stringtranslate.com

Administrador de contraseñas

Un administrador de contraseñas es un programa informático que permite a los usuarios almacenar y administrar sus contraseñas [1] para aplicaciones locales o servicios en línea como aplicaciones web , tiendas en línea o redes sociales . [2] Un navegador web generalmente tiene una versión integrada de un administrador de contraseñas. Estos han sido criticados con frecuencia ya que muchos han almacenado las contraseñas en texto plano, lo que ha permitido intentos de piratería.

Los administradores de contraseñas pueden generar contraseñas [3] y completar formularios en línea . [2] Los administradores de contraseñas pueden existir como una combinación de: aplicaciones informáticas , aplicaciones móviles o extensiones de navegador web . [4]

Un administrador de contraseñas puede ayudar a generar contraseñas y almacenarlas, [1] [5] [6] generalmente en una base de datos cifrada . [7] [8] Además de las contraseñas, estas aplicaciones también pueden almacenar datos como información de tarjetas de crédito, direcciones e información de viajeros frecuentes. [3]

El objetivo principal de los administradores de contraseñas es aliviar un fenómeno de ciberseguridad conocido como fatiga de contraseñas , donde un usuario final puede sentirse abrumado al recordar múltiples contraseñas para múltiples servicios y qué contraseña se utiliza para qué servicio. [3]

Los administradores de contraseñas generalmente requieren que un usuario cree y recuerde una contraseña "maestra" para desbloquear y acceder a toda la información almacenada en la aplicación. [9] Los administradores de contraseñas pueden optar por integrar la autenticación multifactor [9] a través de huellas dactilares o mediante software de reconocimiento facial . [10] Aunque esto no es necesario para utilizar la extensión de aplicación/navegador.

Los administradores de contraseñas pueden instalarse en una computadora o dispositivo móvil como una aplicación o como una extensión del navegador . [5]

Historia

El primer software de administración de contraseñas diseñado para almacenar contraseñas de forma segura fue Password Safe, creado por Bruce Schneier , que se lanzó como una utilidad gratuita el 5 de septiembre de 1997. [11] Diseñado para Microsoft Windows 95 , Password Safe utilizó el algoritmo Blowfish de Schneier para cifrar contraseñas y otros datos sensibles. Aunque Password Safe se lanzó como una utilidad gratuita, debido a las restricciones de exportación de criptografía de EE. UU . vigentes en ese momento, inicialmente solo se permitió descargarlo a ciudadanos y residentes permanentes de EE. UU. y Canadá. [11] A medida que Google Chrome se convirtió en el navegador más utilizado, el Administrador de contraseñas de Google integrado se convirtió en el administrador de contraseñas más utilizado a partir de diciembre de 2023.

Críticas

Vulnerabilidades

Algunas aplicaciones almacenan las contraseñas como un archivo no cifrado, lo que deja las contraseñas fácilmente accesibles para el malware o las personas que intentan robar información personal.

Algunos administradores de contraseñas requieren una contraseña maestra o frase de contraseña seleccionada por el usuario para formar la clave utilizada para cifrar las contraseñas almacenadas para que las lea la aplicación. La seguridad de este enfoque depende de la seguridad de la contraseña elegida (que puede adivinarse mediante malware) y también de que la frase de contraseña en sí nunca se almacena localmente donde un programa malicioso o un individuo pueda leerla. Una contraseña maestra comprometida hace que todas las contraseñas protegidas sean vulnerables, lo que significa que un único punto de entrada puede comprometer la confidencialidad de la información confidencial.

Al igual que con las técnicas de autenticación de contraseñas, se puede utilizar el registro de claves o el criptoanálisis acústico para adivinar o copiar la "contraseña maestra". Algunos administradores de contraseñas intentan utilizar teclados virtuales para reducir este riesgo, aunque esto sigue siendo vulnerable a los registradores de teclas que toman las pulsaciones de teclas y envían la tecla que se presionó a la persona o personas que intentan acceder a información confidencial.

Algunos administradores de contraseñas pueden incluir un generador de contraseñas . Las contraseñas generadas pueden ser adivinables si el administrador de contraseñas utiliza un método débil para generar aleatoriamente una "semilla" de todas las contraseñas generadas por este programa. O, como en el caso de LastPass , [12] los métodos utilizados para generar contraseñas pueden verse comprometidos, lo que hace que las contraseñas generadas por la aplicación sean más fáciles de adivinar.

Además, los administradores de contraseñas tienen la desventaja de que cualquier individuo potencialmente malintencionado o malware solo necesitaría conocer una contraseña para obtener acceso a todas las contraseñas de un usuario y que dichos administradores tienen ubicaciones y formas estandarizadas de almacenar contraseñas que pueden ser explotadas por malware. [13] Esto se conoce como punto único de falla .

Bloqueo de administradores de contraseñas

Varios sitios web de alto perfil han intentado bloquear administradores de contraseñas, y a menudo retrocedieron cuando fueron cuestionados públicamente. [14] [15] [16] Las razones citadas incluyen protección contra ataques automatizados , protección contra phishing , bloqueo de malware o simplemente negar compatibilidad. El software de seguridad del cliente Trusteer de IBM presenta opciones explícitas para bloquear administradores de contraseñas. [17] [18]

Los profesionales de la seguridad de la información han criticado este tipo de bloqueo por considerar que hace que los usuarios sean menos seguros. [16] [18] La implementación de bloqueo típica implica establecer la autocomplete='off'contraseña en el formulario web correspondiente . En consecuencia, esta opción ahora se ignora en sitios cifrados , [19] Firefox 38, [20] Chrome 34, [21] y en Safari desde aproximadamente 7.0.2. [22]

Un artículo de 2014 de un investigador de la Universidad Carnegie Mellon encontró que, si bien los navegadores se niegan a completar automáticamente si el protocolo en la página de inicio de sesión actual es diferente del protocolo en el momento en que se guardó la contraseña, algunos administradores de contraseñas completarían de manera insegura las contraseñas para los no seguros ( HTTP ) versión de contraseñas de sitios cifradas ( HTTPS ). La mayoría de los administradores no protegieron contra ataques basados ​​en iframe y redirección y expusieron contraseñas adicionales cuando se había utilizado la sincronización de contraseñas entre múltiples dispositivos. [19]

Ver también

Referencias

  1. ^ ab Waschke, Marvin (2017). Ciberseguridad personal: cómo evitar y recuperarse del ciberdelito. Bellingham, Washington: Apress . pag. 198. doi :10.1007/978-1-4842-2430-4. ISBN 978-1-4842-2430-4. OCLC  968706017.
  2. ^ ab "¿Qué es un administrador de contraseñas? - Definición de Techopedia". Techinfo.com . Consultado el 14 de diciembre de 2022 .
  3. ^ abc "¿Qué es un administrador de contraseñas? Guía explicativa 2022". Tech.co.Consultado el 14 de diciembre de 2022 .
  4. ^ "Definición de administrador de contraseñas". PCMAG . Consultado el 14 de diciembre de 2022 .
  5. ^ ab Seitz, Tobías (2018). Apoyar a los usuarios en la autenticación de contraseñas con diseño persuasivo (PDF) (Tesis). Universidad Ludwig-Maximilians de Múnich. doi :10.5282/edoc.22619.
  6. ^ Universidad, Carnegie Mellon. "Administradores de contraseñas - Oficina de seguridad de la información - Servicios informáticos - Universidad Carnegie Mellon". www.cmu.edu . Consultado el 14 de diciembre de 2022 .
  7. ^ Precio, Rob (22 de febrero de 2017). "Los administradores de contraseñas son una forma esencial de protegerse de los piratas informáticos; así es como funcionan". Business Insider . Archivado desde el original el 27 de febrero de 2017 . Consultado el 29 de abril de 2017 .
  8. ^ Mohammadinodoushan, Mohammad; Cambú, Bertrand; Filabaum, Christopher Robert; Duan, Nan (2021). "Administrador de contraseñas resistente que utiliza funciones físicas no clonables". Acceso IEEE . 9 : 17060–17070. doi : 10.1109/ACCESS.2021.3053307 . ISSN  2169-3536.
  9. ^ ab "Los mejores administradores de contraseñas para Mac: seguridad". Tech.co.Consultado el 14 de diciembre de 2022 .
  10. ^ "Mejor administrador de contraseñas para iPhone 2022". Tech.co.Consultado el 14 de diciembre de 2022 .
  11. ^ ab "Counterpane Systems lleva la seguridad de Blowfish a una base de datos de contraseñas". Sistemas de colchas . Archivado desde el original el 19 de enero de 1998 . Consultado el 24 de junio de 2023 .
  12. ^ Toubba, Karim (1 de marzo de 2023). "Actualización de incidentes de seguridad y acciones recomendadas". Blog de LastPass . Consultado el 13 de mayo de 2023 .
  13. ^ "Pros y contras de los administradores de contraseñas". Lúmenes . 2017-05-13 . Consultado el 25 de enero de 2021 .
  14. ^ Mic, Wright (16 de julio de 2015). "British Gas rompe deliberadamente los administradores de contraseñas y los expertos en seguridad están consternados" . Consultado el 26 de julio de 2015 .
  15. ^ Reeve, Tom (15 de julio de 2015). "British Gas cede ante las críticas por bloquear administradores de contraseñas" . Consultado el 26 de julio de 2015 .
  16. ^ ab Cox, Joseph (26 de julio de 2015). "Sitios web, dejen de bloquear administradores de contraseñas. Estamos en 2015" . Consultado el 26 de julio de 2015 .
  17. ^ "Administrador de contraseñas" . Consultado el 26 de julio de 2015 .
  18. ^ ab Hunt, Troy (15 de mayo de 2014). "El" efecto Cobra "que deshabilita el pegado en los campos de contraseña" . Consultado el 26 de julio de 2015 .
  19. ^ ab "Administradores de contraseñas: ataques y defensas" (PDF) . Consultado el 26 de julio de 2015 .
  20. ^ "Firefox en Windows 8.1 completa automáticamente un campo de contraseña cuando la función de autocompletar está desactivada" . Consultado el 26 de julio de 2015 .
  21. ^ Sharwood, Simon (9 de abril de 2014). "Chrome captura una nueva contraseña en la versión 34" . Consultado el 26 de julio de 2015 .
  22. ^ "Re: 7.0.2: Autocompletar="off" todavía falla" . Consultado el 26 de julio de 2015 .

enlaces externos