Lo Último

.

.

miércoles, 18 de enero de 2012

DPA: Gestor de contraseñas, una herramienta mejor que la memoria


(dpa) – Los programas gestores de contraseñas alivian la memoria cerebral y, si son bien empleados, proporcionan mayor seguridad. El usuario debe pensar muy bien en qué solución confiar para guardar la clave de su vida en la computadora.

La navegación en Internet es una verdadera gimnasia para la memoria. Sea el correo, la dirección de amigos en Facebook o la cuenta bancaria: para cada cosa hay que acordarse del número de cliente, de la clave de entrada o de la contraseña.

Muchos se ayudan mediante una nota en el bolsillo o una contraseña única para todo. Lo primero no es demasiado cómodo, lo segundo tampoco es especialmente seguro. Lo que verdaderamente ayuda son los programas gestores de contraseñas: guardan los datos de acceso en una especie de caja fuerte virtual que el usuario puede abrir con una sola contraseña.

Toda una serie de productos viene ahora en apoyo a la memoria: gratuitos o de pago, desde el simple banco de datos hasta el complejo gestor de varias identidades. “Las propias necesidades determinan cuál es la elección correcta”, señala Marit Hansen, especialista del Centro de Protección de Datos ULD, en el estado alemán de Schleswig-Holstein. Los productos gratuitos no son necesariamente los peores, y es por ello que aconseja, antes de instalar un programa, informarse primero de los tests en revistas especializadas o en Internet.

Algunos programas funcionan sólo en la computadora local. Hay otros con versión en memoria USB, de modo que el usuario pueda llevar consigo sus datos de acceso en el bolsillo. Si el software puede administrar varias identidades, ello facilita la separación entre el trabajo y la vida privada. Y algunos programas gestores sirven no sólo de caja fuerte sino que además ayudan a la creación de contraseñas más complicadas y, por ello, más seguras.


Pese a todo, esta comodidad tiene sus riesgos. “No todos los navegadores tienen una contraseña para el administrador del sistema”, dice Ruben Wolf, del Instituto Fraunhofer en Darmstadt.
Quien tenga acceso a la computadora puede entrar también en el correo o la cuenta de Facebook. Precisamente en Firefox, uno de los navegadores favoritos, es importante la contraseña del administrador del sistema: sin ésta, el programa almacena los datos sin codificar.

Algunos proveedores guardan la clave de la vida digital “en la nube”, es decir, en el servidor. Esto resulta muy cómodo, pues está al alcance de todo lugar que tenga acceso a Internet. No obstante, los especialistas tienen objeciones de seguridad: últimamente se ha revelado que muchos servicios en la nube no están suficientemente asegurados contra ataques externos, advierte Marit Hansen.

En tal sentido, el conocido gestor de contraseñas LastPass tuvo últimamente un grave traspiés. Por ello, la especialista aconseja: “Lo mejor es guardar las contraseñas en el propio entorno de seguridad” – es decir, no en la nube.

Cualquiera que sea el procedimiento que se use, lo importante es la codificación, para lo cual el experto del Instituto Fraunhofer aconseja un sistema actual. Para ello, por ejemplo, los sistemas AES 128 o AES 256, de amplia difusión, permiten tantas combinaciones de claves que un atacante precisaría de años de cálculo para descifrarlas por el sistema conocido como “ataque fuerza bruta”.

Ninguna codificación sirve de nada si el ladrón puede adivinar la clave de acceso o dispone de suficiente capacidad de computación. Quien guarda la clave para todo su sistema digital en un lugar, debe ingeniarse una contraseña segura.  


De ninguna manera debe emplarse palabras de uso común, nombres ni apellidos comunes. Los hackers hacen que sus programas prueben todas las palabras, nombres o combinaciones posibles de ambos: casa, oficina, papá, Pérez, González, Pedro, José, año2012, etcétera. Es lo que se llama “ataque diccionario”. Incluso tampoco una compleja combinación de caracteres debería ser problema para el usuario: “A fin de cuentas, usamos la contraseña a menudo y acabamos por aprenderla de memoria”, dice Wolf.

Casi todos los gestores de contraseñas tienen empero un punto débil: al negar al atacante acceso a los datos secretos, le está indicando ya que usa una contraseña equivocada, lo cual permitirá al intruso dar a su software instrucciones para probar otras posibilidades. Para ello, el Instituto Fraunhofer de Darmstadt creó el programa MobileSitter para teléfonos móviles.

“Nuestro procedimiento permite al atacante entrar sin problemas con cualquier clave de administrador, y que incluso halle también contraseñas”, explica Ruben Wolf. “Pero el hacker ignora si se trata de contraseñas falsas o verdaderas”, con lo cual acaba en una confusión total.

Wolf explica el efecto de MobileSitter: “El atacante abre la caja de caudales usando cualquier clave de acceso y puede ver allí joyas guardadas, pero no sabe si éstas son verdaderas o falsificadas”. De esta manera, todo ataque por fuerza bruta o por diccionario termina en fracaso y resulta infructuoso.

Cualquiera que sea el sistema que se elija para dominar el caos de las contraseñas, la especialista Marit Hansen aconseja suma cautela. Hay que mantenerse alertas a las informaciones de prensa sobre filtraciones en sistemas de seguridad o actualización de programas. Y recomienda mantener una copia de seguridad de la lista codificada de contraseñas en un soporte externo, como una memoria USB, y mantenerlo en un lugar seguro. “Porque, si se confía en un gestor de contraseñas, uno se hace dependiente”, señala.

Con todo, la memoria es la mejor caja fuerte. Entre 15 y 20 contraseñas debe mantener el usuario en su memoria, según estimaba la asociación informática alemana Bitkom en el año 2007, pero hoy en día deben ser muchas más. En todo caso, la mayoría resiste confiarse en un medio auxiliar: el 74 por ciento se aprende las claves de memoria, el 16 por ciento las guarda en un papel en algún lugar de casa.

Otro seis por ciento escribe sus contraseñas en la agenda o en una hoja que guarda en el portamonedas. El instituto de opinión pública Forsa interrogó al respecto a 1.000 ciudadanos alemanes, por encargo de Bitkom.