Tener un buen sistema de gestión de contraseñas es importante por varios motivos, de los cuales destaco:
– Poder tener un password seguro, diferente para cada sitio web en el que nos registramos, password que se genera y se completa de forma automática en cada web. – No tener que recordarlas, ya que solo es necesario guardar en nuestra memoria la contraseña master. – Tener la seguridad de que estas contraseñas están en un lugar seguro, lejos de ojos curiosos.
Si uno de los reyes en esta categoría es Lastpass, y ya os hablamos de una lista de 7 gestores de contraseñas online, para PC, Mac y móviles, ahora es la compañía especializada en seguridad online F-Secure la que presenta su solución.
Se trata de F-Secure KEY, disponible para Mac, Windows y Android y con versión iOS en camino, tal y como comentan en TNW.
Además de crear, guardar y sincronizar contraseñas entre dispositivos, permite también guardar detalles de tarjetas de crédito, contraseñas de redes WiFi y detalles relacionados con sistemas de alarmas en casa, por lo que van más allá de un simple gestor de passwords web.
La solución es gratuita, disponible únicamente en inglés, y ya está disponible para que podamos instalarla en nuestro sistema. Por desgracia, no hay previsión de tener versión de F-Secure Key para Linux.
En su web podéis tener acceso a otras herramientas gratuitas de la compañía, como un sistema alerta de malware, otra que gestiona los permisos dados a aplicaciones, otra que identifica familiares en los smartphones, etc.
Millones de contraseñas, con sus nombres de usuario correspondientes, fueron robadas de la base de datos de Adobe hace poco más de un mes, millones de clientes que han visto como sus datos de acceso estaban disponibles de forma pública, ya que la forma de ocultar la contraseña era bastante básica, cualquiera con un poco de conocimientos del tema podía descubrir lo que allí se ocultaba. También robaron información de las tarjetas de crédito y el código de algunos de los programas de Adobe, tal y como informaron en el blog de la compañía.
El problema no está en que se pueda entrar en la cuenta de Adobe de otras personas (Adobe ya se ha encargado de solicitar el cambio de contraseña de sus usuarios en el siguiente acceso, algo para lo que es necesario el email), el problema está en que muchos usuarios usan la misma combinación de usuario y contraseña en otros servicios, por lo que esa pareja de datos (login y password) puede estar siendo usada para acceder a emails, cuentas de paypal, servidores web y un largo etcétera.
Algunos servicios de hospedaje ya han enviado información a sus usuarios sobre el tema, para que cambien sus contraseñas de forma inmediata en caso de que coincida con la de Adobe, ya que en caso contrario podrían ser invadidos fácilmente millones de sitios web en todo el mundo.
El caso es que el asunto es serio, pero eso no impide que ya se haya publicado un juego sobre el tema. En zed0.co.uk/crossword/ hay un crucigrama en el que las contraseñas robadas (las más populares) son las protagonistas, tal y como anuncian en TNW.
El juego muestra decenas de contraseñas extremadamente populares en todo el mundo, desde la famosa «123456» (la más usada con diferencia) a las «zxcvb» de toda la vida, por lo que es importante revisarlas para verificar que no coincide con ninguna de las nuestras.
Franí§ois Beaufort, perteneciente a Google, publica en su perfil de Google+ acerca de una nueva medida de seguridad incorporada en el último build de Chromium para Mac OS X, de manera experimental, que podría suponer que en un futuro dicha medida la podamos usar el resto de usuarios del resto de plataformas. Esta medida, que actualmente los usuarios de dicho navegador podrán usar mediante su activación a través de chrome://flags/#enable-password-manager-reauthentication, está pensada para todos aquellos usuarios que quieran ver las contraseñas de sus listas de contraseñas almacenadas en sus navegadores web, deban antes autenticarse de nuevo con el login del propio sistema, un comportamiento que funciona de manera similar a Safari.
Si pasado un minuto, los usuarios desean volver las contraseñas de nuevo, entonces volverán a estar obligados a tener que autenticarse para realizar la misma operación. De momento, no se sabe nada más al respecto acerca de si esta medida será incorporada para otras plataformas y de la adaptación a los mismos, pero de ser afirmativo, supondría una nueva capa de seguridad para el acceso a las contraseñas almacenadas en el propio navegador, arreciando así las críticas recibidas en este sentido.
Y es que, como ya hemos visto en varias ocasiones, a Google le preocupa mucho el tema de la seguridad en todos los productos y servicios que ofrece, y claro, quiere que los usuarios estén lo más protegido posibles. Así que esta es una opción más para hacer de Chromium y derivados unos navegadores seguros que evite males mayores.
Con tanta aplicación web, servicio online y red social disponible que nos convence de unirnos, resulta de utilidad tener a la mano soluciones alternativas que permitan prescindir de la pesada tarea de tener que recordar centenares de nombres de usuario y contraseñas. Obviamente tales soluciones ya existen y además de solucionar el problema, optimizan el tiempo y la manera en como a diario se accede a cada servicio sin importar si es desde un PC (desde el escritorio o desde el navegador), un Mac o un dispositivo móvil. Aquí están algunas de las mejores opciones:
Un gestor de contraseñas para dispositivos Apple que almacena las contraseñas rápidamente para permitir loguearse automáticamente con apenas un toque (o tap) en vez de con largas contraseñas introducidas carácter por carácter. Cuenta con encriptación AES-256 para garantizar su gestión y almacenamiento seguro. Plataformas: iOS
Encriptación AES-256, multiplataforma, sincronización instantánea entre dispositivos, integración con navegadores para loguearse automáticamente en cualquier sitio web, generación de contraseñas aleatorias a partir de palabras clave preferidas, llenado automático de formularios y la posibilidad de guardar información financiera (datos de tarjetas de crédito y facturas) son algunas de sus características más interesantes. Plataformas: Windows, Mac, iOS y Android
Una flamante aplicación open source perfecta para quienes no desean ceder su información personal a terceros sin las garantías suficientes en su tratamiento. Permite generar múltiples bases de datos de contraseñas (no sólo de sitios web) con algoritmos avanzados de encriptación para su protección. Es tan segura que muchas aplicaciones de terceros le usan como base para funcionar, por ejemplo, en dispositivos móviles (como KeePassDroid, 7Pass y MiniKeePass) y Mac OS X (KeepassX). Plataformas: Windows y Linux
De nuevo, ya que KeePass es software libre, existen varias apps que le sacan provecho desde dispositivos móviles incluyendo a los que tienen Android. KeePassDroid es una de ellas la cual cuenta con un generador de contraseñas seguras, campos para contraseñas libres (por ejemplo, de ítems físicos como los de la tarjeta de crédito) y la posibilidad de crear una copia de seguridad en Dropbox de la base de contraseñas almacenadas. Plataformas: Android
Un servicio que se ofrece especialmente como plugins para navegadores aunque también como aplicaciones instalables. La idea es simple: al tratar de loguearse en un sitio web se podrá pulsar en el botón de RoboForm para que se presenten diferentes opciones incluyendo la funcionalidad automática de relleno de formularios que introducirá al instante el nombre de usuario y contraseña. Cuenta también con generación de contraseñas aleatorias. Plataformas: Windows, Mac, Linux (desde el navegador), iOS y Android
Una solución estrictamente online (no con aplicación pero sí con versión para móviles) que además de permitir guardar las contraseñas y datos de usuario de forma segura, hace posible gestionarlas y compartirlas con otros usuarios. Para un mejor aprovechamiento, cuenta con bastante documentación incluso en PDF. Plataformas: Navegadores de escritorio y móviles.
Finalmente el más popular del listado, LastPass, un gestor de contraseñas que minimiza la tarea de recordar centenares de passwords a una sola. Además, cuenta con relleno de formularios automágicamente, login con un clic, sincronización multidispositivos automática, herramientas de seguridad antiphishing y antispam, y una caja fuerte para almacenar notas confidenciales protegiéndolas mediante un proceso de encriptado avanzado. Plataformas: Windows, Mac, Linux, iOS, Android, BlackBerry, webOS, Windows Phone y navegadores.
Si estamos llevando a cabo un trabajo en equipo por nuestros estudios o por nuestras tareas laborales, nos interesará conocer Mitro, ya que propone una excelente solución para compartir el acceso a diferentes servicios web.
Ya sea que como equipo compartamos la misma cuenta de Twitter, Facebook, Dropbox o cualquier otro servicio necesario para nuestro proyecto o marca, podemos simplificar el proceso con Mitro, aún cuando se unan nuevos integrantes al grupo. No es un administrador de contraseñas, sino que es mucho más potente, ya que una vez configurado nos permitirá iniciar sesión automáticamente en los servicios web que hemos registrado.
Tanto si pensamos utilizarlo con nuestro equipo o para uso personal, el procedimiento es muy simple. Cada vez que nos loguemos en un servicio web que deseamos guardar en Mitro, simplemente tenemos que señalar (con la ayuda de su extensión para Chrome) que deseamos guardar la contraseña. De esa manera, la próxima vez que deseemos acceder se nos preguntará si deseamos loguearnos automáticamente mediante Mitro.
Desde nuestro panel de control en el sitio de Mitro podremos ver todos los servicios web que hemos integrado con opciones para realizar cambios o compartir el acceso. También nos permite agregar contraseñas de manera manual, así como notas para servicios o datos ajenos a la web.
Mitro promete mantener nuestra información segura y encriptada, además de contar con algunas opciones extras como reconocer si el dispositivo con el que se accede no está autorizado y la verificación en dos pasos. Una interesante propuesta para mantener nuestras contraseñas en un solo lugar, compartirlas y acceder automáticamente desde cualquier lugar.
Buena prueba de que no existen sistemas 100% seguros, como nada en la vida, la tenemos en un bug encontrado en la aplicación para Windows del gestor de contraseñas LastPass, servicio dedicado al almacenamiento de contraseñas en un servidor seguro para permitir a los usuarios identificarse automáticamente en aquellos sitios web donde estén registrados. El bug afecta únicamente a aquellos usuarios que usen la versión 1.0.20 del plugin de LastPass en equipos bajo Windows, afectando sólo al complemento para Internet Explorer, eliminándose los datos al cerrar sesión del propio navegador.
El bug permite mostrar algunas de las contraseñas de los propios usuarios, aunque para explotarlo, los atacantes deberían realizar un volcado de memoria, que se realizaría cuando los usuarios afectados intentan conectarse de un proceso a otro, permitiendo así al atacante tener acceso a las contraseñas utilizadas durante la última sesión de navegación, incluso si el navegador ya no hace registros con LastPass. Los atacantes también podrían aprovechar el acceso físico de los ordenadores afectados para explotar la vulnerabilidad.
Según un portavoz de la compañía:
Si se explota, las contraseñas almacenadas en LastPass eran accesibles al realizar un volcado de memoria del navegador (…) Si un usuario ha iniciado sesión en IE y en el complemento de LastPass descifraría así localmente sus datos, las contraseñas que se habían utilizado en esa sesión de navegación serían visibles en el volcado de memoria como resultado.
En este sentido, la misma compañía ya ha lanzado una actualización para solventar el problema, cumpliendo así con la privacidad y seguridad de los datos de los propios usuarios, como dijo el mismo portavoz a Mashable.
En cualquier caso, el alcance del problema hubiera sido mínimo, aunque el rápido ofrecimiento de una solución es un detalle muy a tener en cuenta para este tipo de situaciones. Además, los usuarios pueden seguir confiando en los servicios de gestión de contraseñas, ya que a juicio de LastPass, sigue siendo una vía más segura que confiar en la típica información de registro para acceder a las cuentas de usuarios en diferentes servicios.
Si eres uno de los usuarios afectados, puede descargarte la actualización desde este enlace.
Os puede sonar Dashlane, un gestor de seguridad y protector de contraseñas que protege todo lo que introducimos en el navegador cuidando la introducción de contraseñas automática y el relleno automático de datos en según qué páginas.
Ahora Dashlane se actualiza, y nos ofrece un nuevo diseño de su versión para Mac, PC y Android. Habiendo añadido hace poco la sección «Security Dashboard» en la que podíamos manejar cualquier problema relacionado con la seguridad del sistema, ahora las tres versiones han vuelto a actualizarse: siguen ofreciendo una doble autentificación y se incluye un navegador integrado en la versión Android.
En nuestro «Security Dashboard» podremos seguir administrando los problemas del sistema y rectificarlos con «Replace Now», detectando cualquier cosa relacionada con passwords poco seguros, demasiado antiguos o con información almacenada de forma no confidencial que se encuentre en los navegadores conectados a Dashlane.
De cara a la aplicación móvil, podremos utilizar el navegador integrado y activar la doble autentificación en la configuración de la app. El navegador nos cargará por defecto la página de Google, pero podremos utilizarlo como cualquier otro navegador para móvil con características extra de seguridad.
Podéis utilizar Dashlane aquí o si lo preferís descargar las apps móviles para iOS y Android.
Guardar y consultar contraseñas en Internet siempre ha sido un tema delicado, aunque al final resulta más seguro que compartir la misma clave en todas las aplicaciones o guardarlas en un papel al lado del monitor.
Tener la misma contraseña para el email, skype, paypal, banco y demás herramientas de nuestro día a día tiene un problema muy serio: si roban la combinación entre usuario, email y contraseña de alguno de los servicios, los ladrones podrán usar los datos en varias páginas web hasta que consigan entrar en una de ellas, independientemente de si las claves de la aplicación inicial han sido o no reiniciadas.
Si tenemos varias llaves en el llavero, una para cada puerta que usamos, tenemos que preocuparnos también en tener una contraseña para cada web, y hay trucos y herramientas que nos ayudan con el tema.
Seguramente la más famosa, gratuita y muy segura, es lastpass.com, una aplicación que detecta, en forma de extensión de navegador, cuando nos estamos registrando en una web, ofreciendo la posibilidad de crear contraseñas seguras que incluirá de forma automática en el futuro. Lastpass tiene mucha experiencia con este tema y es usada por miles de personas en todo el mundo.
Si tenéis miedo de guardar las contraseñas en un mismo lugar, podéis también seguir la vieja táctica de usar el nombre de la web para hacer única la contraseña utilizada. Por ejemplo, podéis usar la primera letra de la web, la última, los 4 últimos números del teléfono y un símbolo específico.
Otra posibilidad es usar el recientemente comentado legadodigital, que usa criptografía para aumentar la seguridad de la información almacenada, o mysocialcloud, aún en estado beta pero muy prometedor en su idea original.
Crear contraseñas no es difícil, hay cientos de opciones que ayudan a encontrar una combinación más segura que las usadas habitualmente (desde passcreator al propio wolfram alpha), aunque lo importante es tenerlas siempre a mano, ya sea en la cabeza o en una web especializada en el tema.
Evernote tampoco se salva de los ataques que están recibiendo otras compañías de Internet en las últimas semanas, detectando y bloqueando cualquier actividad sospechosa de acceder a las áreas de seguridad del servicio, aprovechando una brecha de seguridad detectada. Por ahora no hay indicios de acceso, modificación o pérdida de contenidos ni sobre la información de pago a los usuarios de Evernote Premium o Evernote Business.
Lo que si piensan es que podrían haber accedido a las informaciones del usuario, incluyendo el propio nombre, cuenta de correo electrónico, así como las contraseñas cifradas, aunque no indica el sistema de cifrado que usan, donde se limitan a indicar que va cifrado en un sólo sentido.
Es por ello, según comenta en su blog oficial, que están restableciendo las contraseñas, de manera que cuando cualquier usuario acceda a su cuenta, se le pedirá que incluya una nueva contraseña, indicando además algunos consejos a la hora de crearla para garantizar mayor seguridad.
Evernote también toma nota de lo sucedido para tomar medidas adicionales en materia de seguridad, y además, en las próximas horas, también tiene previsto actualizar sus aplicaciones, finalizando el comunicado pidiendo disculpas por lo sucedido. Dicho blog también está sufriendo las consecuencias, ya que no carga todo lo rápido que debiera.
Si el crear contraseñas seguras y recordarlas te resulta un problema, puedes tener en cuenta a PasswordLive. Es una aplicación online que promete una contraseña segura a partir de una palabra clave, y con el bonus de no tener que recordarla.
El funcionamiento es simple, tienes que escribir una palabra clave secreta, señalar para que servicio deseas utilizarla y especificar algunos detalles, como por ejemplo la cantidad de caracteres, qué tipo de combinaciones deseas, entre otros. Ello dará como resultado una clave única basado en la palabra que señalamos y el servicio a utilizar.
Podemos utilizar la misma palabra clave para generar contraseñas a todos los servicios web que utilizamos, ya que irá generando una combinación diferente. De esa manera, si hemos olvidado la contraseña, podemos recurrir a PasswordLive y con solo recordar la palabra secreta podremos tener acceso a todas las contraseñas creadas para los diferentes servicios
Según especifica el equipo de PasswordLive la aplicación se basa en el algoritmo de SHA-256, por lo que prometen generar contraseñas fuertes y seguras, aunque dependerá también de que cada usuario utilice una palabra clave difícil de adivinar.
