La mayoría estamos atrapados por multitud de contraseñas que utilizamos para proteger nuestra vida online. Bastante tenemos con recordarlas para gestionar nuestro acceso a decenas de servicios web. Letras, números, frases largas y complejas que, además, por más que las compliquemos pueden terminar siendo vulneradas por ataques de fuerza bruta. Por eso, ya existen programas de gestión de claves, que automatizan el proceso de guardado.

Hay una gran variedad de productos que van desde los rudimentarias funciones de almacenamiento de claves en la mayoría de los navegadores a productos especializados que sincronizan las claves guardadas en diferentes dispositivos y que cumplimentan los procedimientos de autenticación automáticamente.

Esta opción es muy recomendable, salvo porque concentra el potencial fallo en un solo punto, ya que casi todo depende de una clave maestra que desbloquea todas las demás contraseñas guardadas.

Aspectos a considerar

Los usuarios debentener en cuenta los modelos de seguridad que tienen los gestores de contraseñas que van a utilizar. Por ejemplo, en sistemas basados en la nube que proporcionan acceso online y sincronización es importante comprender cómo almacena el proveedor de servicios nuestros datos en sus servidores y si alguna vez tiene acceso a nuestra contraseña principal.

Algunos proveedores utilizan un sistema de conocimiento cero, es decir, sólo almacenan una copia cifrada de la contraseña en sus servidores y el proceso de descifrado se realiza siempre a nivel local, por lo que nunca se comparte con el proveedor la clave maestra de usuario.

Servicios web como LastPass, Dashlane, 1Password y Mitro, ésta última adquirida por Twitter, utilizan estas implementaciones.

Sin embargo, este modelo no protege de posibles ataques contra la parte del cliente y los atacantes podrían robar claves maestras, infectando el ordenador del usuario con malware tipo keylogger, que registra las pulsaciones que se realizan en el teclado. Por eso, también es importante elegir un gestor de contraseñas que ofrezca autenticación de doble factor.  

Esta forma de autenticación combina algo que sólo conoce el usuario con algo que posee, como un teléfono móvil o un token de seguridad. La aplicación más común de esta medida de seguridad son códigos de un solo uso que se reciben vía mensajes de texto o que son generados mediante aplicaciones móviles especiales como, por ejemplo, Google Authenticator. Por suerte, la mayoría de los servicios de gestión de contraseñas cloud ofrecen ya alguna forma de autenticación de varios factores, pero es bueno comprobarlo antes de elegir uno de ellos.

Por último, muchos de los más grandes servicios online, tipo Facebook y Gmail, ya disponen de autenticación de doble factor propia que, aunque utilicemos un gestor de contraseñas, resulta recomendable activar.