He empezado a usar un Password Manager (BitWarden)

Deavid

Buenas! Hace mucho que no posteo por mi cuenta aquí, pero recién escribí un artículo en el blog y como parece que puede seros de interés, lo paso por aquí y os doy un resumen en español (el artículo es en inglés) y algunos consejos más apropiados para la gente que suele pasarse por el foro.

El artículo original lo podéis leer aquí:
https://deavid.wordpress.com/2021/10/10/i-started-using-a-password-manager-bitwarden-and-you-should-too/

Google ofrece una traducción automática al español:
https://deavid-wordpress-com.translate.goog/2021/10/10/i-started-using-a-password-manager-bitwarden-and-you-should-too/?_x_tr_sl=en&_x_tr_tl=es&_x_tr_hl=en-GB&_x_tr_pto=nui

Y el hilo en Twitter por si os interesa:
https://twitter.com/deavidsedice/status/1447146676314124288

Añadiré más cosas en comentarios a este hilo.

Deavid · Publicado: Dom Oct 10, 2021 4:56 pm **Asunto**:

Primero de todo, ¿qué es un "Password Manager"?

Traducido al español sería un Gestor de Contraseñas. Su objetivo es que en vez de tener que memorizar todas las contraseñas de cada web, las podemos guardar todas en un único sitio para que no se nos olviden.

Esto, a muchos, igual que a mí hasta hace poco os parecerá que es un riesgo, que el tener todas las contraseñas en un mismo sitio y encima subidas a un servidor en la nube hace que alguien pueda atacar esa base de datos y hacerse no con una, sino con todas las contraseñas, nombres de usuario y de todo.

El temor no es para nada infundado. Un gestor de contraseñas mal implementado es terriblemente peligroso. Por eso mismo me pasé un par de días investigando para ver si realmente cumplían con los estándares de seguridad que se necesitan para algo así. Pero claro, no puedo, ni tengo tiempo para analizar diferentes productos, así que escogí uno que me gustó inicialmente y revisé a fondo la documentación que tienen.

La conclusión que saco, es que BitWarden tiene un estándar de seguridad altísimo, muy complicado de mejorar y que aunque las bases de datos de contraseñas acaben publicadas, son prácticamente imposibles de descifrar sin la contraseña. A no ser que la contraseña se haya filtrado con anterioridad, o que sea muy débil, parece que incluso con una contraseña de nivel "medio" tiene suficiente protección para que se necesite una cantidad de dinero/recursos ingente para hacerse con el contenido de una cartera de contraseñas. Con una contraseña buena, me parece casi imposible que a nivel gubernamental se pueda romper.

No he podido mirar mucho los otros, pero la sensación que me dan es que todos los Password Managers recomendados por otras webs tienen un nivel de seguridad muy similar (sea un poco mejor o un poco peor) a BitWarden, por lo que creo que cualquier programa de estos es perfectamente viable y no supone ningún riesgo adicional; siempre y cuando encontréis que están recomendados por terceros.

La razón por la que me decanté por BitWarden es que es software libre, por lo que todo el código que usan, tanto en cliente como en servidor está disponible y es auditable. KeePass también es software libre, pero no parece tener soporte para guardar en Cloud, por lo que sincronizar entre dispositivos será más complicado.

BitWarden tiene auditorías regularmente, y esto parece ser habitual con los demás también, pero no he ido a comprobarlo.

Deavid · Publicado: Dom Oct 10, 2021 5:04 pm **Asunto**:

La ventaja real de usar un Password Manager no es realmente acordarse de las contraseñas, sino de la posibilidad a la práctica de tener una contraseña aleatoria, imposible de descifrar, que es única para cada web que usamos.

Esto hace que cuando un grupo de hackers entra a una web y se hace con las contraseñas de los usuarios no nos veamos casi afectados:

* Al ser la contraseña aleatoria, los hackers lo tienen muy difícil para descifrarla, aún cuando han hackeado la web.
* Al ser una contraseña única para esa web en particular, no hay peligro de que los hackers usen esa misma contraseña para acceder a otras cuentas nuestras que son más delicadas (Google, PayPal, cuentas de banco, Amazon...)

Es por eso que los Password Managers son tan interesantes! Van a reducir muchísimo la posibilidad de que nos entren a nuestras cuentas.

Todo esto lo empecé a mirar a raíz del leak de Twitch, donde parece que se consiguieron descargar Twitch entero. Increíble.

Deavid · Publicado: Dom Oct 10, 2021 5:10 pm **Asunto**:

Los passowrd managers en su mayoría son o gratuitos o tienen un nivel gratis que es suficiente para particulares.

Luego suelen tener algunos niveles de pago para ciertas funciones de pago, como por ejemplo que te avisen si alguna de tus contraseñas se ha visto comprometida, o usar YubiKeys (llaves USB para 2FA, autenticación en dos pasos/de dos factores)

Incluso cuentas para nivel familiar donde pagas una vez y tienes acceso "premium" para varios usuarios a la vez, con opción de compartir ciertas contraseñas. Esto puede ser útil cuando tienes cuentas de Netflix, o del súper, que necesitas compartir con gente que vive en tu casa.

Si no os parece mucho gasto, yo lo recomendaría. De otro modo, las cuentas gratuitas siguen siendo una opción buenísima. Las funciones extra de pago no son necesarias.

Deavid · Publicado: Dom Oct 10, 2021 5:43 pm **Asunto**:

Y ahora, un poco de autocrítica. Sedice y Leelibros son tremendamente antiguas y son muy vulnerables a ataques. Durante años se han ido parcheando para bloquear el grueso de los ataques, pero no se puede garantizar que sean realmente seguras.

Vamos, si hasta Twitch ha caído. Así de claro. Si ellos han caído, tengo claro que Sedice y Leelibros pueden ser víctima, o lo han sido y no me he dado cuenta. (Creo que lo han sido varias veces, pero es más una intuición que otra cosa)

Tanto Sedice como Leelibros usan un sistema para almacenar contraseñas (hash) que está obsoleto desde hace muchísimos años (MD5 sin salt).

Eso hace que si algún hacker consigue hacerse con la base de datos, o con un backup de la misma, puede descifrar las contraseñas en relativamente poco tiempo.

No es algo que yo pueda cambiar sin meter un esfuerzo titánico y a riesgo de romper el acceso a la web a los usuarios de Sedice y Leelibros.

Por eso mismo, mi recomendación es que, sea la contraseña que sea la que uséis aquí, por favor, no la uséis en ningún otro sitio. Sedice y Leelibros tampoco tienen nada de valor económico que pueda tener demasiado interés para un hacker, pero esas contraseñas las van a intentar usar para entrar en vuestras cuentas de Google, Amazon, etc.

Las únicas contraseñas "seguras" para Sedice son aquellas que usen números, mayúsculas, minúsculas y símbolos, y de al menos 15 caracteres. Con esto, no es posible saber la contraseña original en menos de 50 años por muchos servidores que dediquen a romperlas.

Aún así, por culpa de que es MD5, es posible crear otras contraseñas en mucho menos tiempo que Sedice y Leelibros aceptarían como válidas (equivalentes), pero por lo menos no saben la contraseña original.

En resumen, no reuséis las contraseñas de Sedice en ningún sitio.

Deavid · Publicado: Dom Oct 10, 2021 5:49 pm **Asunto**:

Dejadme cualquier pregunta que tengáis y os intento responder luego Very Happy

BataLuba · Publicado: Mar Oct 12, 2021 9:41 am **Asunto**:

La verdad es que no sé si lo he entendido.

Esto es lo que he entendido, dime si es correcto.

Se trata de instalar bitwarden (o el gestor que sea) en los dispositivos de uso habitual. Si vas a un ordenador que no lo tiene instalado, consultas en bitwarden en el móvil la contraseña que toca y luego cuando puedas la cambias para más seguridad.

Deavid · Publicado: Mar Oct 12, 2021 2:21 pm **Asunto**:

Correcto.

Se trata de usarlo para poder tener contraseñas únicas en cada web y que sean fuertes.

Cambiar contraseñas cada vez en cibercafés es solo por más seguridad. No es estrictamente necesario.

Hay que ir con cuidado al cambiar contraseñas ya que es fácil equivocarse y terminar sin acceso a tus propias cuentas.

Tened la contraseña maestra escrita en algún papel en casa, ya que si se os olvida, lo perderéis todo. No se puede recuperar.

BataLuba · Publicado: Mar Oct 12, 2021 9:52 pm **Asunto**:

Ok. Gracias. Muy amable, como siempre ::046

Tampoco es que yo use mucho los cibercafés o similares, la verdad; debe de hacer años de la última vez. Lo que sí utilizo varios cacharros habitualmente. Eso sí, para cosas como banco intento utilizar siempre el mismo, lo que a veces es incómodo.

Supongo que luego se puede desinstalar el gestor.
Ya, es necesaria la contraseña maestra, pero aunque sea una estupidez me suena más seguro desinstalar el programa en un ordenador que vaya a dejar de utilizar.

Deavid · Publicado: Mie Oct 13, 2021 9:02 am **Asunto**:

Se puede desinstalar, por supuesto. Pero lo importante es cerrar la sesión por completo en el equipo. Es lo que borra la base de datos de contraseñas.

Hay también app para el móvil, Android e iPhone, no sé si lo comenté.

Y si vas a usarlo en un ordenador durante un rato (unas horas), igual lo más práctico es usarlo por la web (bitwarden.com) que no necesitas instalar nada, lo usas y luego cierras sesión.

BataLuba · Publicado: Vie Mar 04, 2022 7:36 pm **Asunto**:

Estoy metiendo contraseñas en el bitwarden ese. Es decir, de momento estoy metiendo las contraseñas que tengo.

Más adelante bichearé cómo se hace para usarlas de hecho en un sitio.

Y luego a averiguar cómo hacer que las ponga aleatorias, porque lo de usarlo de almacén es un poco infrautilización, ¿no?

BataLuba · Publicado: Vie Mar 04, 2022 8:53 pm **Asunto**:

Curioso. En el pc me sale en inglés, pero la app está en español Confused

dafd · Cacique Registrado: Jun 05, 2007 Mensajes: 2512

¿Y qué tal con ese bitwarden, BataLuba?

BataLuba · Publicado: Jue Mar 10, 2022 7:47 am **Asunto**:

Pues supongo que hay que acostumbrarse, pero es fácil de usar.
Todavía lo estoy llenando, pero de momento ya me da la tranquilidad de recordar solo una contraseña en vez de tropecientas Wink

.

BataLuba · Publicado: Mie Jun 15, 2022 5:29 pm **Asunto**:

Pues sí que es práctico, oye.
Muchas gracias, Deavid :123