Este artículo necesita citas adicionales para su verificación . ( junio de 2013 ) |
Un administrador de contraseñas es un programa informático que permite a los usuarios almacenar y administrar sus contraseñas [1] para aplicaciones locales o servicios en línea como aplicaciones web , tiendas en línea o redes sociales . [2] Un navegador web generalmente tiene una versión incorporada de un administrador de contraseñas. Estos han sido criticados con frecuencia ya que muchos han almacenado las contraseñas en texto sin formato, lo que permite intentos de piratería.
Los administradores de contraseñas pueden generar contraseñas [3] y completar formularios en línea . [2] Los administradores de contraseñas pueden existir como una combinación de: aplicaciones informáticas , aplicaciones móviles o como extensiones del navegador web . [4]
Un administrador de contraseñas puede ayudar a generar contraseñas y almacenarlas, [1] [5] [6] generalmente en una base de datos cifrada . [7] [8] Además de las contraseñas, estas aplicaciones también pueden almacenar datos como información de tarjetas de crédito, direcciones e información de viajeros frecuentes. [3]
El objetivo principal de los administradores de contraseñas es aliviar un fenómeno de ciberseguridad conocido como fatiga de contraseñas , donde un usuario final puede verse abrumado al recordar múltiples contraseñas para múltiples servicios y qué contraseña se usa para qué servicio. [3]
Los administradores de contraseñas generalmente requieren que el usuario cree y recuerde una contraseña "maestra" para desbloquear y acceder a toda la información almacenada en la aplicación. [9] Los administradores de contraseñas pueden optar por integrar la autenticación multifactor [9] a través de huellas dactilares o mediante software de reconocimiento facial . [10] Aunque esto no es necesario para usar la extensión de la aplicación/navegador.
El primer software de administración de contraseñas diseñado para almacenar contraseñas de forma segura fue Password Safe creado por Bruce Schneier , que se lanzó como una utilidad gratuita el 5 de septiembre de 1997. [11] Diseñado para Microsoft Windows 95 , Password Safe utilizó el algoritmo Blowfish de Schneier para cifrar contraseñas y otros datos confidenciales. Aunque Password Safe se lanzó como una utilidad gratuita, debido a las restricciones de exportación de criptografía de EE. UU. vigentes en ese momento, inicialmente solo los ciudadanos estadounidenses y canadienses y los residentes permanentes pudieron descargarlo. [11] A partir de octubre de 2024 , el Administrador de contraseñas de Google integrado en Google Chrome se convirtió en el administrador de contraseñas más utilizado.[update]
Los administradores de contraseñas vienen en varios formatos, cada uno con sus propias ventajas y desventajas. A continuación, se detallan los tipos más comunes: [12]
Algunas aplicaciones almacenan contraseñas como un archivo no cifrado, lo que las deja fácilmente accesibles para malware o personas que intentan robar información personal.
Algunos administradores de contraseñas requieren una contraseña maestra o frase de contraseña seleccionada por el usuario para formar la clave que se utiliza para cifrar las contraseñas almacenadas para que la aplicación las lea. La seguridad de este enfoque depende de la solidez de la contraseña elegida (que puede ser adivinada a través de malware) y también de que la frase de contraseña en sí nunca se almacene de forma local donde un programa o individuo malintencionado pueda leerla. Una contraseña maestra comprometida puede hacer que todas las contraseñas protegidas sean vulnerables, lo que significa que un único punto de entrada puede comprometer la confidencialidad de la información sensible. Esto se conoce como punto único de fallo .
Si bien los administradores de contraseñas ofrecen una seguridad sólida para las credenciales, su eficacia depende de la seguridad del dispositivo del usuario. Si un dispositivo se ve comprometido por malware como Raccoon, que se destaca por robar datos, las protecciones del administrador de contraseñas pueden quedar anuladas. El malware como los keyloggers pueden robar la contraseña maestra utilizada para acceder al administrador de contraseñas, lo que otorga acceso total a todas las credenciales almacenadas. Los rastreadores del portapapeles pueden capturar información confidencial copiada del administrador, y algunos malware pueden incluso robar el archivo de la bóveda de contraseñas encriptadas. En esencia, un dispositivo comprometido con malware que roba contraseñas puede eludir las medidas de seguridad del administrador de contraseñas, lo que deja vulnerables las credenciales almacenadas. [13]
Al igual que con las técnicas de autenticación de contraseñas, se puede utilizar el registro de teclas o el criptoanálisis acústico para adivinar o copiar la "contraseña maestra". Algunos administradores de contraseñas intentan utilizar teclados virtuales para reducir este riesgo, aunque esto sigue siendo vulnerable a los registradores de teclas [ cita requerida ] que registran las pulsaciones de teclas y envían la tecla que se presionó a la persona o personas que intentan acceder a información confidencial.
Los administradores de contraseñas basados en la nube ofrecen una ubicación centralizada para almacenar las credenciales de inicio de sesión. Sin embargo, este enfoque plantea problemas de seguridad. Una vulnerabilidad potencial es una filtración de datos en el propio administrador de contraseñas. Si se produjera un incidente de este tipo, los atacantes podrían obtener acceso a una gran cantidad de credenciales de usuario. Un incidente de seguridad ocurrido en 2022 con LastPass ejemplifica este riesgo. [13]
Algunos administradores de contraseñas pueden incluir un generador de contraseñas. Las contraseñas generadas pueden ser adivinables si el administrador de contraseñas utiliza un método débil para generar aleatoriamente una "semilla" que contiene todas las contraseñas generadas por este programa. Existen casos documentados, como el de Kaspersky Password Manager en 2021, en los que una falla en el método de generación de contraseñas resultó en contraseñas predecibles. [14] [15]
Un artículo de 2014 elaborado por investigadores de la Universidad Carnegie Mellon descubrió que, si bien los navegadores se niegan a completar automáticamente las contraseñas si el protocolo de la página de inicio de sesión difiere del protocolo de cuando se guardó la contraseña ( HTTP frente a HTTPS ), algunos administradores de contraseñas completaban de forma insegura las contraseñas para la versión no cifrada (HTTP) de las contraseñas guardadas para sitios cifrados (HTTPS). Además, la mayoría de los administradores carecían de protección contra ataques basados en iframe y redireccionamiento , lo que potencialmente exponía contraseñas adicionales cuando se utilizaba la sincronización de contraseñas en varios dispositivos. [16]
This article needs to be updated.(June 2022) |
Varios sitios web de alto perfil han intentado bloquear los administradores de contraseñas, y a menudo han dado marcha atrás cuando se los ha cuestionado públicamente. [17] [18] [19] Entre las razones citadas se incluyen la protección contra ataques automatizados , la protección contra el phishing , el bloqueo de malware o simplemente la denegación de compatibilidad. El software de seguridad del cliente Trusteer de IBM cuenta con opciones explícitas para bloquear los administradores de contraseñas. [20] [21]
Los profesionales de la seguridad de la información han criticado este tipo de bloqueo por considerar que hace que los usuarios estén menos seguros. [19] [21] La implementación típica del bloqueo implica la configuración de la contraseña en el formulario webautocomplete='off'
correspondiente . Esta opción ahora se ignora en los sitios cifrados , [16] como Firefox 38, [22] Chrome 34, [23] y Safari desde aproximadamente la versión 7.0.2. [24]