domingo, 11 de septiembre de 2011

Administrador de Contraseñas


Si los usuarios tienen problemas para administrar sus N contraseñas para los N servicios que así lo piden (GMail, Twitter, FaceBook, Yahoo y un largo etcétera), también los administradores de sistemas comparten una problemática similar al tener que administrar varias contraseñas de sus servidores y aplicaciones.
Cuando la cantidad de contraseñas que se deben de manejar es ya considerable, recomiendo hacer uso de un administrador de contraseñas. Dicho administrador es una aplicación que lo que hace es resguardar las diversas contraseñas que usamos con el fin de poder tener acceso a ellas fácilmente.
¿Cuáles son las características de seguridad en las que un administrador de TI se debería de fijar antes de usarlo?
+ Que cifre las contraseñas y nombres de usuario en un archivo de datos, y que al cerrar/bloquear la aplicación éstas no permanezcan en claro. Asimismo revisar que el algoritmo usado para cifrar es uno respetable (AES, Serpent, Twofish, Blowfish, IDEA) y claro, que la llave sea al menos de 128 bits (aunque podría recomendar 256).
+ Que no guarde la base de contraseñas en la nube. Es decir, que sea una aplicación a la antigua, de esas que se instalan en un equipo y que ahí se quedan quietecitas.
+ Que restringa el acceso a  las contraseñas guardadas por medio de una contraseña maestra u otro método que logre este objetivo.
+ Que la aplicación sea obtenida de una fuente confiable. Aquí en este post recomendaré la app de PasswordSafe, o pueden buscar otra y “googlearla” para ver si hay comentarios negativos (relacionados a inseguridad). También pueden consultar con el jedi-de-seguridad de su preferencia.
+ Poder respaldar las contraseñas es un must. Normalmente estos administradores de contraseñas van a generar un archivo cifrado donde se resguardan los passwords. Ya sea que la propia aplicación tenga la funcionalidad de respaldar o que sea tan sencillo como copiar y pegar el archivo cifrado, es importante que se pueda llevar a cabo la acción de backup.
+ Que se bloquee la aplicación automáticamente después de que transcurra cierto tiempo sin que se use el programa.
+ Es deseable que no requiera de otro software o librería adicional para que funcione. No queremos introducir más programas al equipo que potencialmente puedan ser un hueco de seguridad.
+ Otra característica deseable es que borre el portapapeles automáticamente al minimizar y/o al cerrar la aplicación, o tal vez después de cierto tiempo transcurrido. Esto claro en caso de que el administrador opere copiando y pegando las contraseñas guardadas.
+ Finalmente, sería agradable ver en este administrador la fecha y hora del último acceso a la misma. Si un fulano de alguna manera tuvo acceso a esta aplicación ayer lunes en la tarde, sabrás que hay algo chueco porque ayer andabas crudo y ni al trabajo llegaste.
Ahora bien, uno de los administradores de contraseñas que he usado y que me ha gustado es la de PasswordSafe en cuyo desarrollo participó el Obi-Wan de la seguridad Bruce Schneier. Es gratuita, segura y realmente fácil de usar.
En fin. Espero que esta información les sea útil. Es importante mencionar que el enfoque de este post es para administradores de sistemas o tal vez usuarios corporativos que acceden a equipos o aplicaciones en su empresa. 
Ya para usuarios en casa que desean administrar sus contraseñas de servicios de Internet existen otras opciones con diferentes características como las de LastPass que a mi gusto es de las mejores por su nivel de seguridad y por la gama de opciones que ofrece para facilitarnos la vida.