Un administrador de contraseñas es un programa informático que permite a los usuarios almacenar y administrar sus contraseñas [1] para aplicaciones locales o servicios en línea como aplicaciones web , tiendas en línea o redes sociales . [2] Un navegador web generalmente tiene una versión integrada de un administrador de contraseñas. Estos han sido criticados con frecuencia ya que muchos han almacenado las contraseñas en texto plano, lo que ha permitido intentos de piratería.
Los administradores de contraseñas pueden generar contraseñas [3] y completar formularios en línea . [2] Los administradores de contraseñas pueden existir como una combinación de: aplicaciones informáticas , aplicaciones móviles o extensiones de navegador web . [4]
Un administrador de contraseñas puede ayudar a generar contraseñas y almacenarlas, [1] [5] [6] generalmente en una base de datos cifrada . [7] [8] Además de las contraseñas, estas aplicaciones también pueden almacenar datos como información de tarjetas de crédito, direcciones e información de viajeros frecuentes. [3]
El objetivo principal de los administradores de contraseñas es aliviar un fenómeno de ciberseguridad conocido como fatiga de contraseñas , donde un usuario final puede sentirse abrumado al recordar múltiples contraseñas para múltiples servicios y qué contraseña se utiliza para qué servicio. [3]
Los administradores de contraseñas generalmente requieren que un usuario cree y recuerde una contraseña "maestra" para desbloquear y acceder a toda la información almacenada en la aplicación. [9] Los administradores de contraseñas pueden optar por integrar la autenticación multifactor [9] a través de huellas dactilares o mediante software de reconocimiento facial . [10] Aunque esto no es necesario para utilizar la extensión de aplicación/navegador.
Los administradores de contraseñas pueden instalarse en una computadora o dispositivo móvil como una aplicación o como una extensión del navegador . [5]
El primer software de administración de contraseñas diseñado para almacenar contraseñas de forma segura fue Password Safe, creado por Bruce Schneier , que se lanzó como una utilidad gratuita el 5 de septiembre de 1997. [11] Diseñado para Microsoft Windows 95 , Password Safe utilizó el algoritmo Blowfish de Schneier para cifrar contraseñas y otros datos sensibles. Aunque Password Safe se lanzó como una utilidad gratuita, debido a las restricciones de exportación de criptografía de EE. UU . vigentes en ese momento, inicialmente solo se permitió descargarlo a ciudadanos y residentes permanentes de EE. UU. y Canadá. [11] A medida que Google Chrome se convirtió en el navegador más utilizado, el Administrador de contraseñas de Google integrado se convirtió en el administrador de contraseñas más utilizado a partir de diciembre de 2023.
Algunas aplicaciones almacenan las contraseñas como un archivo no cifrado, lo que deja las contraseñas fácilmente accesibles para el malware o las personas que intentan robar información personal.
Algunos administradores de contraseñas requieren una contraseña maestra o frase de contraseña seleccionada por el usuario para formar la clave utilizada para cifrar las contraseñas almacenadas para que las lea la aplicación. La seguridad de este enfoque depende de la seguridad de la contraseña elegida (que puede adivinarse mediante malware) y también de que la frase de contraseña en sí nunca se almacena localmente donde un programa malicioso o un individuo pueda leerla. Una contraseña maestra comprometida hace que todas las contraseñas protegidas sean vulnerables, lo que significa que un único punto de entrada puede comprometer la confidencialidad de la información confidencial.
Al igual que con las técnicas de autenticación de contraseñas, se puede utilizar el registro de claves o el criptoanálisis acústico para adivinar o copiar la "contraseña maestra". Algunos administradores de contraseñas intentan utilizar teclados virtuales para reducir este riesgo, aunque esto sigue siendo vulnerable a los registradores de teclas que toman las pulsaciones de teclas y envían la tecla que se presionó a la persona o personas que intentan acceder a información confidencial.
Algunos administradores de contraseñas pueden incluir un generador de contraseñas . Las contraseñas generadas pueden ser adivinables si el administrador de contraseñas utiliza un método débil para generar aleatoriamente una "semilla" de todas las contraseñas generadas por este programa. O, como en el caso de LastPass , [12] los métodos utilizados para generar contraseñas pueden verse comprometidos, lo que hace que las contraseñas generadas por la aplicación sean más fáciles de adivinar.
Además, los administradores de contraseñas tienen la desventaja de que cualquier individuo potencialmente malintencionado o malware solo necesitaría conocer una contraseña para obtener acceso a todas las contraseñas de un usuario y que dichos administradores tienen ubicaciones y formas estandarizadas de almacenar contraseñas que pueden ser explotadas por malware. [13] Esto se conoce como punto único de falla .
Varios sitios web de alto perfil han intentado bloquear administradores de contraseñas, y a menudo retrocedieron cuando fueron cuestionados públicamente. [14] [15] [16] Las razones citadas incluyen protección contra ataques automatizados , protección contra phishing , bloqueo de malware o simplemente negar compatibilidad. El software de seguridad del cliente Trusteer de IBM presenta opciones explícitas para bloquear administradores de contraseñas. [17] [18]
Los profesionales de la seguridad de la información han criticado este tipo de bloqueo por considerar que hace que los usuarios sean menos seguros. [16] [18] La implementación de bloqueo típica implica establecer la autocomplete='off'
contraseña en el formulario web correspondiente . En consecuencia, esta opción ahora se ignora en sitios cifrados , [19] Firefox 38, [20] Chrome 34, [21] y en Safari desde aproximadamente 7.0.2. [22]
Un artículo de 2014 de un investigador de la Universidad Carnegie Mellon encontró que, si bien los navegadores se niegan a completar automáticamente si el protocolo en la página de inicio de sesión actual es diferente del protocolo en el momento en que se guardó la contraseña, algunos administradores de contraseñas completarían de manera insegura las contraseñas para los no seguros ( HTTP ) versión de contraseñas de sitios cifradas ( HTTPS ). La mayoría de los administradores no protegieron contra ataques basados en iframe y redirección y expusieron contraseñas adicionales cuando se había utilizado la sincronización de contraseñas entre múltiples dispositivos. [19]