Contraseñas, frases de contraseña y almacenamiento seguro de credenciales
Empecemos por los aspectos básicos. ¿Qué son las contraseñas y para qué sirven? En los escenarios que estamos analizando, una contraseña es un término secreto que sirve para demostrar que es el propietario del nombre de usuario con el que va a iniciar sesión en un servicio. Un nombre de usuario por sí solo, sin ninguna contraseña, no es suficiente para acceder a una cuenta.
¿Qué son las credenciales?
Las credenciales son la combinación de un nombre de usuario y una contraseña. El nombre de usuario es el identificador de su cuenta de usuario, por ejemplo, su dirección de correo electrónico o el nombre que ha elegido. La contraseña es la parte secreta de las credenciales.
En algunas cuentas se puede crear un nombre de usuario especial, distinto de la dirección de correo electrónico. En otras, puede ser obligatorio utilizar una dirección de correo electrónico personal. En cualquier caso, no es necesario que el nombre de usuario sea secreto, pero la contraseña sí.
¿Cuán secretas son sus contraseñas?
Muchas contraseñas no son tan secretas como los usuarios creen. Miles de millones de combinaciones de nombre de usuario y contraseña están actualmente en venta, pero todavía hay más disponibles de forma gratuita, que proceden de vulneraciones anteriores. Todos los años se producen miles de vulneraciones, que dejan expuestos todo tipo de datos personales, junto con información de la cuenta que a menudo incluye nombres de usuario y contraseñas.
¿Qué es una vulneración de datos y por qué debe preocuparle? Una vulneración de datos es el robo de información que no debería ser pública. Esto suele ocurrir cuando un hacker aprovecha los errores de un sistema de seguridad o simplemente se queda con los datos expuestos accidentalmente por una empresa en una base de datos sin tener activada ninguna configuración de seguridad. Esa información se puede usar para el robo de identidad, chantaje, acoso y otros delitos.
Un atacante incluso puede usar una cuenta a la que no presta atención, por ejemplo, una cuenta de correo electrónico que ya no usa, para hacerse pasar por usted. El atacante podría enviar un correo electrónico con malware a sus contactos o registrarse en otras cuentas con su nombre. Las cuentas robadas se pueden usar de muchas formas fraudulentas.
Sugerencia
Puede visitar HaveIBeenPwned para ver si alguna de sus cuentas se ha filtrado en alguna de las miles de vulneraciones de datos públicas. Incluso puede comprobar sus contraseñas antiguas para ver si han sido expuestas por una vulneración.
Si su información se muestra aquí, no se preocupe. Solo debe cambiar las contraseñas en las cuenta indicadas y guardar sus nuevos términos secretos en un administrador de contraseñas (hablaremos de ello en breve).
¿Por qué no es suficiente tener una buena contraseña?
Como ha visto, es fácil suponer que parte de sus datos ya han sido robados o filtrados. Si usa la misma contraseña en más de un servicio o sitio web, un atacante puede volver a usar esa contraseña robada para acceder a otras cuentas y datos suyos.
Si usa contraseñas diferentes en cada una de las cuentas y le roban la contraseña de una de ellas, solo esa estará en peligro. En ese caso, solo tendrá que restablecer una contraseña para volver a proteger la cuenta. De lo contrario, si usara la misma contraseña en muchas cuentas diferentes, tendría que cambiarla en todas ellas cada vez que se produjera una vulneración de datos. Así es cómo las contraseñas únicas le permiten ahorrar tiempo.
Pero, ¿cómo se puede recordar una contraseña diferente para cada cuenta? ¿Y si tiene decenas o cientos de cuentas? ¿Cómo puede proteger todas esas contraseñas de forma segura? Estas son algunas opciones:
- Escribirlas en un cuaderno y guardarlo en una caja fuerte. Este es un método seguro porque los hackers normalmente no pueden acceder físicamente a su caja fuerte y abrirla.
- Usar un administrador de contraseñas. Este es un método seguro porque los administradores de contraseñas están diseñados únicamente para almacenar contraseñas. Un administrador de contraseñas solo se puede abrir con una clave (la contraseña o frase de contraseña secreta) que solo conoce su propietario. Los administradores de contraseñas también son prácticos, para fomentar que se utilicen.
Como guardar un cuaderno de contraseñas en una caja fuerte no es un método práctico, el administrador de contraseñas es la mejor opción para la mayoría de los usuarios que tienen un equipo o smartphone. El administrador de contraseñas es la opción más segura si se usa con prudencia. En este caso, con prudencia significa que debe:
- Usar una frase de contraseña en lugar de una contraseña breve.
- Usar la autenticación multifactor para protegerla todavía más.
Más adelante hablaremos de la autenticación multifactor en esta formación.
¿Qué es mejor que una contraseña?
¿Qué es una frase de contraseña y en qué se diferencia de una contraseña?
Anteriormente, se consideraba que una contraseña segura estaba formada por ocho caracteres. Los caracteres tenían que incluir, como mínimo, un carácter en mayúscula, un número y un carácter especial, como !, :, @, *, $ o #. Como consecuencia de esta recomendación, se empezaron a usar contraseñas que los hackers podían descifrar fácilmente y que a los usuarios les costaba recordar. Los usuarios solían crear las contraseñas más simples posibles que cumplieran con esas reglas. Y, para más inri, a menudo reutilizaban esas contraseñas poco seguras en otras cuentas.
Un ejemplo conocido es usar como contraseña el término inglés “password” modificado: Pa$$w0rd. Cumple todos los requisitos, pero se sitúa en los primeros puestos de la lista de las 1000 contraseñas más usadas. Los hackers también tienen acceso a otras listas de contraseñas (por ejemplo, la del millón de contraseñas más usadas), que solo deben vincular con su software de descifrado de contraseñas.
Si cree que su contraseña no se ha usado nunca antes, debe saber que existen herramientas para iniciar un ataque por fuerza bruta. Este tipo de ataque intenta todas las combinaciones de caracteres para adivinar una contraseña. Los equipos pueden adivinarla fácilmente, por lo que no dé por hecho que su contraseña es imposible de descifrar.
Sugerencia
Cualquier contraseña o frase de contraseña debe tener una longitud mínima de 15 caracteres. Este número es fácil de conseguir con una frase de contraseña, especialmente si usa cinco palabras.
Crear una contraseña o frase de contraseña segura y compleja
¿Qué es mejor que cualquier contraseña corta y complicada? Una contraseña larga y complicada. Lamentablemente, estas suelen ser difíciles de escribir y recordar.
En cambio, una frase de contraseña es más fácil de escribir y recordar. Una frase de contraseña se crea utilizando varias palabras elegidas al azar en lugar de una contraseña compleja. Un ejemplo clásico es "correct horse battery staple", inmortalizado en el cómico web XKCD #936.
En este ejemplo del cómic vemos que es mucho más fácil para un equipo adivinar una contraseña corta y de aspecto complicado que un conjunto más largo de palabras fáciles de recordar. Las palabras de la frase de contraseña son mucho más fáciles de recordar que un término largo y complicado.
¿Cómo puede crear su propia frase de contraseña? Una forma fácil es usar el nombre de cuatro objetos que estén presentes en el lugar donde se encuentra. Después, agregue una quinta palabra, en alguna de las posiciones centrales, que represente algo único para usted. Ha creado una frase de contraseña fantástica.
Pongamos, por ejemplo: altavoz tarjeta reciclable antena pladur. Si usa una frase de contraseña como esta para proteger el administrador de contraseñas (cree una propia y no use la de este ejemplo), puede dar por sentada su seguridad. Si agrega otra palabra o una combinación de números u otros caracteres, todavía aumentará más su seguridad. Si conoce alguna palabra en otro idioma, también puede usarla.
Cuando haya creado una frase de contraseña con sus propias palabras y todas sus cuentas tengan contraseñas o frases de contraseña diferentes y complicadas, ¿qué debe hacer? ¿Cómo puede mantener el registro de todas ellas de forma cómoda y conservando su seguridad?
¡Administradores de contraseñas al rescate!
En la última década, los administradores de contraseñas han mejorado para que sea más fácil y cómodo proteger sus cuentas sin tener que memorizar todas sus contraseñas. Un administrador de contraseñas es un programa que custodia todas sus contraseñas hasta que las necesita, de forma similar a una caja de seguridad.
Puede acceder a ellas utilizando una frase de contraseña fácil de recordar y difícil de descifrar. Además, los administradores de contraseñas cifran los datos, para que no se puedan usar si no se dispone de la clave para descifrarlos (desbloquearlos).
En primer lugar, tendrá que encontrar un administrador de contraseñas de confianza. A continuación encontrará cuatro administradores de contraseñas conocidos, prácticos y muy bien valorados. que funcionan en todos los exploradores, en Windows, en macOS y en la mayoría de los smartphones.
- 1Password
- LastPass
- Dashlane
- Bitwarden
Todos ellos, excepto 1Password, tienen planes gratuitos que puede usar indefinidamente. En el momento de redactar este artículo, 1Password ofrece una evaluación gratuita durante solo 14 días.
Para probar cualquiera de estos administradores de contraseñas, descargue el programa en su equipo o smartphone y pruébelo. Puede usarlos todos, a excepción de 1Password, de forma gratuita y sin proporcionar ninguna tarjeta de crédito. La mayoría de ellos tiene características adicionales disponibles previo pago de una cuota.
También debe considerar la posibilidad de instalar la extensión del navegador del administrador de contraseñas (el programa que se ejecuta en el explorador de Internet). Estas extensiones hacen que sea más práctico iniciar sesión en línea mientras usa ese explorador, al mismo tiempo que mantiene la seguridad.
¿Qué debe hacer después de instalar un administrador de contraseñas?
Ahora que tiene un administrador de contraseñas, debe cambiar todas las contraseñas básicas o reutilizadas por otras más complejas (largas y distintas las unas de las otras). Asegúrese también de no usar la misma para más de una cuenta. Puede aprovechar este proceso de actualización para cambiar todas las contraseñas y agregar las cuentas al administrador de contraseñas.
Algunos administradores de contraseñas generan contraseñas largas y complejas mientras usted realiza cambios. Los buenos administradores de contraseñas también registran automáticamente las contraseñas nuevas o modificadas para que no tenga que escribirlas dos veces.
Ahora que tiene las cuentas y contraseñas guardadas de forma segura, podrá ver y administrar la información de inicio de sesión desde un solo lugar. Puede agregar y almacenar otra información confidencial, como direcciones, números de tarjetas de crédito o el número de pasaporte.
Así ganará en comodidad. Por ejemplo, al visitar un sitio web, el administrador de contraseñas puede rellenar automáticamente su nombre de usuario y contraseña. Siempre que lo desbloquee con la frase de contraseña, podrá iniciar sesión automáticamente en sus otras cuentas. Si le preocupa que otra persona use su administrador de contraseñas cuando se aleje del equipo, puede configurarlo para que se bloquee automáticamente después del período de tiempo que decida.
Cuando haya terminado de usar sus cuentas en línea, puede cerrar o bloquear el administrador de contraseñas. Así se asegurará de que las contraseñas no están disponibles para las otras personas con las que pueda compartir el equipo.
Sugerencia
No es necesario que introduzca todas las contraseñas o frases de contraseña en el administrador de contraseñas. Puede guardarse algunas para usted o escribirlas en un papel y almacenarlo en una caja fuerte o de seguridad. Solo tiene que asegurarse de que todas las contraseñas o frases de contraseña que use sean largas y difíciles de descifrar.
Más razones para utilizar un administrador de contraseñas
Una de las ventajas de los administradores de contraseñas es que le permiten tener los datos sincronizados de forma segura en varios dispositivos. Por ejemplo, si actualiza una contraseña en el portátil, también se actualizará en la aplicación del teléfono. Cuando inicie sesión en esa cuenta actualizada desde el teléfono, se usará la contraseña actualizada.
Si le preocupa la seguridad de los datos almacenados, también debe saber que nadie puede acceder a los datos almacenados en los administradores de contraseñas que hemos recomendado anteriormente si no conoce la frase de contraseña. Ni siquiera las empresas que crean esos administradores de contraseñas recomendados conocen su frase de contraseña; es así por diseño. Como nadie más la sabe, tiene una mayor protección.
Sugerencia
No le interesa no poder entrar en el administrador de contraseñas, especialmente porque ahora sus contraseñas no se reutilizan y son largas y variadas. Si no tiene el convencimiento de poder recordar la nueva frase de contraseña, escríbala en un papel y guárdelo en un lugar seguro. Cuando vea que la recuerda sin problemas, destruya el papel. Mientras tanto, tiene un plan alternativo para acceder a sus contraseñas.
Los administradores de contraseñas también pueden permitirle compartir algunas de sus contraseñas con miembros de la familia sin tener que compartir la frase de contraseña principal. También puede proporcionar una opción de acceso de emergencia a toda la información protegida a un miembro de la familia de confianza si quiere un plan alternativo.
Los administradores de contraseñas son cómodos, seguros y fáciles de usar. Y hacen la mayor parte del trabajo por usted. Únicamente tiene que agregar sus cuentas una sola vez. Después, solo tendrá que recordar la frase de contraseña para poder acceder a todas sus contraseñas.