martes, julio 31, 2012

KeePass para proteger las contraseñas

Hoy en día usamos servicios muy valiosos, como Google, Dropbox, eBay, Paypal, Amazon, etc. en los que normalmente hay que usar contraseñas potentes ya que su robo es muy peligroso (equivalente a que te roben la cartera). Para otros servicios menos importantes normalmente se repite una contraseña menos segura, ya que su robo no sería tan traumático. Al menos es lo que yo hago y por lo que sé mucha gente usa esta estrategia.

Lo ideal es que cada servicio tenga su contraseña, y que además sea bastante segura, y si cae una el resto de servicios están controlados. Sin embargo hacer esto es muy complicado, la memoria no da para tanto. De hecho ya me parece complicado  tener algunas contraseñas únicas y potentes. Es más, mi memoría no se puede permitir cambiarlas cada cierto tiempo, lo cual es una medida básica de seguridad.

Por tanto he decidido empezar a usar un gestor de contraseñas. Los requisitos eran: multiplataforma (Linux, Windows y Android), que fuera software libre (no me fío de lo contrario), que la base de datos de contraseñas esté encriptada y protegido por una contraseña maestra y que tuviera cierta facilidad para copiar y pegar los nombres de usuario y contraseña para hacer login.

La solución ideal para estos requisitios es KeePass. Existen dos versiones, KeePass1 y KeePass2, ambas mantenidas a buen ritmo. La arquitectura de KeePass2 parece más potente, pero está basada en .NET y la comptabilidad con Android es más limitada. En Linux hay que instalar Mono y según Gallir no funciona correctamente en Ubuntu, así que me he decidido por KeePass1.

Lo primero ha sido importar las contraseñas guardas en Firefox, muy fácil gracias al sistema de extensiones que tiene KeePass. Lo siguiente ha sido cambiar contraseñas de los servicios más importantes por unas más potentes. El propio programa tiene un generador de contraseñas.

Cuando tenemos que hacer login en un servicio lo único que tenemos que hacer es abrir KeePass (o más bien cambiar a dicha aplicación, que normalmente está abierta), buscar el servicio por nombre y darle a hacer login. Automáticamente toma el control del navegador y ya estamos registrados.

La aplicación de Android también es muy sencilla y nos copia automáticamente el login y password al cortapapeles para que hagamos login con comodidad.

También existe una versión portable de la aplicación para llevar en un pendrive por si hay que usar alguna contraseña en un ordenador que no es el nuestro.

La sincronización de la base de datos de contraseñas la hago a través de Dropbox, para tener acceso a ella desde cualquier dispositivo. Y por supuesto la base de datos está protegida por una contraseña de más de 30 caracteres (sí, llamadme paranoico).

En definitiva, creo que un gestor de contraseñas es una buena forma de tener mucha más seguridad en los servicios online que usamos habitualmente, aunque reconozco que es más tedioso que el viejo sistema de tener menos contraseñas y menos seguras. ¿Tendrá algo que ver eso que dicen de que para tener más seguridad hay que ceder en libertad?

Más info:
KeePass


3 comentarios:

manuelvh dijo...

yo llevo tiempo dándole vueltas al asunto también y mirando el keepass. Si que había visto que la versión 2 no funcionaba en linux y tengo pendiente ver cuántas funcionalidades cambian o se pierden entre ambas versiones (o mirar que tal con wine)

La mayor duda es como sincronizar la base de datos, ya que dropbox no lo quiero tener funcionando en el ordenador del trabajo y tampoco me fio mucho de tenerla en la "nube". La opción del usb es más factible (y/o con el portable como comentas) aunque el riesgo de perderla sin backup hace dudar también. y no veo una tercera vía

Lo que no se es si usarla en android (solo llevo 2 semanas con el móvil) ¿que app estás usando? ¿es oficial?

por cierto, 30 caracteres con el cifrado que ofrece keepass si que me parece un poco paranoico, es la típica contraseña que luego olvidas (o la cambias borracho y no la recuerdas después)

interesante post

Alejandro Nieto González dijo...

Lo que puedes hacer con la base de datos es tenerla en local y hacer copias periódicas manuales a dropbox o similar.

En Android uso KeePassDroid. No es oficial pero sí está recomendada desde la página oficial del proyecto.

Y digamos que es algo paranoico lo de los 30 caracteres, pero normalmente en ese tipo de contraseñas lo que hay que hacer es usar una frase :)

manuelvh dijo...

Si, pero al tenerla en local o haces backups casi continuos o acabas perdiendo algo :( Asi que me estoy replanteando la opcion de dropbox

Ok, miraré lo de android, aunque me parece que no le voy a sacar demasiado partido a las contraseñas en el móvil, al menos por el momento

Y bueno, no se hasta que punto una frase de 30 caracteres no es más débil que una password de por ejemplo 12 con mayusuculas, minusculas numeros y simbolos (salvo que la frase tenga mayusuculas, minusculas numeros y simbolos, el sumún de la paranoia XD)