompletado. Si haces clic en un enlace para iniciar sesión en un sitio web y tus credenciales no aparecen, no estás en el sitio web real. Esto se debe a que los administradores de contraseñas muestran tus credenciales cuando visitas la URL correcta.
Puedes llevar esto un paso más allá utilizando diferentes direcciones de correo electrónico para cada servicio. De esta manera, las credenciales de inicio de sesión se vuelven desechables y las filtraciones tienen un impacto mínimo. Algunos administradores de contraseñas se integran con servicios de reenvío de correo electrónico. Esto te permite crear correos electrónicos enmascarados sobre la marcha para nuevas cuentas. Si tienes tu propio dominio, puedes crear manualmente una dirección para cada servicio. Esto protege tu dirección de correo electrónico real de ser filtrada como credencial de inicio de sesión. Si se filtra un correo electrónico desechable, cámbialo. Los servicios de reenvío de correo electrónico te permiten dejar de recibir correos electrónicos de direcciones filtradas. Esto ayuda a evitar el spam.
Muchos administradores de contraseñas también incluyen la funcionalidad 2FA para mayor comodidad. Algunos expertos en seguridad recomiendan utilizar servicios separados para tus contraseñas y 2FA. La lógica es que si uno se ve comprometido, no lo pierdes todo. Pero es probable que la mayoría de las personas no estén dispuestas a administrar dos aplicaciones diferentes para la seguridad. Entonces, hasta que se acostumbren, la conveniencia de tener ambas en una vale la pena el pequeño sacrificio de seguridad. La seguridad siempre viene a expensas de la comodidad. Dónde trazas la línea depende de ti y de cuánta comodidad estés dispuesto a sacrificar. Puedes consultar mis recomendaciones para aplicaciones de autenticación dedicadas para ayudarte a decidir.
Hablando de conveniencia, las llaves de acceso son el futuro aclamado para reemplazar las contraseñas. Se guardan en tu dispositivo (o en tu administrador de contraseñas) y no tienes que recordar nada. Los servicios pueden iniciar sesión tan pronto como detecten una llave de acceso y te piden que te autentiques mediante datos biométricos. La adopción de llaves de acceso va en aumento, ya que son más seguras (y convenientes) que las contraseñas. La desventaja de las llaves de acceso es que están vinculadas al dispositivo, lo que significa que necesitas una nueva llave de acceso para cada dispositivo. Esto agrega una capa adicional de dificultad si pierdes el acceso a tu dispositivo. Por ahora, todavía se recomienda utilizar la autenticación por contraseña como respaldo.
Nube
ProtonPass
ProtonPass es la incursión reciente de Proton en el espacio de la gestión de contraseñas. En realidad, es bastante impresionante. Está a la zaga de Bitwarden en funciones, pero está a leguas de distancia en lo que respecta a UI/UX. La apariencia no parece importante para los puristas de la seguridad. Pero para la persona promedio, la UX es lo que determina si utilizará un producto.
ProtonPass es un administrador de contraseñas de código abierto suizo que admite todos los dispositivos y navegadores. Al igual que Bitwarden, también incluye 2FA y enmascaramiento de correo electrónico como funciones de pago. Si planeas utilizar una aplicación de autenticación independiente, es probable que la versión gratuita te resulte satisfactoria.
A diferencia de Bitwarden, no puedes auto-alojar ProtonPass. Aunque puedes auto-alojar su servicio de reenvío de correo electrónico, SimpleLogin, que Bitwarden también admite.
IronVest
¡IronVest no es de código abierto!
IronVest es una extensión de navegador que ha evolucionado a lo largo de los años. Empecé a usarlo cuando era MaskMe. Todo lo que hacía era crear direcciones de correo electrónico enmascaradas sobre la marcha y reenviar correos electrónicos a tu dirección principal. Tenía bandejas de entrada dedicadas para cada dirección de correo electrónico enmascarada. MaskMe también ofrecía teléfono enmascarado y tarjetas enmascaradas, pero nunca probé esas funciones de pago. MaskMe luego se convirtió en Blur y agregó el bloqueo de rastreadores. Aquí también fue cuando desarrollaron aplicaciones móviles.
Hoy en día, se llama IronVest y su sitio web excesivamente corporativo es deliberadamente confuso. Debajo de toda la jerga, refleja en gran medida a otros administradores de contraseñas en funciones. Los correos electrónicos enmascarados ya no son gratuitos, pero tampoco son únicos en el mercado. Lo que lo distingue es los teléfonos y las tarjetas enmascarados, pero su marketing se centra más en la seguridad. Afirman que son más seguros que otros administradores de contraseñas gracias a la tecnología blockchain. Dado que no son de código abierto, nadie sabe si esto es realmente cierto.
Si no hubiera usado personalmente el producto durante muchos años y me hubiera encantado, ni siquiera lo incluiría aquí. Según su sitio web, su material de marketing actual no inspira confianza. Dicho esto, obviamente está dirigido a empresas y no a mí.
Auto-alojado
Nextcloud
Los usuarios de Nextcloud probablemente ya conozcan el sencillo nombre de Passwords. Es un administrador de contraseñas con todas las funciones que puedes instalar desde la tienda de aplicaciones oficial de Nextcloud. Admite E2EE, códigos QR y uso compartido de contraseñas con otros usuarios de Nextcloud. Puedes organizarlo mediante etiquetas, carpetas y favoritos. Cada contraseña también puede tener una nota, como es estándar, pero aquí se lleva a otro nivel con un editor de texto enriquecido.
El desarrollador solo ofrece extensiones de navegador oficiales para todos los navegadores. Pero como es de código abierto, la comunidad ha creado aplicaciones móviles para ello. Los usuarios de Android pueden usar esto o esto. Los usuarios de iOS pueden usar esto.
Ten en cuenta que ciertas funciones como las llaves de acceso y 2FA son funciones del lado del cliente. Su soporte depende de la aplicación que estés utilizando, no del backend del servidor. Es importante tener esto en cuenta cuando se trata de aplicaciones comunitarias.
Bitwarden
Bitwarden es la recomendación predeterminada para un administrador de contraseñas auto-alodo de código abierto. Es muy completo en funciones, ya que cubre no solo los inicios de sesión, sino también las identidades y las tarjetas. Esto se debe a que guardar y administrar contraseñas es solo la mitad del trabajo de un administrador de contraseñas. La otra mitad es el autocompletado, que ingresa tu información por ti en navegadores y aplicaciones.
Bitwarden no solo es compatible con todas las plataformas y navegadores, sino que también es de uso gratuito. Tienen algunas funciones de pago, como 2FA, pero la funcionalidad completa solo cuesta $10 al año. Un año es tiempo suficiente para decidir si vale la pena auto-alojar, lo que desbloquea todas las funciones de forma gratuita. Los planes familiares también están disponibles, para hasta 6 miembros.
El factor más importante que juega en contra de Bitwarden es la UI/UX. El software de seguridad a menudo descuida el diseño, especialmente con los recursos limitados de FOSS. Por otro lado, dado que es FOSS, existen muchas interfaces alternativas para él. Para Android, recomiendo KeyGuard. Integra funciones adicionales como la verificación automática de si tus contraseñas se han filtrado. Te solicita que actualices las inseguras, filtradas o duplicadas. También te informa de los sitios web que utilizas que admiten llaves de acceso y 2FA. Las llaves de acceso son más seguras y también más convenientes que las contraseñas. No se pueden robar ni olvidar, y te permiten iniciar sesión sin tener que introducir tu contraseña cada vez.
Sin Conexión
Passy
Passy es un proyecto FOSS más pequeño y menos conocido. Pero no dejes que eso te engañe, ya que es bastante completo en funciones. Se diferencia por centrarse en funcionar sin conexión y local, pero también es capaz de sincronizarse en línea. La sincronización automatizada es posible con un servidor de tu elección, pero también puedes sincronizar manualmente escaneando un código QR. Un enfoque interesante.
Cuando se trata de funciones, Passy prácticamente coincide con todos los demás administradores de contraseñas. De hecho, incluso permite una mayor personalización en algunas áreas. Por ejemplo, puedes elegir o algoritmo del 2FA al configurar un conjunto de credenciales. Otra inclusión notable es la capacidad de establecer tanto un nombre de usuario como una dirección de correo electrónico. Esto puede parecer obvio o incluso una tontería, pero algunos competidores carecen de ello. Passy admite credenciales, identidades y tarjetas de pago, como es estándar. Los campos personalizados también son agradables.
Passy funciona en todos los dispositivos, incluidas funciones especiales como la autenticación biométrica y el autocompletado. Una extensión de navegador también está disponible para todos los navegadores.
Pass
Pass es el administrador de contraseñas del hacker. No hay ningún tipo de GUI (aunque hay un cliente que ofrece una) y se administra y utiliza completamente a través de CLI. Esto puede parecer desalentador si eres un usuario de Windows, pero si vives dentro de la terminal, tiene sentido. Es muy sencillo en su enfoque. Guarda tus contraseñas localmente en archivos cifrados con GPG. Esto hace que sea muy fácil compartirlos o migrarlos a otros dispositivos, y solo tu clave GPG puede descifrarlos.
Te permite agregar, editar y recuperar contraseñas mediante comandos simples. La sincronización multiplataforma es posible a través de Git o algo como SyncThing. Esto ofrece una forma segura y descentralizada de administrar tus contraseñas. Al ser de código abierto, la comunidad ha creado, a lo largo de los años, clientes para todos los dispositivos. La mayoría de estos clientes también admiten 2FA.