Saltar al contenido

Administradores de contraseñas: lo está haciendo mal

mayo 22, 2021
(Imagen: Getty)

Si te lo hemos dicho una vez, te lo hemos dicho un millón de veces: ¡obtén un administrador de contraseñas y úsalo! A juzgar por el éxito financiero del mercado de administradores de contraseñas, está prestando atención. ¿Pero estás usando tu administrador de contraseñas correctamente?

Stuart Schechter, profesor y líder del curso de la sección de Privacidad y seguridad utilizable de UC Berkeley, se preocupa de que usted no lo sea. Tanto es así que animó a sus estudiantes de posgrado a averiguar qué es lo que estás haciendo. En la conferencia de seguridad virtual de RSA esta semana, Schechter y el estudiante de posgrado David Ng revelaron sus hallazgos.


La contraseña está muerta, viva la contraseña

Schechter se presentó como ese tipo que llevaba una máscara N95 en el RSAC del año pasado, un bicho raro entre un mar de rostros desnudos. Señaló que esto no se debió a ningún tipo de presciencia sobre la pandemia de coronavirus, sino más bien a una aversión a hacer suposiciones optimistas en ausencia de datos. Del mismo modo, sin ningún dato, no puede asumir que los consumidores están utilizando administradores de contraseñas como deberían.

Schechter recordó una predicción de 2004 de Bill Gates, quien dijo que usaríamos cada vez menos contraseñas. “Microsoft habló de erradicar las contraseñas, como si fueran una enfermedad, como la viruela”, dijo Schechter. “Pero una apuesta de campo separada a que las contraseñas se multipliquen, no desaparezcan”. Se sumergió profundamente en la evolución de los administradores de contraseñas, junto con eventos como el lanzamiento de CardSpace de Microsoft en 2006 destinado a terminar con las contraseñas (no lo hizo), y su declaración de que Windows 10 significó el fin de las contraseñas (no lo hizo).

El uso de un administrador de contraseñas tiene un riesgo intrínseco: ha puesto todos sus huevos en una canasta. En el improbable caso de que un equipo de piratas informáticos descifre su administrador de contraseñas, está en problemas. Los beneficios de usar un administrador de contraseñas son innumerables, entre ellos la protección contra las estafas de phishing.

“Confías en tu administrador de contraseñas para ingresar una contraseña que ni siquiera conoces. Si accede a un sitio de phishing, el administrador de contraseñas no lo completará ”, dijo Schechter. “Tendrás que buscarlo en el administrador de contraseñas, y eso por sí solo es una gran pista de que estás siendo víctima de suplantación de identidad”.

En un estudio anterior, Schechter y un colega evaluaron la capacidad de las personas para recordar contraseñas seguras. ¿Las buenas noticias? Determinaron que casi cualquier persona puede memorizar una contraseña muy segura. La mala noticia, sin embargo, es que hacerlo requirió de 20 a 30 sesiones de capacitación con una diferencia de no menos de media hora, y que la contraseña podría olvidarse si no se usa regularmente.

Todos los beneficios de usar un administrador de contraseñas dependen de tres suposiciones: Asumimos que los usuarios memorizarán una contraseña segura; que dependerán de la capacidad del administrador de contraseñas para generar contraseñas aleatorias; y que cambiarán las contraseñas débiles, reutilizadas o comprometidas. Pero, ¿esas suposiciones son precisas? En lugar de optar por el optimismo en ausencia de datos, Schechter animó a sus estudiantes de posgrado a buscar la verdad.


Datos, datos, datos

El estudiante de posgrado David Ng dio muchos detalles sobre cómo el grupo encontró a sus participantes, reduciendo un grupo inicial de casi 2.500 personas a unas 100 que habían usado un administrador de contraseñas durante más de cinco meses; administrado al menos cinco contraseñas; y estaban dispuestos a proporcionar una captura de pantalla del panel de seguridad de su administrador de contraseñas.

Entonces, ¿los participantes usaron una contraseña maestra segura? Muy pocos hicieron que el administrador de contraseñas generara una que luego memorizaran. Un grupo mucho más grande elaboró ​​una contraseña utilizando algún tipo de mnemotécnica, como a menudo sugerimos en PCMag. Sin embargo, por desgracia, el grupo más grande admitió haber reutilizado una contraseña familiar como clave maestra para sus administradores de contraseñas.

Puede usar un administrador de contraseñas para guardar las pulsaciones de teclas mientras deja todas sus contraseñas configuradas en 12345678 o alguna otra contraseña terrible. El uso adecuado, por supuesto, requiere que cambie esas contraseñas débiles por algo generado por la utilidad de contraseñas. El estudio encontró que apenas una quinta parte de los que dependen del administrador de contraseñas integrado de Chrome alguna vez le permiten generar contraseñas. Aproximadamente la mitad de los que dependen de servicios públicos de terceros aprovecharon esta función.

Recomendado por nuestros editores

El estudio pasó a examinar cómo (y si) los participantes utilizaron la capacidad del panel de seguridad para identificar contraseñas débiles, duplicadas y comprometidas. Los resultados fueron desalentadores. Incluso aquellos participantes que estuvieron de acuerdo en que la herramienta de contraseñas identificaba correctamente las contraseñas que necesitaban ser reemplazadas, no hacer cualquier cosa sobre el problema. Las razones incluían que era demasiado trabajo o que les preocupaba que actualizar la contraseña pudiera causar un problema.


No asuma que la gente sabe lo que está haciendo

Ng concluyó la presentación con una advertencia para los expertos en seguridad y las personas. El hecho de que las personas tengan administradores de contraseñas no significa que estén completamente protegidos.

“No asuma que las personas elegirán contraseñas maestras seguras”, dijo. “No asuma que usarán contraseñas creadas por el administrador de contraseñas. Y no asuma que reemplazarán contraseñas débiles, reutilizadas o comprometidas, incluso cuando se lo recuerde “.

¿Y usted? Tienes un administrador de contraseñas, ¿verdad? ¿Ha revisado su tablero? ¿Ha reemplazado esas contraseñas poco convincentes y fáciles de adivinar? Si no, es hora de que te pongas serio.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines informativos en cualquier momento.