A principios de año, LastPass tenía que solucionar un problema con su software en el que se ponía en riesgo la integridad del sistema. Aun así, si lo piensas bien, es mejor usar un gestor de contraseñas, que creerte que eres uno.
Partimos de una premisa, los gestores de contraseñas no son seguros y por tanto no se deben utilizar jamás. Esto se debe al supuesto riesgo potencial al que se expone todo lo que tengas almacenado en él, pero ¿es algo racional?
Usar gestores de contraseñas es más seguro que que evitarlo
Como comentaba hace un par de párrafos, LastPass tuvo un problema a principio de año, pero desde entonces mucho ha llovido, los meses pasan y ahí sigue, sin más noticias de haber tenido problemas.
Lo mismo pasa con otros como iPassword, que muchas veces es difícil recordar cuando fué la última vez que tuvieron problemas. Yo personalmente uso el primero, y desde entonces estoy algo más tranquilo (porque ya no me olvido de las contraseñas).
Tu cerebro es un gestor de contraseñas nefasto
Desde luego, en la mayoría de casos, nuestro cerebro es incapaz de almacenar y recordar cadenas de carácteres aleatorios que sean realmente aleatorios. Dejo al lado la historia de hacer contraseñas partiendo de 15 o 20 palabras encadenadas, porque si empiezas a usar las contraseñas así pronto te vas a empezar también a olvidar de ellas.
Por desgracia es una limitación del mismo cerebro, y aunque seas uno de los que dice que ha dado con la fórmula perfecta para conseguir contraseñas únicas y seguras, realmente no lo eres. Al menos no mejor que lo que lo pueden hacer los gestores de contraseñas.
Como mucho para crear tus contraseñas puedes usar las técnicas conocidas como buenas prácticas, y aun así no serían completamente aleatorias. Aquí ya me baso en que la única contraseña completamente segura es la que ni siquiera tú puedes recordar.
¿El riesgo solo para los gestores?
Por otro lado, estar en contra de usar un gestor de contraseñas, se suele basar en la posibilidad de fallo. Algo que no se aplica generalmente cuando se argumenta acerca de las contraseñas recordadas.
¿Y si ponemos a los dos en la misma situación? Aproximadamente puede haber las mismas posibilidades de que la contraseña que solo tú recuerdas se ponga en peligro, que el que los gestores de contraseñas se pongan en riesgo. Y esto se debe a que contínuamente están buscando posibles fallos, y solucionándolos de ser encontrados con ciertas técnicas que aprovechan para ello.
¡Pero tienen mis contraseñas en texto plano!
Veamos. Técnicamente lo que estamos haciendo es pasar de recordar contraseñas, coger nuestro PasswordBook (o como lo llames tú), y entregárselo íntegro a uno de los gestores de contraseñas del mercado. Bueno íntegro, o simplemente nos registramos ahí y empezamos a generar contraseñas.
Que tú puedas recuperar las contraseñas en texto plano, no significa que cualquiera pueda hacerlo. Como bien sabrás, para acceder a tu cuenta necesitas la contraseña maestra. Ahora piénsalo detenidamente. Si tú a tu contraseña le pasas un encriptado que use una palabra (o contraseña) como hash, o bien no se podrá desencriptar, o bien cuando se haga sin el hash tendrás un resultado diferente al esperado.
Esto significa, que además de robar todas tus contraseñas encriptadas, también sería necesario poder robar tu contraseña de encriptación, y esta sí que debe ser lo más larga y aleatoria que puedas recordar. Piensa que esta la almacenan con encriptado de una dirección, es decir, que no se puede desencriptar y para saber si está correcta la vuelven a encriptar y comparar con la almacenada.
Teniendo en cuenta que se puede tardar años en desencriptar por fuerza bruta una contraseña medianamente larga, ¿cuanto tiempo crees que se tardaría en que saquen tu contraseña maestra después de robar miles de cuentas? ¿y en que se pongan a desencriptar precisamentela tuya? Esto reduce mucho las posibilidades ¿eh?
Una última conclusión
Los gestores de contraseñas son algo bueno. Te permiten tener contraseñas completamente aleatorias, y no eso, sino que aunque te inventes las tuyas propias con cientos de carácteres, no tienes que recordarlas que es lo mejor.
Solo te tienes que preocupar de recordar la principal, es más, ni el usuario con el que te has registrado tienes que tener en la cabeza.
Esto se vuelve algo bueno, porque ahora ponte en el supuesto de que falle el gestor de contraseñas y alguna de ellas quede expuesta, y pensemos lo mismo con tu cerebro (que seguro que usa la misma contraseña en un montón de sitios).
En el caso del gestor, quedaría expuesto el sitio que usa esa contraseña de la que no te acuerdas. Simplemente entras, la cambias, generas otra y a correr, tienes la lista también de sitios, y si todas quedan expuestas basta pasar uno por uno cambiándolas y cambiar también la maestra.
En el caso de hacerlo de memoria es otro cantar… Si has usado la misma en varios sitios, todos ellos quedan expuestos con una sola filtración. Lo peor, es que de los cientos de sitios que visitas y te registras, seguro que te vas a olvidar de más de uno, en los que no cambiarás la contraseña y un bot atacante podría intentar entrar.
Además, supone también un esfuerzo, después de usar una contraseña durante años, tener que cambiarla por otra. Esto es lo más difícil.
A partir de aquí te dejo que determines tú mismo si quieres o no ponerte en riesgo de usar un gestor de contraseñas, pero desde mi punto de vista llevo años con uno y solo acordándome de la contraseña de más de 30 carácteres para acceder a él, y de dos contraseñas más para las cuentas de correo (y recuperación) principales (esas sí que no las incluyes en el gestor, por supuesto).
¿Usarías o no un gestor de contraseñas? ¿Por qué y cuál recomiendas? Comenta y comparte
