Las diversas filtraciones masivas de contraseñas de las que tenemos constancia con frecuencia, nos hacen plantearnos, cada vez más, la importancia de proteger nuestras claves de acceso en internet.

Por desgracia (y como es de esperar), si bajamos "al mundo real", no es tan frecuente encontrar usuarios dispuestos a recordar complejas claves alfanuméricas. Por ello, el fin de este artículo es el de aportar algunos trucos para crear y recordar buenas contraseñas, sin necesidad de complicarnos la vida en exceso.

En Xataka

Gestores de Contraseñas: qué son, cuáles son los más importantes y cómo utilizarlos

En Genbeta

Si usas una de estas terribles contraseñas has ganado un puesto entre lo peor de 2018

El primer truco es... dejar que lo hagan por ti

El mejor truco para crear contraseñas seguras y recordarlas, es no preocuparte ni de crearlas ni de recordarlas, aunque suene paradójico. Gracias a internet, es bastante sencillo crear contraseñas aleatorias. Asimismo, contamos con excelentes gestores de contraseñas que se encargan de almacenarlas e introducirlas en los sitios web por nosotros.

Por ejemplo, podrías crear una contraseña desde Secure Password Generator, servicio del que te hablamos recientemente. La contraseña que nos de, en nuestro caso, $H@MA2}jy_Fq~c"Z, la almacenaremos en un gestor de contraseñas como 1Password, y a partir de aquí no tenemos más que dejar que el servicio que la almacena nos la entregue cada vez que entramos en una página.

La desventaja de este método es que nuestras contraseñas pasan por el gestor, y si de algún modo se accede al mismo por parte de terceros, nuestras contraseñas quedarán expuestas. Asimismo, si por algún casual nos falla el gestor, al no recordar nuestra contraseña no podremos acceder al site, así que veamos cómo realizar el proceso de una forma más manual.

Utiliza trucos y palabras fáciles de recordar

Crear una contraseña es todo un arte. Cada usuario tiene sus trucos, como muestran los editores de Xataka. No obstante, existen algunos trucos y tips comúnmente aceptados a la hora de crear contraseñas robustas.

El primero y más conocido de todos, es el de la extensión. Su justificación parte de una de las bases matemáticas más simples, cuantos más caracteres tenga la contraseña, más combinaciones posibles serán necesarias para averiguarla. Partiendo de esta base, que choca directamente con la facilidad de recordarla, vamos a ver cómo crear contraseñas seguras que no queden en el olvido.

Añadir la letra ñ es nuestra primera clave para añadir seguridad a las contraseñas, acordándonos asimismo de los caracteres que hemos puesto. Puedes ubicarla al principio o al final de la misma. Esto se debe a que no son pocos los teclados que no tienen esta tecla, y variso de los programas que se utilizan para intentar descifrar contraseñas, tampoco cuentan con ella en su base de datos.

El truco de tu canción favorita también es una genial idea, que se basa en convertir en contraseña una de las frases de tu canción. Si, por ejemplo, escogemos la frase "Because maybe, you're gonna be the one that saves me", la contraseña resultante sería "Bmygbtotsm". Si le añades una ñ al principio o al final, mejor aún.

Cambiar las letras por caracteres numéricos también puede ser una solución. La letra "O" por el número 0, la letra "A" por el 4, la "E" por el 3... 3ST4 D3M0STR4D0 QU3 NU3STR0 C3R3B40 3S C4P4Z D3 3NT3ND3R 3ST3 TIP0 D3 M3NS4J3S, así que no te será demasiado complicado recordarlo. En el caso de la contaseña anterior, ya andaríamos con Bmygbt0tsmñ, la seguridad va mejorando.

Basarte en dos o tres palabras importantes para ti y combinar sus principios y finales también puede ayudarte a crear una contraseña, o a mejorar la que ya estábamos creando. Imaginemos que nuestra primera palabara en Genbeta (de la que cogeremos Gen), y la segunda Xataka (de la que nos quedaremos con Ka). Nos daría como resultado Genka, o G3NK4 si lo pasamos a caracteres alfanuméricos. Añadir estas dos palabras tan sencillas de recordar a la contraseña en la que ya estábamos trabajando riza el rizo aún más. "G3NBmygbt0tsmK4ñ".

De poco sirve que la contraseña sea segura si utilizamos la misma en todas las páginas web. Puedes crear algún tipo de regla según el sitio que visites. Si, por ejemplo, estás abriendo Facebook, puedes añadir la primera palabra que se te venga a la cabeza como "Zuckerberg" o "inseguridad", y añadirla al final de la contraseña. Es importante que tengas una contraseña distinta para cada sitio web, ya que así será bastante más complicado que alguien tenga acceso a la misma, al solo poder obtenerla de un site.

Independent Security Evaluators ha hecho público una investigación en la que han analizado el comportamiento de varios gestores de contraseñas populares encontrando vulnerabilidades preocupantes. Problemas que permitirían el robo de las contraseñas almacenadas o incluso de la clave maestra mediante una aplicación maliciosa instalada en el equipo.

Este grupo de expertos en seguridad informática han examinado, concretamente, el funcionamiento en Windows 10 de los administradores de contraseñas 1Password, KeePass, LastPass y Dashline. Y el problema del que todos ellos adolecen es la gestión de la memoria del dispositivo en el que funcionan.

En Xataka

Gestores de Contraseñas: qué son, cuáles son los más importantes y cómo utilizarlos

En diversos grados, según los investigadores del ISE, los gestores de contraseñas analizados dejaron contraseñas accesibles desde la memoria de las máquinas. Hablamos, como decíamos, tanto de contraseñas almacenadas en las aplicaciones en cuestión como de la contraseña maestra. Potencialmente, con cierto malware y derechos de administrador, un atacante podría obtener esas contraseñas.

La memoria tiene demasiado memoria

Todo esto sucedería aunque los programas intentan borrar esta información depositada en la memoria. Sin embargo, dicen estos expertos, "los búferes residuales seguían conteniendo secretos, muy probablemente debido a fugas de memoria, referencias de memoria perdidas o marcos de trabajo GUI complejos que no exponen los mecanismos internos de gestión de la memoria para desinfectar los secretos"

Esta exposición de información tan sensible tendría lugar, según la investigación, cuando el usuario ejecuta el administrador de contraseñas y lo abre introduciendo su clave maestra. Lo que significa que no habría riesgo cuando los gestores no están ejecutándose. Sin el programa en marcha, las contraseñas guardadas en el disco estarían a buen recaudo.

Es preocupante esta situación, pero no debe generar alarma porque los gestores de contraseñas son una más que interesante solución de seguridad, como los propios investigadores responsables de este estudio señalan.

Los administradores de contraseñas son algo bueno. Todos los administradores de contraseñas que hemos examinado añaden valor a la postura de seguridad de la gestión de secretos, y como escribió Troy Hunt, un activo investigador de seguridad, "los administradores de contraseñas no tienen que ser perfectos, sólo tienen que ser mejores que no tener uno".

Además de ser una herramienta administrativa que permite a los usuarios categorizar y administrar mejor sus credenciales, los administradores de contraseñas guían a los usuarios para evitar prácticas de contraseñas incorrectas como el uso de contraseñas débiles, contraseñas comunes, contraseñas genéricas y reutilización de contraseñas.

Los responsables de los gestores de contraseñas parece que han tomado nota de estos problemas y alguno como LastPass, según informa The Register, ya han solucionado los problemas de exposición de datos relacionados con la memoria descritos en su aplicación.

LastPass es uno de los gestores de contraseñas más populares, pero recientemente ha sido noticia por otros motivos: el hallazgo de no uno, sino dos agujeros de seguridad en LastPass relacionados con el uso de su extensión de navegador (tanto en Chrome como en Firefox), aunque por suerte, ambos han sido ya resueltos.

El primer bug fue encontrado y comunicado al equipo de seguridad de LastPass hace ya un año (y resuelto en menos de 24 horas, sin necesidad de ninguna acción por parte de los usuarios), mientras que el segundo se encontró ayer y también se ha resuelto mediante una actualización de la extensión afectada.

El primer problema de seguridad, como decíamos, se encontró hace aproximadamente un año. El aviso al equipo de LastPass vino de parte de Matthias Karlsson, un analista de seguridad que publicó recientemente la historia. Según explica Karlsson, el error se encontraba en el código de análisis (parse) de la URL que LastPass añade mediante la extensión de navegador.

Este error permitía engañar al sistema, haciéndole creer que estaba en otra web y extrayendo los datos de acceso a ésta. Así, por ejemplo, uno podía visitar una web cualquiera, y hacer uso de este fallo de seguridad para obtener la contraseña de Twitter, Facebook y otros servicios online.

Karlsson comenta que informó del error a LastPass, y éstos "trataron el problema de forma muy profesional". El agujero de seguridad se solucionó en menos de un día, y Karlsson recibió una compensación de 1.000 dólares como parte del programa Bug Bounty de LastPass.

El otro fallo de seguridad de LastPass, del que podemos leer más detalles en un comunicado de la propia compañía, fue denunciado ayer por un analista del equipo de seguridad de Google, Tavis Ormandy. Ormandy detectó que mediante una vulnerabilidad en la extensión de LastPass para Firefox, se podían ejecutar acciones de LastPass en segundo plano sin conocimiento del usuario.

Este fallo ha sido solucionado también, mediante una actualización de la extensión de Firefox. Si utilizas este navegador y LastPass 4.0, asegúrate de actualizar a la versión 4.1.21a. Si usas alguna versión anterior, este problema de seguridad no te afecta.

¿Deberías seguir usando gestores de contraseñas?

Cuando lees noticias como éstas, es normal que surjan dudas sobre la seguridad de los gestores de contraseñas. El propio Matthias Karlsson, descubridor del primer bug, lo tiene claro: "No deberíamos dejar de usar gestores de contraseñas. Siguen siendo una opción mucho mejor que usar la misma contraseña en varios servicios diferentes".

Lo que sí recomienda Karlsson es desactivar la función de auto-rellenado de formularios, puesto que esta función pued ser un punto de entrada para más ataques.

Desde LastPass, por otro lado, dan una serie de recomendaciones básicas de seguridad que no está de más recordar:

• Utilizar una contraseña diferente para cada cuenta y perfil online.
• No hacer clic en enlaces que te envíen desconocidos, o enlaces extraños que vengan de contactos de confianza.
• Activar la autentificación en dos pasos en todos los servicios donde sea posible.
• Utilizar una contraseña especialmente segura como clave maestra en el gestor de contraseñas, y no dársela a nadie (ni a la propia compañía).

Vía | Motherboard
Más información | Comunicado de LastPass - Artículo de Matthias Karlsson
En Genbeta | 1Password Families, o cómo conseguir que toda la familia use contraseñas seguras

Continuamos con el Especial Contraseñas Seguras en Genbeta. En el anterior artículo mi compañero Iván abría el especial con gestores de contraseñas en la nube, y hoy yo os traigo las aplicaciones correspondientes para Windows.

Estos programas se encargan de guardar de forma segura nuestras contraseñas, de forma que no las olvidemos, y además nos las mantendrán bien organizadas. Todos los programas cifran las contraseñas como mínimo con una contraseña maestra, para que sólo nosotros podamos acceder a ellas.

KeePass

KeePass es, para mí, la opción más robusta y segura de todas. La interfaz es sencilla y fácil de usar con varios grupos donde ordenar las contraseñas. Podemos modificar esos grupos a nuestro gusto, y si los grupos no nos gustan, siempre podemos usar el buscador para encontrar la contraseña que queramos.

La interfaz para añadir contraseñas también es cómoda de usar, tiene campos para nombre de usuario, contraseñas, URL del sitio y título de la contraseña. Nos da además una opción para generar contraseñas aleatorias, y podemos añadir etiquetas para identificarla.

Donde KeePass destaca más para mí es en la seguridad. Tiene 3 opciones para bloquear la base de datos, que podemos combinar a nuestro gusto. Una, la que más nos sonará, es una contraseña maestra. La segunda es un archivo de clave que habremos generado al crear la base de datos, y la tercera, una asociación a nuestra cuenta de usuario de Windows. Es decir, sólo podremos desbloquear las contraseñas si estamos en nuestro usuario de Windows.

También nos permite entrar en los sitios de forma segura. Una vez que estemos en la pantalla de login de un sitio, podemos hacer clic en la contraseña en KeePass y elegir la opción “AutoType”. De esta forma, KeePass introducirá los datos automáticamente, engañando a cualquier keylogger o espías del portapapeles.

KeePass es software libre, tiene una versión de instalación y otra portable, para llevar en tu pendrive, y además de la versión oficial para Windows, hay ports de terceros para casi todas las plataformas. Para empezar a usarlo sólo tendréis que crear la base de datos y empezar a almacenar contraseñas.

Sitio oficial | KeePass
Descarga | KeePass

LastPass Pocket

Aunque LastPass es un servicio de gestión de contraseñas muy útil y eficaz, su gestor para escritorio deja bastante que desear. LastPass Pocket es un pequeño programa que no necesita instalación, y que nos permite ver nuestras contraseñas online de LastPass o las alojadas en una base de datos local.

Lo malo es precisamente eso, que sólo nos permite ver. No podemos modificar ni añadir contraseñas ni grupos, sólo ver y copiar esos datos. La única utilidad que le veo a esta pequeña aplicación es tener una copia local en el ordenador o en un pendrive, para consultarla cuando no estemos online.

Sitio oficial | LastPass
Descarga | LastPass Pocket

JPasswords

JPasswords no es una solución muy compleja, pero creo que merece la pena ponerlo en esta lista. Nos permite guardar contraseñas en una base de datos cifrada, y organizarlos por grupos. No es muy elegante, pero es sencillo de usar.

Lo mejor de este programa es que al estar escrito en Java, lo podremos llevar en un pendrive y ejecutarlo en cualquier sistema operativo que tenga una máquina de Java instalada, lo que es bastante común. Lo malo, que sólo está disponible en inglés.

Sitio oficial | JPasswords
Descarga | JPasswords (formato JAR)

LoginControl

Al igual que el resto de programas, LoginControl permite almacenar las contraseñas en grupos, organizarlas, y cifrarlas con una contraseña maestra. Desde la interfaz podemos copiar los datos al portapapeles con las teclas de función (F1, F2, F3,...) y luego pegarlas en el navegador fácilmente.

Lo mejor de este programa es que también nos permite almacenar la pregunta y respuesta secretas, que muchos sitios dan como opción para recuperar la contraseña, y la dirección de correo que usamos para registrarnos. Por lo demás, LoginControl no destaca mucho. Está disponible en español y es gratuito.

Sitio oficial | LoginControl
Descarga | LoginControl 3.5

En esta lista, cada programa tiene sus peculiaridades, así que espero que todos los tipos de usuarios puedan encontrar aquí una solución. Y si no, siempre podéis compartir vuestro gestor de contraseñas favoritos en los comentarios. Por nuestra parte, nos despedimos hasta el siguiente artículo del Especial Contraseñas Seguras en Genbeta.

En Genbeta | Especial Contraseñas Seguras