Vamos a empezar definiendo lo que es un gestor de contraseñas, que básicamente consiste en un programa que te ayuda a gestionar gran cantidad de credenciales de acceso, su uso es muy sencillo, posee una clave maestra que te permite acceder a todas las contraseñas almacenadas, fomentando que éstas sean complejas y distintas entre si. Es probable además, que aunque todo esto te suene a chino, utilices algún gestor de contraseñas sin darte cuenta, ya que por ejemplo cualquier navegador web posee un gestor integrado, esa típica ventana emergente de ¿quieres guardar la contraseña?.
En caso es que hace un tiempo asistí como oyente a un evento sobre ciberseguridad, y en un momento dado surgió el tema de gestores de contraseñas. Para mi sorpresa, el ponente, que no era tío cualquiera, sino uno que tenía una amplia carrera en una de las grandes tecnológicas, indicó que no veía seguro su uso, desaconsejando su utilización a todos los presentes allí. Básicamente su alegato principal era el peligro de que con una sola contraseña maestra, se pudiera acceder a todas las demás, con el consiguiente miedo a perder o que se hackeara este acceso.
Antes de continuar, reconoceré que utilizo gestores de contraseñas a diario, y que éstos se han convertido en algo imprescindible, especialmente en mi ámbito profesional, con esto dejo patente mi posición inicial.
En todo caso, lo anterior me hizo reflexionar, una especie de debate interno entre si es o no recomendable usar este tipo de herramientas, pensaba especialmente en los argumentos a favor, en contraposición a lo que nos estaba contando el ponente, hasta que en un momento dado me dí cuenta que al menos en mi caso el debate no tenía sentido, es decir, ya no se trata de si es o no recomendable usar un gestor de contraseñas, sino de que no es posible trabajar sin uno, al menos de un modo serio, y eso a pesar de las deficiencias que pueda tener.
Y me explico…
Las normas básicas en cuanto a seguridad de contraseñas es que éstas seas complejas (longitud, caracteres especiales, mayúsculas, minúsculas, números…), y que además no se repitan, es decir, que no utilicemos la misma contraseña para todo, esto segundo relacionado a que si nos roban por ejemplo la contraseña de facebook, el atacante no tenga también acceso a nuestro banco y mil cosas más.
Teniendo en cuenta lo anterior, comenzamos por lo más fácil, ver si es conveniente un gestor de contraseñas a nivel personal, pues vamos a ver, lo normal es que una persona medianamente cercana a la tecnología, tenga una cuenta o varias en Gmail, Hotmail, de cara al smartphone cada marca suele apostar por su cuenta particular de usuario (Apple ID, Xiaomi Mi, Samsung, Huawei…), también necesitamos una contraseña para el banco o bancos con los que trabajamos, otra para tarjetas descuento de diferente tipo: Waylet, TravelClub… también cuentas de acceso on-line a servicios contratados y facturas: Gas, Luz, Agua, Telefonía, también es posible a tiendas on-line: Amazon, Aliexpress, El Corte Inglés, Zara… o a sistemas de comunicación como Telegram, además de que prácticamente cualquier servicio on-line o aplicación de móvil requiere hoy en día de un usuario, desde la app que arrancamos cuando salimos a correr, a la web dónde hemos reservado un hotel o contratado unas vacaciones. Todo, absolutamente todo requiere tener un usuario y contraseña. La pregunta es, podemos poner una contraseña segura y diferente para cada uno de estos servicios y acordarnos de ella? Y la respuesta es clara, totalmente imposible.
Entonces, ¿debemos trasladar todo a un gestor de contraseñas?, pues probablemente no. Entiendo que si utilizas habitualmente Gmail por ejemplo, recuerdes la contraseña, y no necesites apuntarla en ningún lado. Así mismo algo crítico como el acceso al banco, también puedas memorizar. Ahora bien, los mil accesos que tienes para servicios como algunos de los anteriores, o como Uber, Springfield, Dropbox, Renfe, Ryanair, Adobe, Gearbest, Wallapop, Mayoral y más, y más, puedas trasladarlos a un gestor de contraseñas, de modo que puedas tener un acceso seguro e individual para cada uno de ellos.
¿Y a nivel profesional?
Pongo un ejemplo concreto, en mi trabajo tenemos más de 50 servidores, cada uno con una media de 5 contraseñas asociadas (usuario root o administrador, usuarios de los servicios que contenga…), relativo a equipamiento de red, habrá casi 100 dispositivos con un escenario parecido, y luego sumas y sumas: registros on-line para servicios o descarga de software, usuarios en la nube, etc, etc, etc… En resumen, es inviable hacerlo de otro modo, se necesita un gestor de contraseñas.
Para terminar algún dato, compañías como Apple han extendido 1Password entre sus empleados. Aunque como apunte extra, la solución que habitualmente utilizo como gestor de contraseñas es totalmente libre: Keepass.
