stringtranslate.com

Administrador de contraseñas

Un administrador de contraseñas es un programa informático que permite a los usuarios almacenar y administrar sus contraseñas [1] para aplicaciones locales o servicios en línea como aplicaciones web , tiendas en línea o redes sociales . [2] Un navegador web generalmente tiene una versión incorporada de un administrador de contraseñas. Estos han sido criticados con frecuencia ya que muchos han almacenado las contraseñas en texto sin formato, lo que permite intentos de piratería.

Los administradores de contraseñas pueden generar contraseñas [3] y completar formularios en línea . [2] Los administradores de contraseñas pueden existir como una combinación de: aplicaciones informáticas , aplicaciones móviles o como extensiones del navegador web . [4]

Un administrador de contraseñas puede ayudar a generar contraseñas y almacenarlas, [1] [5] [6] generalmente en una base de datos cifrada . [7] [8] Además de las contraseñas, estas aplicaciones también pueden almacenar datos como información de tarjetas de crédito, direcciones e información de viajeros frecuentes. [3]

El objetivo principal de los administradores de contraseñas es aliviar un fenómeno de ciberseguridad conocido como fatiga de contraseñas , donde un usuario final puede verse abrumado al recordar múltiples contraseñas para múltiples servicios y qué contraseña se usa para qué servicio. [3]

Los administradores de contraseñas generalmente requieren que el usuario cree y recuerde una contraseña "maestra" para desbloquear y acceder a toda la información almacenada en la aplicación. [9] Los administradores de contraseñas pueden optar por integrar la autenticación multifactor [9] a través de huellas dactilares o mediante software de reconocimiento facial . [10] Aunque esto no es necesario para usar la extensión de la aplicación/navegador.

Historia

El primer software de administración de contraseñas diseñado para almacenar contraseñas de forma segura fue Password Safe creado por Bruce Schneier , que se lanzó como una utilidad gratuita el 5 de septiembre de 1997. [11] Diseñado para Microsoft Windows 95 , Password Safe utilizó el algoritmo Blowfish de Schneier para cifrar contraseñas y otros datos confidenciales. Aunque Password Safe se lanzó como una utilidad gratuita, debido a las restricciones de exportación de criptografía de EE. UU. vigentes en ese momento, inicialmente solo los ciudadanos estadounidenses y canadienses y los residentes permanentes pudieron descargarlo. [11] A medida que Google Chrome se convirtió en el navegador más utilizado, el Administrador de contraseñas de Google integrado se convirtió en el administrador de contraseñas más utilizado a partir de diciembre de 2023.

Tipos

Los administradores de contraseñas vienen en varios formatos, cada uno con sus propias ventajas y desventajas. A continuación, se detallan los tipos más comunes: [12]

Gestores de contraseñas basados ​​en navegador
Están integradas directamente en navegadores web como Chrome, Safari, Firefox y Edge. Ofrecen un acceso cómodo para la gestión básica de contraseñas en el dispositivo en el que se utiliza el navegador. Sin embargo, algunas pueden carecer de funciones como la sincronización segura entre dispositivos o el cifrado sólido.
Gestores de contraseñas locales
Se trata de aplicaciones independientes que se instalan en el dispositivo del usuario. Ofrecen una gran seguridad, ya que las contraseñas se almacenan localmente, pero el acceso puede estar limitado a ese dispositivo específico. Entre las opciones de código abierto más populares se encuentran KeepassXC , KeePass y Password Safe .
Gestores de contraseñas basados ​​en la nube
Estos almacenan contraseñas en forma cifrada en servidores remotos, lo que permite el acceso desde dispositivos conectados a Internet compatibles. Por lo general, ofrecen funciones como sincronización automática, uso compartido seguro y cifrado sólido. Algunos ejemplos son 1Password , Bitwarden y Dashlane .
Gestores de contraseñas empresariales
Diseñados para empresas, estos sistemas se utilizan para gestionar credenciales de acceso dentro de una organización. Se integran con servicios de directorio y sistemas de control de acceso existentes y suelen ofrecer funciones avanzadas como permisos basados ​​en roles y gestión de acceso privilegiado. Entre los principales proveedores se encuentran CyberArk y Delinea (anteriormente Thycotic).
Gestores de contraseñas de hardware
Estos dispositivos físicos, a menudo memorias USB, proporcionan una capa adicional de seguridad para la gestión de contraseñas. Algunos funcionan como tokens seguros para el acceso a cuentas o bases de datos, como Yubikey y OnlyKey , mientras que otros también ofrecen almacenamiento sin conexión para contraseñas, como OnlyKey.

Vulnerabilidades

Almacenamiento en bóveda débil

Algunas aplicaciones almacenan contraseñas como un archivo no cifrado, lo que deja las contraseñas fácilmente accesibles para malware o personas que intentan robar información personal.

Contraseña maestra como punto único de fallo

Algunos administradores de contraseñas requieren una contraseña maestra o frase de contraseña seleccionada por el usuario para formar la clave que se utiliza para cifrar las contraseñas almacenadas para que la aplicación las lea. La seguridad de este enfoque depende de la solidez de la contraseña elegida (que puede ser adivinada a través de malware) y también de que la frase de contraseña en sí nunca se almacene de forma local donde un programa o individuo malintencionado pueda leerla. Una contraseña maestra comprometida puede hacer que todas las contraseñas protegidas sean vulnerables, lo que significa que un único punto de entrada puede comprometer la confidencialidad de la información sensible. Esto se conoce como punto único de fallo .

Dependencia de seguridad del dispositivo

Si bien los administradores de contraseñas ofrecen una seguridad sólida para las credenciales, su eficacia depende de la seguridad del dispositivo del usuario. Si un dispositivo se ve comprometido por malware como Raccoon, que se destaca por robar datos, las protecciones del administrador de contraseñas pueden quedar anuladas. El malware como los keyloggers pueden robar la contraseña maestra utilizada para acceder al administrador de contraseñas, lo que otorga acceso total a todas las credenciales almacenadas. Los rastreadores del portapapeles pueden capturar información confidencial copiada del administrador, y algunos programas maliciosos pueden incluso robar el archivo de la bóveda de contraseñas encriptadas. En esencia, un dispositivo comprometido con malware que roba contraseñas puede eludir las medidas de seguridad del administrador de contraseñas, lo que deja vulnerables las credenciales almacenadas. [13]

Al igual que con las técnicas de autenticación de contraseñas, se puede utilizar el registro de teclas o el criptoanálisis acústico para adivinar o copiar la "contraseña maestra". Algunos administradores de contraseñas intentan utilizar teclados virtuales para reducir este riesgo, aunque esto sigue siendo vulnerable a los registradores de teclas [ cita requerida ] que registran las pulsaciones de teclas y envían la tecla que se presionó a la persona o personas que intentan acceder a información confidencial.

Almacenamiento basado en la nube

Los administradores de contraseñas basados ​​en la nube ofrecen una ubicación centralizada para almacenar las credenciales de inicio de sesión. Sin embargo, este enfoque plantea problemas de seguridad. Una vulnerabilidad potencial es una filtración de datos en el propio administrador de contraseñas. Si se produjera un incidente de este tipo, los atacantes podrían obtener acceso a una gran cantidad de credenciales de usuario. Un incidente de seguridad ocurrido en 2022 con LastPass ejemplifica este riesgo. [13]

Seguridad del generador de contraseñas

Algunos administradores de contraseñas pueden incluir un generador de contraseñas. Las contraseñas generadas pueden ser adivinables si el administrador de contraseñas utiliza un método débil para generar aleatoriamente una "semilla" que contiene todas las contraseñas generadas por este programa. Existen casos documentados, como el de Kaspersky Password Manager en 2021, en los que una falla en el método de generación de contraseñas resultó en contraseñas predecibles. [14] [15]

Otros

Un artículo de 2014 elaborado por investigadores de la Universidad Carnegie Mellon descubrió que, si bien los navegadores se niegan a completar automáticamente las contraseñas si el protocolo de la página de inicio de sesión difiere del protocolo de cuando se guardó la contraseña ( HTTP frente a HTTPS ), algunos administradores de contraseñas completaban de forma insegura las contraseñas para la versión no cifrada (HTTP) de las contraseñas guardadas para sitios cifrados (HTTPS). Además, la mayoría de los administradores carecían de protección contra ataques basados ​​en iframe y redireccionamiento , lo que potencialmente exponía contraseñas adicionales cuando se utilizaba la sincronización de contraseñas en varios dispositivos. [16]

Bloqueo de gestores de contraseñas

Varios sitios web de alto perfil han intentado bloquear los administradores de contraseñas, y a menudo han dado marcha atrás cuando se los ha cuestionado públicamente. [17] [18] [19] Entre las razones citadas se incluyen la protección contra ataques automatizados , la protección contra el phishing , el bloqueo de malware o simplemente la denegación de compatibilidad. El software de seguridad del cliente Trusteer de IBM cuenta con opciones explícitas para bloquear los administradores de contraseñas. [20] [21]

Los profesionales de la seguridad de la información han criticado este tipo de bloqueo por considerar que hace que los usuarios estén menos seguros. [19] [21] La implementación típica del bloqueo implica la configuración de la contraseña en el formulario webautocomplete='off' correspondiente . Esta opción ahora se ignora en los sitios cifrados , [16] como Firefox 38, [22] Chrome 34, [23] y Safari desde aproximadamente la versión 7.0.2. [24]

Véase también

Referencias

  1. ^ ab Waschke, Marvin (2017). Ciberseguridad personal: cómo evitar y recuperarse de los delitos cibernéticos. Bellingham, Washington: Apress . pág. 198. doi :10.1007/978-1-4842-2430-4. ISBN . 978-1-4842-2430-4.OCLC 968706017  .
  2. ^ ab "¿Qué es un administrador de contraseñas? - Definición de Techopedia". Techopedia.com . Consultado el 14 de diciembre de 2022 .
  3. ^ abc "¿Qué es un administrador de contraseñas? Guía explicativa 2022". Tech.co. Consultado el 14 de diciembre de 2022 .
  4. ^ "Definición de administrador de contraseñas". PCMAG . Consultado el 14 de diciembre de 2022 .
  5. ^ Seitz, Tobías (2018). Apoyar a los usuarios en la autenticación de contraseñas con diseño persuasivo (PDF) (Tesis). Universidad Ludwig-Maximilians de Múnich. doi :10.5282/edoc.22619.
  6. ^ "Administradores de contraseñas - Oficina de seguridad de la información - Servicios informáticos". Universidad Carnegie Mellon . Consultado el 7 de julio de 2024 .
  7. ^ Price, Rob (22 de febrero de 2017). «Los administradores de contraseñas son una forma esencial de protegerse de los piratas informáticos: así es como funcionan». Business Insider . Archivado desde el original el 27 de febrero de 2017. Consultado el 29 de abril de 2017 .
  8. ^ Mohammadinodoushan, Mohammad; Cambou, Bertrand; Philabaum, Christopher Robert; Duan, Nan (2021). "Administrador de contraseñas resiliente que utiliza funciones físicas no clonables". IEEE Access . 9 : 17060–17070. doi : 10.1109/ACCESS.2021.3053307 . ISSN  2169-3536.
  9. ^ ab "Los mejores administradores de contraseñas para Mac - Seguridad". Tech.co. Consultado el 14 de diciembre de 2022 .
  10. ^ "El mejor administrador de contraseñas para iPhone en 2022". Tech.co. Consultado el 14 de diciembre de 2022 .
  11. ^ ab "Counterpane Systems lleva la seguridad de Blowfish a una base de datos de contraseñas". Counterpane Systems . Archivado desde el original el 19 de enero de 1998 . Consultado el 24 de junio de 2023 .
  12. ^ Kerner, Sean Michael (2 de mayo de 2023). "¿Qué es un administrador de contraseñas?". Seguridad . Archivado desde el original el 1 de febrero de 2024. Consultado el 1 de abril de 2024 .
  13. ^ ab Valiaugaitė, Inga (13 de julio de 2022). "¿Es seguro utilizar administradores de contraseñas en 2024?". Cybernews . Archivado desde el original el 24 de marzo de 2024. Consultado el 31 de marzo de 2024 .
  14. ^ Claburn, Thomas (6 de julio de 2021). "El generador de contraseñas aleatorias de Kaspersky Password Manager era tan aleatorio como tu reloj de pared". The Register . Archivado desde el original el 7 de marzo de 2024. Consultado el 31 de marzo de 2024 .
  15. ^ Arghire, Ionut (7 de julio de 2021). "Kaspersky Password Manager generó contraseñas que podían ser violadas rápidamente por la fuerza bruta". SecurityWeek . Archivado desde el original el 2 de junio de 2023 . Consultado el 31 de marzo de 2024 .
  16. ^ ab "Administradores de contraseñas: ataques y defensas" (PDF) . Consultado el 26 de julio de 2015 .
  17. ^ Wright, Mic (16 de julio de 2015). "British Gas rompe deliberadamente los administradores de contraseñas y los expertos en seguridad están consternados". TNW . Consultado el 7 de julio de 2024 .
  18. ^ Reeve, Tom (15 de julio de 2015). «British Gas cede ante las críticas por bloquear los gestores de contraseñas» . Consultado el 26 de julio de 2015 .
  19. ^ ab Cox, Joseph (26 de julio de 2015). "Sitios web, dejen de bloquear los administradores de contraseñas. Estamos en 2015" . Consultado el 26 de julio de 2015 .
  20. ^ "Administrador de contraseñas" . Consultado el 26 de julio de 2015 .
  21. ^ ab Hunt, Troy (15 de mayo de 2014). "El "efecto Cobra" que deshabilita la función de pegar en los campos de contraseña" . Consultado el 26 de julio de 2015 .
  22. ^ "Firefox en Windows 8.1 rellena automáticamente un campo de contraseña cuando la función de autocompletar está desactivada" . Consultado el 26 de julio de 2015 .
  23. ^ Sharwood, Simon (9 de abril de 2014). "Chrome crea una nueva función de captura de contraseñas en la versión 34" . Consultado el 26 de julio de 2015 .
  24. ^ "Re: 7.0.2: Autocomplete="off" sigue fallando" . Consultado el 26 de julio de 2015 .

Enlaces externos