Últimamente, hemos oído muchas historias sobre vulnerabilidades en los gestores de contraseñas más populares. Además, ha habido algunas brechas de seguridad en el pasado cuando más de dos millones de usuarios quedaron expuestos. Y estos son solo un par de ejemplos recientes. Es normal que antes de decidirte por un gestor de contraseñas concreto, sobre todo si es freemium, los usuarios investiguen sobre sus medidas de seguridad.
Índice
¿Qué es un gestor de contraseñas?
En caso de nunca haber oído su nombre, un gestor de contraseñas es un programa que guarda tus contraseñas y demás credenciales en un almacén personal encriptado, al cual puedes acceder con tu contraseña maestra. Y llegados a este punto, es cuando la gente comienza a cuestionar su seguridad.
¿Qué ocurre si alguien descubre mi contraseña maestra? ¿Qué ocurre si me olvido de ella? ¿El proovedor del servicio la conoce? Estas y otras cuestiones surgen en la mente de cualquier usuario.
¿Por qué es importante la seguridad?
La seguridad de tus contraseñas guardadas en un almacén depende de las respuestas a las anteriores cuestiones. Si tu contraseña maestra ha sido expuesta o encriptada de forma poco profesional, todos los nombres de susuarios y contraseñas quedan comprometidos. Y po eso es tan importante la seguridad en un gestor de contraseñas. Echa un vistazo a los factores clave de seguridad para saber si te conviene registrarte en un gestor de contraseñas u otro. Por supuesto hay otros factores implicados, pero los siguientes puntos son un gran punto de partida.
Los factores clave
La seguridad y las funciones deben estar equilibradas en un gestor de contraseñas. Muchas funciones pueden traducirse en mayores riesgos de vulnerabilidad. Sin embargo, cuando tengas dudas, ten en cuenta el siguiente punto.
Encriptación orientada al cliente.La encriptación orientada al cliente garantiza el máximo nivel de seguridad al encriptar toda la información antes de abandonar el dispositivo del cleinte. La información sensible se encripta localmente en un 'almacén' que se guarda en el dispositivo del usuario y en los servidores del gestor de contraseñas. En nuestro caso, el gestor de contraseña cuenta con conocimiento cero sobre la información almacenada en los servidores. La información es solo para tus ojos, pues la clave de desencriptación está en tu poder. Nadie más puede acceder a tu contenido, incluso si tu gestor de contraseñas se ve comprometido.
La contraseña maestra y su recuperación.Una contraseña maestra genera la clave de encriptación y identifica el acceso a tu almacén. En otras palabras, es la puerta de tu almacén de contraseñas, y por eso es importante que no tenga conocimiento del mismo. En efecto, esto complica su recuperación, pues el proveedor no conoce tu contraseña maestra ni puede reiniciarla o crear una nueva. Pero sí incrementa el nivel de seguridad y demuestra que se toma tu protección en serio. Aun así, la recuperación es posible, pero no es el clásico procedimiento de "introduce tu email y te la haremos llegar". Investiga sobre su metodo de recuperación, y si afirman que te la mandarán por email en caso de pérdida, puedes estar seguro de que no se trata de un servicio de confianza.
Autenticación multifactor.El método consiste en identificas al usuario a través de dos factores distintos: algo que sabes, algo que tienes o algo que eres. Requiere de una segunda pieza de información a la que solo tú tienes acceso, como un código digital, para verificar tu identidad cada vez que inicias sesión. En algunos casos, los proveedores de servicios 2FA emplean tu ubicación para la autenticación. Esta solución ofrece una capa extra de seguridad. Si un proveedor anima a sus usuarios a emplear una autenticación multifactor, significa que la empresa sigue buenas prácticas en materia de ciberseguridad. Y si un atacante consigue hacerse con tu contraseña maestra, será muy difícil que supere el obstáculo de autenticación 2FA. La autenticación multifactor minimiza el riesgo de accesos no autorizados a tu gestor de contraseñas.
Algoritmos de encriptación.Uno de los aspectos más importantes es la encriptación empleada para proteger los almacenes de sus clientes. Existen muchos algoritmos, pero la mayoría de gestores de contraseñas se acogen a AES, un algoritmo simétrico muy utilizado en claves de 128-bit y 256-bit. Por ejemplo, el gobierno de los Estados Unidos usa AES-128 para información secreta (desclasificada) y AES-256 para su información secreta (clasificada). También se conoce como "encriptación de grado militar". Es uno de los algoritmos más utilizados en servicios encriptados, pero las grandes empresas tecnológicas lo han sustituido por ChaCha20. También emplea claves de 256-bit, pero se trata de un programa mucho más rápido. Puedes saber más cosas sobre algoritmos de encriptación en nuestro blog.
¿Por qué NordPass?
Un gestor de contraseñas seguro no sabe nada sobre tu persona. Nuestra política de conocimiento cero garantiza que solo tú conocerás el contenido de tu almacén. NordPass también cuenta con la opción de la autenticación de dos factores, la cual ofrece una capa de seguridad extra. No podrás acceder a tu almacén sin tu contraseña maestra o código de recuperación.
Es esencial tener en cuenta lo anterior a la hora de elegir un gestor de contraseñas, pero lo más importante es prestar atención a la encriptación. La mayoría emplean el AES-256, y auque es un algoritmo seguro y virtualmente invulnerable, somos de la opinión que el futuro se llama ChaCha20. Es rápido, seguro e inmune a los ataques de tiempo, al contrario que AES.
No existe un método que te proteja frente a hackers, pero si cuentas con un gestor de contarseñas de confianza, tus cuentas online estarán a salvo.