¿Tienes un administrador de contraseñas? Bien, pero lo usas mal.

(Imagen: Oleksandr Hruts / Getty)

¡Felicidades! ¡Seguiste nuestros consejos e instalaste un administrador de contraseñas! Tal vez incluso lo entrenaste para recordar todas tus contraseñas. Pero, ¿ha reemplazado las contraseñas incorrectas por otras seguras? ¿Protegió todas estas contraseñas con una contraseña maestra segura que nadie más pudiera adivinar? En resumen: ¿estás usando el administrador de contraseñas correctamente?

Stuart Schechter, conferencista y líder del curso de privacidad y seguridad utilizable de UC Berkeley, se preocupa de que no lo estés. Tanto es así que animaba a sus alumnos de posgrado a averiguar qué estaba haciendo. En la Conferencia de seguridad virtual de RSA en 2021, Schechter y el estudiante graduado David Ng revelaron sus hallazgos.


La contraseña está muerta, viva la contraseña.

Schechter se presentó como el tipo que usó una máscara N95 en el RSAC del año pasado, lo cual era raro entre el mar de rostros desnudos. Señaló que esto no se debió a ninguna clarividencia con respecto a la pandemia de coronavirus, sino a una aversión a las suposiciones optimistas en ausencia de datos. Asimismo, sin ningún dato, no puede asumir que los consumidores usan los administradores de contraseñas como deberían.

Schechter volvió a la predicción de 2004 de Bill Gates, quien dijo que usaríamos cada vez menos contraseñas. «Microsoft habló de erradicar las contraseñas como si fuera una enfermedad como la viruela», dijo Schechter. «Pero un campo separado apostó a que las contraseñas se multiplicarían y no desaparecerían». Profundizó en la evolución de los administradores de contraseñas, junto con eventos como el lanzamiento de CardSpace de Microsoft en 2006, que se suponía que terminaría con las contraseñas (no sucedió), y su declaración de que Windows 10 significó el final de las contraseñas (no sucedió). ocurrir).

El uso de un administrador de contraseñas tiene un riesgo interno: pones todos los huevos en una canasta. En el improbable caso de que los piratas informáticos rompan su administrador de contraseñas, está en problemas. Los beneficios de usar un administrador de contraseñas son innumerables, incluida la protección contra las estafas de phishing.

«Confías en tu administrador de contraseñas para ingresar una contraseña que ni siquiera conoces. Si te encuentras con un sitio de phishing, el administrador de contraseñas no lo llenará”, dijo Schechter. «Tendrás que buscarlo en el administrador de contraseñas, y eso en sí mismo es una gran pista de que estás phishing».

Nuestros mejores gestores de contraseñas

En un estudio anterior, Schechter y sus colegas evaluaron la capacidad de las personas para memorizar contraseñas seguras. ¿Buenas noticias? Descubrieron que casi cualquiera podía recordar una contraseña muy segura. Sin embargo, la mala noticia es que requería de 20 a 30 entrenamientos con al menos media hora de diferencia y que la contraseña podría olvidarse si no se usa con regularidad.

Todos los beneficios de usar un administrador de contraseñas dependen de tres suposiciones: asumimos que los usuarios recuerdan una contraseña segura; que confiarán en la capacidad del administrador de contraseñas para generar contraseñas aleatorias; y que cambia cualquier contraseña que sea débil, reutilizada o comprometida. Pero, ¿son correctas estas suposiciones? En lugar de optar por el optimismo ante la ausencia de datos, Schechter alentó a sus estudiantes de posgrado a buscar la verdad.


fecha, fecha, fecha

El estudiante de posgrado David Ng entró en gran detalle sobre cómo el grupo encontró a sus participantes, atrayendo a un grupo inicial de casi 2500 personas a unas 100 que usaron el administrador de contraseñas durante más de cinco meses; manejado al menos cinco contraseñas; y estaban dispuestos a proporcionar una captura de pantalla del panel de seguridad del administrador de contraseñas.

Entonces, ¿los participantes usaron una contraseña maestra segura? Pocos administradores de contraseñas generaron una contraseña que luego memorizaron. Un grupo mucho más grande creó la contraseña utilizando un dispositivo mnemotécnico, como sugerimos a menudo en PCMag. Desafortunadamente, el grupo más grande admitió que usaron la contraseña familiar nuevamente como clave maestra para sus administradores de contraseñas.

Puede usar el administrador de contraseñas para almacenar pulsaciones de teclas y dejar todas sus contraseñas configuradas en 12345678 o alguna otra contraseña terrible. Por supuesto, el uso adecuado requiere que convierta estas contraseñas débiles en contraseñas generadas por la utilidad de contraseñas. El estudio encontró que apenas una quinta parte de los que confían en el administrador de contraseñas integrado de Chrome alguna vez le permitieron generar contraseñas. Aproximadamente la mitad de los que confían en herramientas de terceros han utilizado esta función.

El estudio examinó además cómo (y si) los participantes usaron la capacidad del panel de seguridad para identificar contraseñas débiles, duplicadas y rotas. Los resultados fueron disuasorios. Incluso aquellos participantes que estuvieron de acuerdo en que la herramienta de contraseñas identificaba correctamente las contraseñas que necesitaban ser intercambiadas a menudo no lo hicieron. hacer nada sobre el problema. Las razones incluían que era demasiado trabajo o que temían que actualizar la contraseña pudiera estar causando el problema.


No asuma que las personas saben lo que están haciendo

Ng terminó la presentación con una advertencia para los expertos en seguridad y las personas. El hecho de que las personas tengan un administrador de contraseñas no significa que estén completamente protegidas.

«No espere que la gente elija palabras clave fuertes», dijo. «No asuma que usarán contraseñas creadas por un administrador de contraseñas. Y no espere que reemplacen las contraseñas débiles, reutilizadas o comprometidas, incluso cuando se las recuerden».

Recomendado por nuestros editores


Cómo ingresar contraseñas correctamente

Has visto que demasiadas personas instalan un administrador de contraseñas y luego no lo usan correctamente. ¡No seas como ellos! Deje que sus errores se conviertan en sus momentos de enseñanza.

Comience con la contraseña maestra. Como se mencionó, protege el inicio de sesión de su caja registradora, por lo que debe ser algo que recuerde pero que nadie adivinaría. Sigue nuestros consejos y convierte tu poema o canción favorita en un eslogan o elige algo impredecible de tu vida personal.

¡No te detengas allí! Mejore la protección de sus valiosas contraseñas habilitando la autenticación multifactor. Todos los mejores administradores de contraseñas lo tienen. Ahora, ni siquiera un villano que robe su contraseña poco confiable puede ingresar, porque solo usted tiene un factor de autenticación diferente. Este factor puede ser biométrico o puede funcionar a través de la aplicación en su teléfono (y nadie más).

Muchos administradores de contraseñas evalúan sus contraseñas almacenadas e identifican cualquier lama que haya usado varias veces o que se haya detectado durante una fuga de datos. Sé que es tedioso, pero tienes que revisarlos y reemplazarlos con contraseñas nuevas, largas y seguras. Comienza con las peores y haz varias a la vez hasta que todas tus contraseñas sean perfectas. No tienes que inventar estas nuevas contraseñas; su administrador de contraseñas las generará por usted.

¿Quizás te resististe a usar contraseñas complejas porque no quieres escribirlas en el pequeño teclado de tu teléfono? ¡No te resistas más! Instale la aplicación móvil del administrador de contraseñas y vincúlela a su cuenta. Ahora iniciar sesión en su teléfono es muy fácil.

Acepte el aviso y aprenda a usar el administrador de contraseñas correctamente. Si muchos de ustedes lo hacen, tal vez otro estudio muestre algunos las personas son lo suficientemente inteligentes como para aprovechar al máximo estos útiles programas.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática