Uno de los principales problemas con los que se encuentra hoy en
día un administrador de sistemas es el gran número de contraseñas
que se ve obligado a recordar. Los gestores de contraseñas
ofrecen un sistema seguro para su almacenamiento.
La proliferación de contraseñas, debido al gran número de
sistemas y entornos que requieren de autenticación del usuario
que accede, se ha convertido en un auténtico problema. Un
problema por la imposibilidad material de recordar todas y cada
una de las contraseñas, especialmente en los momentos de crisis
que es cuando suele ser necesario acceder a un dispositivo al que
habitualmente no conectamos.
Los administradores de sistemas suelen recurrir a diversos trucos
para sortear este problema. El más clásico consiste en la
utilización de una contraseña común en todos los dispositivos.
Esto no siempre es viable, debido a la existencia de políticas
que obligan a la rotación o a la necesidad de restringir el
acceso a determinados dispositivos.
Otro sistema habitual consiste en mantener una hoja de cálculo o
una base de datos con las contraseñas. De esta forma, las
contraseñas se encuentran centralizadas… y, porque no decirlo,
desprotegidas. La mayoría de hojas de cálculo almacenan los datos
de una forma poco segura y cualquier persona con acceso al
archivo puede, con poco o nulo esfuerzo, acceder a su contenido.
El tercer método es todo un clásico: el típico post-it.
Evidentemente este no puede considerarse como seguro, ya que todo
el mundo puede leerlo… y además es muy fácil de perder.
En este boletín mostramos un método alternativo, más eficiente y
que puede considerarse más seguro para mantener catalogadas las
contraseñas que cualquier administrador de sistemas debe utilizar
para el desarrollo de su actividad profesional: la utilización de
gestores de contraseñas.
No voy a tratar sobre los sistemas de Single Sign-On ni de
sincronización de contraseñas, ya que estos generalmente se
aplican dentro de un ámbito corporativo para las aplicaciones y
entornos con un número importante de usuarios. Difícilmente se
aplican, por ejemplo, en servidores o dispositivos de red. Esto
sin olvidar el caso de aquellos que desarrollan su actividad en
múltiples redes de diferentes corporaciones.
Gestores de contraseñas
Los gestores de contraseñas son aplicaciones especializadas en
almacenar las credenciales (identificador de usuario y
contraseña) dentro de una base de datos. Una característica no
estrictamente imprescindible, aunque si muy deseable, es que la
información almacenada se encuentre cifrada con un algoritmo de
cifrado fuerte, debido a las características especiales de los
datos contenidos.
Otra característica habitual de estos gestores es que llevan
incorporados un generador de contraseñas. Librados de la
necesidad de recordar una contraseña, podemos utilizar
contraseñas especialmente complejas y, por tanto, más seguras.
El gestor de contraseñas no ha de ser necesariamente una
aplicación especializada. Las últimas versiones de los
navegadores web más populares llevan integrados sus propios
gestores de contraseñas, aunque su ámbito de utilización se
encuentra reducido a la autenticación de aplicaciones y recursos
que se acceden a través de la web.
Es preciso indicar, no obstante, que estos gestores integrados
dentro de los navegadores web almacenan las contraseñas de una
forma poco segura. En la actualidad, muchas empresas desaconsejan
a los usuarios la utilización de los mismos, debido justamente a
la facilidad con que esta información sensible puede ser
sustraída.
A continuación indicamos las características principales de
algunos gestores de contraseñas. No pretende ser una lista
exhaustiva sino simplemente mostrar algunos productos que
realizan esta función.
Password Safe
El primer gestor de contraseñas que comentamos está disponible
para los sistemas Windows (incluyendo Windows CE) y es una
aplicación de código abierto. Inicialmente desarrollada por Bruce
Schneier, almacena las contraseñas dentro de una base de datos
cifrada con el algoritmo Blowfish. Se distribuye con el código
fuente completo y su mecanismo de cifrado ha sido cuidadosamente
verificado por la empresa Counterpane.
SplashID
Esta es una aplicación comercial, especialmente dirigida a los
usuarios de asistentes personales (da soporte a los sistemas
operativos PalmOS y PocketPC), aunque también dispone de una
versión para Windows, que se sincroniza con los datos del
asistente personal. También cifra la información con el algoritmo
Blowfish.
Figaro’s Password Manager
Es otra aplicación de código abierto, para el entorno GNOME. Como
las anteriores, la base de datos se encuentra cifrada con el
algoritmo Blowfish. Se integra con el navegador web, actuando
como un gestor de favoritos y rellenando automáticamente los
campos de autenticación del usuario.
PasswordVault
Aplicación comercial (aunque está disponible una versión
gratuita) con versiones para Windows y Mac, que también puede
almacenar las contraseñas dentro de una base de datos
especializada cifrada con el algoritmo Blowfish.
xavi@hispasec.com
Más información:
Password Safe
http://www.schneier.com/passsafe.html
http://sourceforge.net/projects/passwordsafe/
SplashID
http://www.splashdata.com/splashid/index.htm
http://www.splashdata.com/ppc/splashid/index.htm
Figaro’s Password Manager
http://fpm.sourceforge.net/
PasswordVault
http://www.lavasoftware.com/passwordvault.html
Deja una respuesta