Gestor de contraseñas: ¿herramienta segura o vulnerable?

Seamos realistas: las contraseñas no son sólo un incordio, encima ni siquiera logran ser seguras. El ciudadano medio tiene docenas de combinaciones de nombre de usuario y contraseña que debe recordar y muchos llegan a acumular cientos de combinaciones que no utilizan. Es imposible recordarlas todas, y ese es un gran motivo para que la gente confíe en la misma contraseña, una y otra vez.

Suerte que hoy disponemos de gestores de contraseñas muy populares, como MyPasswords, LastPass, Keeper, Dashlane, 1Password y otros. Sin duda, todos tienen ventajas e inconvenientes. En teoría, están pensados para ser una forma segura de almacenar y crear contraseñas seguras, notas privadas, datos de tarjetas de crédito y cuentas corrientes, así como para rellenar formularios Web, entre otras tareas seguras.

Sin ellos sería casi imposible recordar todas las claves necesarias para estar seguros. La mayoría de nosotros no nos ponemos a crear y gestionar credenciales seguras y solemos reutilizar las mismas combinaciones de nombre de usuario y contraseña, una y otra vez, lo que claramente aumenta nuestro riesgo.

Lo mejor de los gestores de contraseñas es que reducen la debilidad a un único punto. Literalmente, son la llave del castillo. En este entorno, la seguridad de las aplicaciones se vuelve crítica, pero desafortunadamente, la seguridad se pone en duda constantemente.

Por ejemplo, hace unas semanas, el grupo de investigación de seguridad TeamSIK identificó vulnerabilidades críticas en los gestores de contraseñas Android, 1Password, Dashlane, LastPass y en otros. “Algunas aplicaciones almacenaron la contraseña maestra, introducida en texto sin formato, o implementaron claves de cifrado muy pesadas en el código del programa. En consecuencia, los atacantes podían fácilmente eludir el algoritmo de cifrado general y, por tanto, tener acceso a todos los datos del usuario. “En otros casos, se puede acceder fácilmente a todas las contraseñas y credenciales protegidas de forma segura, con la ayuda de una aplicación adicional”, según publicó el mismo equipo de TeamSIK en su blog.

Algunos de los fabricantes de gestores de contraseñas no se han tomado la noticia al pairo y, por ejemplo, Agilebits, creador de 1Password, que siempre ha tenido un programa de recompensas para detectar fallos de su sistema, lo acaba de aumentar de 25.000 a 100.000 dólares.

“Creemos haber diseñado y construido un sistema de gestión de contraseñas extremadamente seguro. No lo estaríamos ofreciendo a la gente si no fuera así. Pero sabemos que nosotros – como todos los demás – podemos tener puntos vulnerables. Por eso, alentamos a todos a buscar  fallos de seguridad.  Acabamos de elevar ese estímulo a la mayor cifra nuca ofrecida en este programa de incentivos”, señala la compañía en su blog.

“Nuestro premio máximo se destina a obtener y descifrar algún gran fallo (en especial, el relacionado con el horrible haiku) que se aloje en el entorno seguro 1Password, donde no debería entrar nadie. Por eso, aumentamos la recompensa”, se asegura en el blog.

Eso ciertamente va a captar la atención de muchos. Tal vez alguien sea capaz de encontrar un fallo, o tal vez no. Pero, al intentar romper la aplicación para entrar en contenido oculto, pueden encontrar otros defectos que se le escaparon al equipo de desarrollo de Agilebits.

De todas formas, cuantos más ojos busquen los defectos mejor, y todo lo que los gestores de contraseñas contribuyan para seguir mejorando la seguridad de las aplicaciones será bienvenido.


Autor: George V. Hulme

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s

%d bloggers like this: