Gestores de contraseñas

La proliferación de contraseñas, debido al gran número de sistemas y entornos que requieren de autenticación del usuario que accede, se ha convertido en un auténtico problema. Un problema por la imposibilidad material de recordar todas y cada una de las contraseñas, especialmente en los momentos de crisis que es cuando suele ser necesario acceder a un dispositivo al que habitualmente no conectamos.

Los administradores de sistemas suelen recurrir a diversos trucos para sortear este problema. El más clásico consiste en la utilización de una contraseña común en todos los dispositivos. Esto no siempre es viable, debido a la existencia de políticas que obligan a la rotación o a la necesidad de restringir el acceso a determinados dispositivos.

Otro sistema habitual consiste en mantener una hoja de cálculo o una base de datos con las contraseñas. De esta forma, las contraseñas se encuentran centralizadas… y, porque no decirlo, desprotegidas. La mayoría de hojas de cálculo almacenan los datos de una forma poco segura y cualquier persona con acceso al archivo puede, con poco o nulo esfuerzo, acceder a su contenido.

El tercer método es todo un clásico: el típico post-it. Evidentemente este no puede considerarse como seguro, ya que todo el mundo puede leerlo… y además es muy fácil de perder.

En este boletín mostramos un método alternativo, más eficiente y que puede considerarse más seguro para mantener catalogadas las contraseñas que cualquier administrador de sistemas debe utilizar para el desarrollo de su actividad profesional: la utilización de gestores de contraseñas.

No voy a tratar sobre los sistemas de Single Sign-On ni de sincronización de contraseñas, ya que estos generalmente se aplican dentro de un ámbito corporativo para las aplicaciones y entornos con un número importante de usuarios. Difícilmente se aplican, por ejemplo, en servidores o dispositivos de red. Esto sin olvidar el caso de aquellos que desarrollan su actividad en múltiples redes de diferentes corporaciones.

Gestores de contraseñas

Los gestores de contraseñas son aplicaciones especializadas en almacenar las credenciales (identificador de usuario y contraseña) dentro de una base de datos. Una característica no estrictamente imprescindible, aunque si muy deseable, es que la información almacenada se encuentre cifrada con un algoritmo de cifrado fuerte, debido a las características especiales de los datos contenidos.

Otra característica habitual de estos gestores es que llevan incorporados un generador de contraseñas. Librados de la necesidad de recordar una contraseña, podemos utilizar contraseñas especialmente complejas y, por tanto, más seguras.

El gestor de contraseñas no ha de ser necesariamente una aplicación especializada. Las últimas versiones de los navegadores web más populares llevan integrados sus propios gestores de contraseñas, aunque su ámbito de utilización se encuentra reducido a la autenticación de aplicaciones y recursos que se acceden a través de la web.

Es preciso indicar, no obstante, que estos gestores integrados dentro de los navegadores web almacenan las contraseñas de una forma poco segura. En la actualidad, muchas empresas desaconsejan a los usuarios la utilización de los mismos, debido justamente a la facilidad con que esta información sensible puede ser sustraída.

Algunos ejemplos

A continuación indicamos las características principales de algunos gestores de contraseñas. No pretende ser una lista exhaustiva sino simplemente mostrar algunos productos que realizan esta función.

Password Safe

El primer gestor de contraseñas que comentamos está disponible para los sistemas Windows (incluyendo Windows CE) y es una aplicación de código abierto. Inicialmente desarrollada por Bruce Schneier, almacena las contraseñas dentro de una base de datos cifrada con el algoritmo Blowfish. Se distribuye con el código fuente completo y su mecanismo de cifrado ha sido cuidadosamente verificado por la empresa Counterpane.

SplashID

Esta es una aplicación comercial, especialmente dirigida a los usuarios de asistentes personales (da soporte a los sistemas operativos PalmOS y PocketPC), aunque también dispone de una versión para Windows, que se sincroniza con los datos del asistente personal. También cifra la información con el algoritmo Blowfish.

Figaro’s Password Manager

Es otra aplicación de código abierto, para el entorno GNOME. Como las anteriores, la base de datos se encuentra cifrada con el algoritmo Blowfish. Se integra con el navegador web, actuando como un gestor de favoritos y rellenando automáticamente los campos de autenticación del usuario.

PasswordVault

Aplicación comercial (aunque está disponible una versión gratuita) con versiones para Windows y Mac, que también puede almacenar las contraseñas dentro de una base de datos especializada cifrada con el algoritmo Blowfish.