¿Tienes un administrador de contraseñas? Bien, pero lo estás usando mal
Publicado: 2022-01-29¡Felicidades! ¡Seguiste nuestros consejos e instalaste un administrador de contraseñas! Tal vez incluso lo entrenaste para recordar todas tus contraseñas. Pero, ¿reemplazó las contraseñas incorrectas con contraseñas únicas y seguras? ¿Protegió todas esas contraseñas con una contraseña maestra segura que nadie más podía adivinar? En resumen: ¿estás usando tu administrador de contraseñas correctamente?
Stuart Schechter, profesor y líder del curso de privacidad y seguridad utilizable de UC Berkeley, se preocupa de que no lo esté. Tanto es así que animó a sus estudiantes de posgrado a descubrir exactamente lo que está haciendo. En la conferencia de seguridad virtual RSA de 2021, Schechter y el estudiante de posgrado David Ng revelaron sus hallazgos.
La contraseña está muerta, larga vida a la contraseña
Schechter se presentó como el tipo que llevaba una máscara N95 en el RSAC del año pasado, un bicho raro entre un mar de rostros desnudos. Señaló que esto no se debió a ningún tipo de presciencia sobre la pandemia de coronavirus, sino a una aversión a hacer suposiciones optimistas en ausencia de datos. Del mismo modo, sin ningún dato, no puede suponer que los consumidores estén usando los administradores de contraseñas como deberían.
Schechter se remontó a una predicción de 2004 de Bill Gates, quien dijo que usaríamos cada vez menos contraseñas. “Microsoft habló de erradicar las contraseñas, como si fueran una enfermedad, como la viruela”, dijo Schechter. “Pero un campo separado apostó a que las contraseñas se multipliquen, no desaparezcan”. Se sumergió profundamente en la evolución de los administradores de contraseñas, junto con eventos como el lanzamiento de CardSpace de Microsoft en 2006 con la intención de acabar con las contraseñas (no lo hizo) y su declaración de que Windows 10 significaba el final de las contraseñas (no lo hizo).
El uso de un administrador de contraseñas tiene un riesgo intrínseco: ha puesto todos sus huevos en una canasta. En el improbable caso de que un equipo de piratas informáticos descifre su administrador de contraseñas, está en problemas. Los beneficios de usar un administrador de contraseñas son innumerables, entre ellos la protección contra las estafas de phishing.
“Confías en tu administrador de contraseñas para ingresar una contraseña que ni siquiera conoces. Si accede a un sitio de phishing, el administrador de contraseñas no lo llenará”, dijo Schechter. "Tendrás que ir a buscarlo en el administrador de contraseñas, y eso solo es una gran pista de que estás siendo phishing".
Nuestros mejores administradores de contraseñas
En un estudio anterior, Schechter y un colega evaluaron la capacidad de las personas para recordar contraseñas seguras. ¿Las buenas noticias? Determinaron que casi cualquier persona puede memorizar una contraseña muy segura. Sin embargo, la mala noticia es que hacerlo requiere de 20 a 30 sesiones de capacitación con no menos de media hora de diferencia, y que la contraseña podría olvidarse si no se usa con regularidad.
Todos los beneficios de usar un administrador de contraseñas dependen de tres suposiciones: Suponemos que los usuarios memorizarán una contraseña segura; que confiarán en la capacidad del administrador de contraseñas para generar contraseñas aleatorias; y que cambiarán cualquier contraseña que sea débil, reutilizada o comprometida. Pero, ¿son correctas esas suposiciones? En lugar de optar por el optimismo ante la ausencia de datos, Schechter alentó a sus estudiantes de posgrado a buscar la verdad.
Datos, datos, datos
El estudiante de posgrado David Ng entró en gran detalle sobre cómo el grupo encontró a sus participantes, reduciendo un grupo inicial de casi 2500 personas a unas 100 que habían usado un administrador de contraseñas durante más de cinco meses; manejado al menos cinco contraseñas; y estaban dispuestos a proporcionar una captura de pantalla del panel de seguridad de su administrador de contraseñas.
Entonces, ¿los participantes usaron una contraseña maestra segura? Muy pocos hicieron que el administrador de contraseñas generara una que luego memorizaran. Un grupo mucho más grande elaboró una contraseña utilizando un dispositivo mnemotécnico, como sugerimos a menudo en PCMag. Por desgracia, el grupo más grande admitió haber reutilizado una contraseña familiar como clave maestra para sus administradores de contraseñas.
Puede usar un administrador de contraseñas para guardar las pulsaciones de teclas mientras deja todas sus contraseñas configuradas en 12345678 o alguna otra contraseña terrible. El uso adecuado, por supuesto, requiere que cambie esas contraseñas débiles a algo generado por la utilidad de contraseña. El estudio encontró que apenas una quinta parte de los que confían en el administrador de contraseñas integrado de Chrome alguna vez le permiten generar contraseñas. Aproximadamente la mitad de los que dependían de utilidades de terceros aprovecharon esta función.
El estudio pasó a examinar cómo (y si) los participantes usaron la capacidad de la función del panel de seguridad para identificar contraseñas débiles, duplicadas y comprometidas. Los resultados fueron desalentadores. Incluso aquellos participantes que estuvieron de acuerdo en que la herramienta de contraseñas identificó correctamente las contraseñas que necesitaban ser reemplazadas, a menudo no hicieron nada al respecto. Las razones incluían que era demasiado trabajo o que les preocupaba que actualizar la contraseña pudiera causar un problema.
No asuma que las personas saben lo que están haciendo
Ng concluyó la presentación con una advertencia para los expertos en seguridad y las personas. El hecho de que las personas tengan administradores de contraseñas no significa que estén completamente protegidos.
"No asuma que las personas elegirán contraseñas maestras seguras", dijo. "No asuma que usarán contraseñas creadas por el administrador de contraseñas. Y no asuma que reemplazarán contraseñas débiles, reutilizadas o comprometidas, incluso cuando se le recuerda.”
Recomendado por Nuestros Editores
Cómo hacer bien las contraseñas
Ha visto que demasiadas personas instalan un administrador de contraseñas y luego no lo utilizan correctamente. ¡No seas como ellos! Deje que sus errores se conviertan en sus momentos de enseñanza.
Comience con esa contraseña maestra. Como se señaló, protege su tesoro de credenciales de inicio de sesión, por lo que tiene que ser algo que pueda recordar, pero que nadie adivinaría. Sigue nuestros consejos para convertir un poema o una canción favorita en una contraseña, o elige algo que no puedas adivinar de tu vida personal.
¡No te detengas allí! Mejore la protección de sus preciadas contraseñas habilitando la autenticación multifactor. Todos los mejores administradores de contraseñas lo tienen. Ahora incluso un malhechor que robe su contraseña indescifrable no puede entrar, porque solo usted tiene el otro factor de autenticación. Ese factor podría ser biométrico, o podría funcionar a través de una aplicación en el teléfono de su bolsillo (y de nadie más).
Muchos administradores de contraseñas califican sus contraseñas guardadas, marcando las que son poco convincentes, las que ha usado varias veces o las que han estado expuestas en una violación de datos. Sé que es tedioso, pero debe trabajar con ellos y reemplazarlos con contraseñas nuevas largas y seguras. Comience con las peores y haga algunas a la vez, hasta que todas sus contraseñas sean perfectas. No tienes que pensar en esas nuevas contraseñas; su administrador de contraseñas las generará por usted.
¿Quizás te has resistido a usar contraseñas complejas porque no quieres escribirlas en el pequeño teclado de tu teléfono? ¡No te resistas más! Instale la aplicación móvil de su administrador de contraseñas y vincúlela a su cuenta. Ahora iniciar sesión en el teléfono es muy fácil.
Acepta el desafío y aprende a usar correctamente tu administrador de contraseñas. Si muchos de ustedes lo hacen, tal vez el próximo estudio muestre que algunas personas son lo suficientemente inteligentes como para obtener todos los beneficios de estos útiles programas.