Gestionando contraseñas online

Llevo varios días dándole muchas vueltas al tema de la securización de mis contraseñas y no es para menos, ya que supongo que al igual que tú, estoy registrado en cientos de servicios con contraseñas iguales o muy parecidas. Claramente esto no es viable.

Tras estar revisando varias opciones desktop para Mac, acabé por rechazarlas todas para seguir en la búsqueda de un gestor de contraseñas online, el cual si bien es cierto, puede dar cierto miedo, puede llegar a ser más seguro que uno sobre la plataforma desktop.

Mi amigo Francisco Vargas hace nada posteo acerca de como gestionaba sus perfiles digitales a través de Sxipper, un servicio genial el cual utiliza OpenID como base. Este servicio, además de ser perfecto en mucho sentidos también dispone de la esencial extensión de Firefox autologueo con la que promete no tener que acordarte de ninguna contraseña en un buen tiempo.

Pese a todo esto debo decir que finalmente opté por un servicio llamado PassPack del que podéis ver alguna que otra review en Bitelia, Genbeta, Webware o Ajaxian. Antes de finalmente optar por éste, acabé probando servicios como Clipperz, Shibbo, Agatra o Passlet, que no me dieron la suficiente confianza como para seguir utilizándolos ya que no especificaban claramente que procedimientos utilizaban para cifrar mis contraseñas.

PassPack ofrece de manera sencilla el almacenamiento de cualquier dato confidencial a través de su web, a la que se accede a través de usuario, una contraseña a modo de frase y un packing key del estilo similar el de la contraseña. Todo esto bajo AES y aSSL. Además, permite fácilmente la exportación e importación de contraseñas, el auto-login y demás características que hacen de este servicio ideal para cualquiera.

Actualmente puedo cerciorarme de que es un servicio muy seguro ya que este packing key no es almacenado en sus servidores, pero nunca puedo olvidar el miedo o posibilidad de perder toda esta cantidad de datos. Por ello mismo y dado a esta necesidad de muchos ¿confiarías estos datos a una web de este tipo?

9 Comentarios en “Gestionando contraseñas online”

Diego

Pues hombre, la verdad es que yo he estado (y quizás esté) igual que tú, con tropecientas mil contraseñas para los sitios web. Pero no me termino de fiar de los servicios online, aunque este que comentas parece interesante.
A priori te diría que Sxipper, por aquello de la falsa seguridad que te da que se use Open ID con identificador.
¿Al final qué hago yo? Truecrypt y fichero con password encriptadas. La mayoría me las sé ya, a pesar de ser distintas con cada página (mini algoritmo de andar por casa que tengo para recordarlas) y no me va mal. Me falta encontrar un Truecrypt para Mac, que no lo hay (aunque hay servicios similares).

3 de Enero de 2008 a las 3:32 pm
Lore Sáez

Creo que sí, por lo menos las contraseñas web que utilizo.

Claro que las del banco no las confio en ninguna parte, esa solo las almaceno en mi cerebro, porque todos los sistemas son vulnerables.

Salu2

3 de Enero de 2008 a las 3:33 pm
Carlos Mantero

@Diego Si te digo la verdad me he estado revisando lo de Truecrypt pero no se hasta que punto me sería útil. Gracias a PassPack ahora ando en cualquier servicio con contraseñas de más de 20 caracteres alfanuméricos, lo que quieras o no me da cierta seguridad.

Por esta misma razón, ahora mismo se me hace algo imposible acordarme de todas como comprenderás. Me gustaría hablar con la gente de PassPack a ver que me comentan, aunque por el momento ya me hayan convencido.

@Lore Pienso igual que tu en cuanto a las del banco y demás cuentas relacionadas con dinero. Aún así, me quedo pensando que no todo lo que tiene valor intrínseco es el dinero, quiero decir, que alguna contraseña de algún FTP me puede suponer el pan de algún mes.

3 de Enero de 2008 a las 3:49 pm
Rodrigo Aguilar

La verdad es que aun no tengo tanta confianza en dejar mis contraseñas en un servicio web. Prefiero tener una sola contraseña lo suficientemente fuerte aunque no se si esto sea mejor

3 de Enero de 2008 a las 4:02 pm
Alex Súbaru

Trasteando un poco con Packpass, para empezar no me da cierta confianza un servicio que aún está en beta, ya que puede tener algún que otro problema de seguridad. Ya justo empezar, he visto uno bastante peligroso, que es el de haberme creado una cuenta, haber añadido mis datos, el nombre de mi userID, la password de entrada y la segunda que tiene que ser de más de no se cuantos bits y para el asombro de mis ojos, me mostró a modo de confirmación todos esos datos importantes.

Aquí es donde pienso: “vale, ahora mismo estoy en mi oficina creándome una cuenta, alguien pasa y me copia todos los datos sin que me de cuenta, toda seguridad de encriptación y lo demás se va al garete, de la misma manera, puedo estar en la oficina y mi ordenador controlado por acceso a control remoto y yo sin darme cuenta, el cabrón del gestor, me pilla los datos”. Es cierto que es una teoría demasiado conspiparanoica, pero creo que, en temas de seguridad, hay que cerrar todos los cabos y no puede tener ni un solo fallo y este a mi parecer es bastante grave.

Personalmente utilizo un software llamado KeePass Password, es simple, fácil y se puede llevar en un pendrive. Puedes escribir tu user, url, comentarios.. o sea, lo mismo que en todos, además de poder crear contraseñas con bastantes opciones de configuración como puede ser el alternar mayúsculas con minúsculas, utilizar símbolos especiales o elegir el número de letras que quieres que tenga. Su punto más fuerte es el poder copiar el user y password en el portafolios sin tener que mirar los datos para nada, y claro, a los 10 segundos, el portafolios se borra para que nadie pueda volverlos a copiar. Y eso sin contar el reseteo del programa en el caso de que no lo utilices en unos segundos, lo que hará que vuelvas a insertar la contraseña para volver a acceder a las demás.

En fin, no te voy a vender la moto porque coincido en que es mucho más rápido acceder a las contraseñas desde Internet y no tener que cargar con el pendrive (además de ser un soporte físico que cualquiera puede robar y opino que cualquier seguridad se puede romper si te lo propones y por mucho que tardes).

Un saludo,

3 de Enero de 2008 a las 4:18 pm
Carlos Mantero

@Rodrigo Yo hasta ahora hacía algo del estilo pero por vaguería. El problema de esto es que si utilizas una misma contraseña (y seguramente mismo email) significa que si por algún motivo se ve comprometido cierto servicio o te roban la clave, estás poniendo en compromiso cientos de cuentas.

@Alex He estado viendo KeePass Password y parece genial, pero el simple hecho de poner todas las llaves en un USB aún me da más miedo.

Estoy de acuerdo en todo lo que dices, pero tal como se ve el tema hay que sacrificar o la seguridad de tener pocas contraseñas y no muy difíciles de memorizar por utilizar un servicio como este para manejar contraseñas de un alto número de caracteres.

También hay la posibilidad de guardarlas en papel, pero va aún me convence menos que el tema USB.

3 de Enero de 2008 a las 4:29 pm
Marco Barulli

Dear Carlos,
no hablo ni escribo bien en espanol, entonces te contesto en ingles.
Espero que mi respuesta te sea util para entender mejor nuestro servicio.

How can you write that Clipperz “no especificaban claramente que procedimientos utilizaban para cifrar mis contraseñas”?!

There are plenty of details about the security architecture of Clipperz.
See this page:
http://www.clipperz.com/learn_more/crypto_foundations

Moreover, Clipperz is the only service that makes the source code available to everyone.
http://www.clipperz.com/learn_more/reviewing_the_code

I would be honored if you could correct your post with the above information. Do not hesitate to contact for any further information about Clipperz and its “zero-knowledge” approach.

Muchas gracias,
Marco

3 de Enero de 2008 a las 5:09 pm
Carlos Mantero

@Marco Gracias por la información pero en la parte superior estaba generalizando sobre esos servicios, refiriéndome a que no me proporcionaban la suficiente seguridad como para utilizarlos.

Aún así te agradezco que hayas contactado conmigo e intentaré ponerme en contacto contigo personalmente. No estaría nada mal que me explicarás más sobre Clipprz.

Pese a lo anterior, mantendré el post tal cual lo escribí en su momento. ¡Gracias!

3 de Enero de 2008 a las 5:53 pm
Marco Barulli

@Carlos

Gracias.
Please try reading this post where we explain what is a “zero-knowledge web application”. I’m sure you will better understand Clipperz security and privacy.

http://www.clipperz.com/users/marco/blog/2007/08/24/anatomy_zero_knowledge_web_application

Marco
Clipperz co-founder

3 de Enero de 2008 a las 6:00 pm

Deja tu comentario

Sobre esta entrada...

Esta entrada fue publicada el Jueves 3 de Enero de 2008 a la/s 3:10 pm y está guardada dentro de la categoría Derechos, Internet, Utilidades.

Más entradas relacionadas

  • Otros de mis posts: Sábado 2 de Junio
  • Billeo recibe $7 millones de financiación
  • ¿Facebook dentro de 40 años?
  • Otros de mis posts: Lunes 28 de Mayo
  • Betting for online desktops

    • Proyectos

    buscador de pisos

    Bloguzz

    Categorías

    Archivos

    Blogroll

    Otros enlaces

    Posts interesantes