25 de marzo de 2019 | Investigación
  • Compartir:

Así de simple es crear contraseñas seguras

Cualquiera puede utilizar contraseñas seguras, es de lo más sencillo. Y quienes solo pueden memorizar una contraseña complicada, deberían utilizarla para acceder a un gestor de contraseñas, ¡que guarda todas las demás!

Contraseñas seguras

– ¡de lo más sencillo!

zoom

Las estadísticas muestran los hábitos de los usuarios en relación con las contraseñas. Más del 50 por ciento afirma memorizar las contraseñas. Sin embargo, tras esto se esconde una amarga verdad: esto hace que la mayoría de las contraseñas sean bastante simples y que se utilicen las mismas para varios servicios. Solo uno de cada diez utiliza un gestor de contraseñas, que almacena todo de forma segura. Pero, ¿cuál es la manera correcto de hacerlo?

Clasificar las contraseñas según el uso

Una cosa está clara, debe utilizar siempre contraseñas creadas digitalmente para sus accesos. No obstante, tiene que clasificar a dónde va destinada su contraseña.

Una contraseña cualquiera: se suele utilizar para foros o accesos sencillos que no contienen ninguna información sensible, como los datos de la tarjeta de crédito. Para un acceso rápido y en coexistencia con un gestor de contraseñas se recomienda para ello un navegador, como Chrome, Firefox y similares. Así, por ejemplo, el nuevo navegador Chrome reconoce cuando una interfaz solicita que el usuario defina una contraseña. Haciendo clic con el botón derecho del ratón, Chrome sugiere al usuario una contraseña. Si se selecciona dicha contraseña, Google Chrome almacena los datos de acceso, incluida la contraseña. Si los usuarios están registrados en Chrome mediante su cuenta Google, el acceso almacenado estará disponible en todos los dispositivos con Chrome y cuenta Google. La desventaja es que si un extraño tiene acceso a uno de los dispositivos, podrá ver o incluso exportar todas las contraseñas en la configuración de Chrome. Por desgracia, no hay una contraseña maestra. Por lo tanto, Chrome es una ayuda fácil, pero no realmente un gestor de contraseñas o caja fuerte.

Una contraseña segura mediante el gestor de contraseñas

Memorizar contraseñas buenas y seguras para muchas tiendas, servicios o cuentas de canales sociales es imposible. Esto solo funciona usando un gestor de contraseñas. Para un gestor, en principio, solo hace falta una contraseña muy buena. Un buen método para crearla es el siguiente: uno se piensa una frase y memoriza la primera letra de cada palabra, por ejemplo, "Los domingos a las 10:08 voy a pescar!". La contraseña sería: Ldal10:08vap!. Esta contraseña tiene una longitud de 71 bits e, incluso un buen ordenador, necesitaría más de 100 millones de años en calcular los 51 cuatrillones de combinaciones posibles. ¡Utilice una contraseña muy buena de este tipo como contraseña maestra para un gestor de contraseñas! Cuanto más larga sea la frase, más segura la contraseña.

Como gestor de contraseñas hay muchas herramientas buenas a disposición. Un programa gratuito para ordenadores de sobremesa muy popular es, por ejemplo, el software open source KeePass. Además de la versión para Windows, hay otras versiones para Mac, iOS, Android y otros muchos sistemas. La desventaja de KeePass es que el archivo de contraseñas encriptado con un alto grado de cifrado se tiene que almacenar también en una memoria en la nube para que todos los sistemas puedan acceder a él. Esto requiere algunos conocimientos especializados y trabajo de configuración.

KeePass para Windows

Este gestor de contraseñas de fuente abierta está disponible para muchas plataformas

zoom ico
Norton Password Manager

Esta herramienta se puede utilizar ahora de forma gratuita creando una cuenta de Norton

zoom ico
F-Secure Key

Este gestor de contraseñas almacena los datos en los dispositivos y solo sustituye los cambios a través de la nube de F-Secure

zoom ico
Kaspersky Password Manager

Esta herramienta se puede comprar por separado o utilizarse como parte del paquete de seguridad Total Security

zoom ico
TwoFactorAuth.org

Esta página web pone a disposición mucha información sobre la autenticación de dos factores de cientos de servicios web

zoom ico

1

KeePass para Windows

2

Norton Password Manager

3

F-Secure Key

4

Kaspersky Password Manager

5

TwoFactorAuth.org

Gestores de contraseñas en la nube y comerciales

Quien desee utilizar automáticamente el gestor de contraseñas de forma centralizada puede recurrir, por ejemplo, al gratuito servicio básico de LastPass. Con él se pueden administrar cómodamente los datos de acceso, junto con todas las contraseñas, y utilizarlos en numerosas plataformas y dispositivos mediante software y aplicaciones. No obstante, algunos expertos en seguridad critican que los servicios de contraseñas son atacados una y otra vez. La alternativa son los gestores de contraseñas de fabricantes de software de seguridad.

Muchas suites de seguridad en Internet incluyen en su versión más amplia un gestor de contraseñas. Así es, por ejemplo, en el caso de Kaspersky o Symantec. Por supuesto, los fabricantes también ofrecen las cajas fuertes de contraseñas como productos individuales. Ejemplos de ello son F-Secure Key o McAfee True Key. Desde hace relativamente poco y de forma gratuita se puede utilizar también el Norton Password Manager. Este programa está disponible para Windows, Mac, iOS y Android. Symantec almacena los datos encriptados en la nube.

Autenticación de dos factores para mayor seguridad

Con ayuda de la autenticación de dos factores, o abreviado 2FA, se aseguran las contraseñas con un segundo bloqueo. Por regla general, un usuario inicia una sesión con una contraseña y se le solicita un segundo código. Para la segunda solicitud, el sistema envía un código generado, normalmente, a un móvil definido previamente. Si el usuario introduce dicho código, supera el segundo bloqueo y se iniciará la sesión.

Este sistema tiene dos ventajas: la contraseña en sí no tiene que ser muy potente ya que está asegurada mediante un segundo dispositivo. Un atacante tendría que tener en su poder, por lo tanto, tanto la contraseña como el móvil. Muchos servicios online ofrecen entretanto una autenticación de dos factores. Por desgracia, no es fácil responder a la pregunta de cómo y dónde se activa la 2FA. A ello ayuda la página web TwoFactorAuth.org con una vista general de muchos servicios de Internet y cómo activar para ellos la 2FA. Si cuenta con esta posibilidad, cada servicio en línea hace referencia a la documentación y cómo se puede activar la 2FA: por SMS, llamada telefónica, correo electrónico o token de hardware o software.

La autenticación de dos factores protege mejor

Maik Morgenstern
Maik Morgenstern
CTO de AV-TEST GmbH

Como ya explica el artículo, la protección extensa con una autenticación de dos factores (2FA) es una buena idea.

Sin embargo, los usuarios no deberían utilizar solo un dispositivo, por ejemplo, el teléfono móvil, para el acceso y como segundo factor. Esto reduciría a su vez la seguridad, ya que accediendo al móvil se podrían abrir todas las puertas. Lo mejor es combinarlo con un ordenador o una tableta. Por lo general, para la 2FA, un nuevo dispositivo, solo se tiene que registrar una vez con ambos factores. Dropbox, por ejemplo, memoriza el dispositivo y su ID de hardware. En las cuentas relacionadas, por ejemplo, con dinero o transferencias, se utiliza continuamente la 2FA para iniciar sesión. Si se inicia sesión, por ejemplo, en una tableta, por lo general, se envía un SMS con un código al teléfono móvil.

Para algunas cuentas bancarias o bursátiles, la cuenta se tiene que confirmar necesariamente con una aplicación de autenticación para el uso de la 2FA. A menudo se recomienda para ello la aplicación Google Authenticator. El manejo de la aplicación es sencillo. En ella simplemente se crea una nueva cuenta. Por lo general, el proveedor muestra a continuación un código QR, que transmite el resto de la configuración. Después, la aplicación muestra un código numérico de 6 cifras que cambia cada 30 segundos. Para iniciar con éxito una sesión se tiene que introducir adicionalmente este código en el espacio determinado de tiempo. Pero, atención, los datos del Google Authenticator solo se almacenan en el móvil y no en la cuenta de Google. Si el móvil se estropea o se pierde, ya no se pueden utilizar las claves. Si se hace uso del Google Authenticator (u otra aplicación de autenticación) dentro de un servicio para la 2FA, se muestran siempre una serie de códigos de emergencia. Con estos, el usuario también puede acceder a su cuenta. ¡Estos códigos de emergencia se deben guardar siempre en una caja fuerte de contraseñas!

Social Media

¡Nos gustaría mantenernos en contacto con usted! Reciba de manera sencilla y periódica las noticias actuales y las publicaciones sobre pruebas.