Contraseñas y KeePass

Todos necesitamos un gestor de contraseñas. Es algo que aprendí hace muchos años, después de registrarme en muchísimos sitios con unas prácticas respecto a mis contraseñas bastante dudosas. Hoy os vengo a hablar de esto: contraseñas y sistemas de creación y gestión.

Mi historia con las contraseñas

Desde que estoy en internet me he registrado en tal cantidad de sitios que nunca intenté contarlos. Los foros antes y los servicios web hoy siempre han sido parte de mi día a día.

Esto supone varios problemas, todos ellos derivados de que era joven y nadie me había formado nunca en el uso de las contraseñas. La ventaja es que, al menos, contaba con unas contraseñas bastante raras.

El caso es que llegó un momento, hace ya varios años (unos cinco o así) que me di a la tarea (a la que vuelvo cada poco) de hacer limpieza digital: me borré de sitios que ya no visitaba, servicios que no usaba, puse contraseñas generadas automáticamente en los sitios que menos visitaba y fortalecí contraseñas siguiendo una técnica muy simple que leí en algún lugar para generar contraseñas fuertes pero recordables.

Un sistema de creación de contraseñas

Pongamos que tú tienes una palabra que uses siempre como contraseña. Por ejemplo: estropajo. La adornamos un poco para que no sea tan sencilla: Estropaj0.

Luego elegimos un símbolo intermedio (por ejemplo, :) y, por último, algún recordatorio del servicio o web en el que nos estemos registrando. Pongamos por caso un foro de literatura y elegimos letras. La podemos adornar un poco con alguna mayúscula o símbolo.

La contraseña, por tanto, podría quedar como Estropaj0:letr4s. Es una contraseña recordable, de 16 caracteres y que mezcla números, letras y símbolos, por lo que va a ser bastante difícil de romper.

Este sistema, evidentemente, aplica a servicios donde no tengamos una información demasiado sensible, sitios que no nos importa demasiado que nos rompan puesto que, al final, por más sistema que sea, si dan con nuestra palabra base pueden romper más contraseñas.

Para redes sociales con información más delicada, nubes personales, servicios de correo, cifrado del gestor de contraseñas y todo aquello donde tengamos información realmente sensible, conviene tener otra contraseña, diferente para cada uno de ellos, y no guardarlas en ningún tipo de gestor.

Gestores de contraseñas

Para generar esas contraseñas para los sitios que apenas visito y para recordar todas las demás, como dije, hice uso de un gestor de contraseñas. Al principio usé LastPass en su versión gratuita, luego me fui a KeePassX (del que hablaré ahora), y cuando me compré el Mac volví a LastPass, esta vez en su versión de pago, simplemente porque quería sincronización entre aparatos.

Pero resulta que las empresas hacen con su producto lo que ellas quieran, y hace poco anunciaron que va a pasar de costar 25€ al año a costar 37. Me niego a pagar tanto, sabiendo como sé que hay alternativas. Por otro lado, al ser un servicio en la nube, dedicado exclusivamente a las contraseñas, puede ser comprometido.

Ante esta situación he vuelto a investigar sobre gestores de contraseñas, y esto es solo una pequeña muestra de lo que me encontré:

  • Empass
  • Clipperz
  • Passman, que se aloja en un servidor Nextcloud (OwnCube lo tiene).
  • NoMorePass, que guarda las contraseñas en el móvil (muy interesante).
  • 1Password (lo he visto recomendado muchísimas veces)
  • Bitwarden, software libre y con posibilidad de auto alojarse (casi me quedo con él).

Después de estar un tiempo investigando y valorando, al final… volví a KeePass, en esta ocasión con KeePassXC.

KeePass y derivados

KeePass es un gestor de contraseñas para Windows. Si no me equivoco está disponible para Linux y para Mac, pero en dichas plataformas utiliza la tecnología Mono, algo que nunca ha sido santo de mi devoción.

En las distribuciones GNU/Linux que yo usaba tenían disponible un fork, KeePassX, que fue el que yo instalé y usé. Basado en Qt4, cumplía con su función perfectamente.

Tanto KeePass como KeePassX manejaban el mismo tipo de archivo, que contenía las contraseñas cifradas con una clave. Es el formato que se sigue usando hoy, aunque actualizado, ya sea KeePass o alguno de sus derivados.

Resulta que KeePassX parece discontinuado, puesto que su última versión fue en 2016, y ha surgido un proyecto derivado llamado KeePassXC. En esencia hacen lo mismo, pero ha añadido una función nueva: compatibilidad con el navegador con KeePassXC-browser, dejando de lado la tecnología KeePassHTTP anterior, que al parecer era bastante insegura.

El archivo cifrado con la base de datos de contraseñas puede moverse a cualquier sitio, lo cual nos permite ponerlo en algún servicio en la nube y sincronizar con algún programa compatible en nuestro portátil o cualquier otro dispositivo móvil.

Interludio: la incongruencia

Pero vamos a ver, Adrián, alma de cántaro… si dices que no te fías de LastPass porque es un servicio web, ¿cómo dices ahora que vas a poner tu archivo de contraseñas en una nube?

Es una pregunta lógica y normal, y una incongruencia más que sumar a mi larga lista. Pero puedo justificarme, o al menos intentarlo.

Si alguien va a atacar LastPass, lo va a hacer sabiendo que es un servicio para alojar contraseñas. Es más probable que un servicio de este estilo sea atacado para conseguir las contraseñas a que vayan a buscar claves a una nube cualquiera.

Por otro lado, pienso que la seguridad tampoco es cosa de chiste, puesto que por una parte las nubes tienen su seguridad (identificación en dos pasos y lo que añadan) más la contraseña de la base de datos en sí.

De todos modos, si vienen a fastidiarme lo van a conseguir, así que no veo mayor problema en tener un archivo de contraseñas sincronizado en una nube personal. Si pasa algo, se borra o se mueve. Y por supuesto no guardo las contraseñas más sensibles en el gestor, como he dicho antes.

KeePass en el navegador

Ya he esbozado algo anteriormente a este respecto. En los tiempos en los que usaba KeePassX, este programa ni siquiera tenía implementado KeePassHTTP, y ya entonces me enteré de que no era demasiado seguro. Me acostumbré a tener el archivo de contraseñas en el ordenador y copiar y pegar usuario y contraseña cuando lo necesitaba.

Hoy en día la cuestión ha cambiado, y se han lanzado nuevas opciones para conectar el navegador de internet con nuestro gestor de contraseñas.

El primero y obvio es KeePassXC-browser. Esta extensión requiere tener el programa abierto y con la base de datos desbloqueada para tener acceso a las contraseñas, con lo cual ganamos en seguridad. Una vez configurado (un proceso sencillo pero que requiere algún paso) la extensión nos mostrará las contraseñas disponibles conforme visitemos sitios.

Otra extensión, la que a mí personalmente me ha cautivado, es KeePass Tusk. Esta sigue el modo de trabajo expuesto anteriormente de subir la base de datos a alguna nube: la extensión toma el archivo desde allí y no nos permite hacer modificaciones, simplemente la lee. El posible problema es que no sugiere: siempre tenemos que irnos al icono de la extensión para que nos diga qué contraseñas hay. Para mi uso actual merece la pena para no tener KeePassXC siempre abierto, algo que veo innecesario.

Hay muchísimas más, pero os recomendaría que evitarais esas extensiones que utilicen KeePassHTTP porque, como ya dije, es menos seguro y a día de hoy parece descontinuado. Las extensiones más interesantes son las dos que he descrito: solo tenemos que decidir qué forma de trabajar preferimos, si subirlo a la nube o trabajar en local.

KeePass en dispositivos móviles

Si tenemos un portátil con Windows, macOS o Linux, evidentemente podemos usar KeePass o KeePassXC sin mayores problemas. Pero la cosa se pone interesante cuando se trata de dispositivos móviles.

Hay multitud de programas compatibles con KeePass, basta con echar un vistazo rápido en cualquier tienda de aplicaciones que tengamos. La mayoría si no todas nos permitirán crear una archivo de contraseñas directamente en el dispositivo, pero yo creo que lo más interesante es poder sincronizarla entre aparatos.

Aunque yo ya no uso Android, me han llegado referencias de KeePass2Android. Permite crear una base de datos en el dispositivo o sincronizarla usando varias nubes predefinidas, FTP y alguna opción más. También soporte OTP, una opción integrada en KeePass que yo no he probado.

En iOS, terreno en el que me muevo ahora mismo, tenemos KyPass. Es de pago, pero es de largo la opción más completa de las que he visto. Permite tomar el archivo de contraseñas de diferentes nubes, WebDAV o SFTP. Una vez detecte el archivo de base de datos, lo podemos proteger con un PIN o con el sistema de identificación de nuestro cacharro. También se integra con el teclado de iOS 12 para rellenar contraseñas automáticamente.

Con estos programas podemos tener nuestras contraseñas en todos nuestros dispositivos y olvidarnos de pagar una cuota mensual más para conseguir exactamente lo mismo, aunque la seguridad puede ser menor, como ya he dicho.

Autentificación en dos pasos

Antes he mencionado que KeePass2Andorid tiene OTP. Para quienes no lo conozcan, esta siglas corresponden a One Time Password, y forman parte de la Autentificación en 2 Pasos (2FA, 2 Factor Authentication).

La idea de este sistema es fortalecer la autentificación uniendo algo que sabes (la contraseña) y algo que tienes (otro dispositivo móvil que te entregue una contraseña temporal de un solo uso).

Es el hecho de tener otro dispositivo lo que me tira para atrás al usar OTP en KeePass. Si comprometen esa base de datos podrán entrar tranquilamente en los servicios donde tengo activada esta autentificación, que son los más sensibles.

Yo prefiero seguir con la filosofía original de la tecnología y tener esas claves en un aparato aparte (concretamente, mi móvil), por lo que no uso Authy para sincronizar nada. En iOS he optado por OTP Auth, en Android usaba FreeOTP.

Cerrando

No soy ningún experto en seguridad, pero creo (solo creo) que esta forma de gestionar las contraseñas es lo bastante segura como para estar relativamente tranquilos (muy mala suerte sería que nos tumbaran la nube y consiguieran descifrar el archivo de contraseñas) y cómoda para usarla allá donde estemos, ya sea en nuestro escritorio, integradas con el navegador, o en nuestro dispositivo móvil.

Realmente creo que, si tenemos un buen método para generar contraseñas y un gestor para guardarlas, cualquier sistema nos puede servir, siempre que tengan una opción para exportar las contraseñas si queremos moverlas a otro sitio.

Personalmente prefiero controlar yo el archivo de contraseñas y decidir dónde ponerlo, y KeePass tiene ya la trayectoria necesaria para que su archivo de contraseñas siga siendo compatible con muchos programas por más que pase el tiempo, conviertiéndola así en esa tecnología perdurable de la que hablaba hace tiempo.

Imagen: Pixabay

Categorías:

Una respuesta

  1. […] gestor de contraseñas que lee (solo lee) una base de datos de KeePass (en mi caso uso KeePassXC, como ya conté) que tengas subida a alguna nube. La ventaja respecto a KeePassXC-browser es que esta no requiere […]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *