¿Son seguros los administradores de contraseñas?

Ya sabe la importancia de usar contraseñas seguras y las amenazas que enfrenta si no lo hace. Para forzar contraseñas seguras, muchos de nosotros usamos administradores de contraseñas. Se supone que deben mantener nuestros datos seguros, pero a veces es posible que haya una falsa sensación de seguridad.. Además, no todos los administradores de contraseñas ofrecen el mismo nivel de seguridad. Esto podría llevar a los piratas informáticos a usar ataques de fuerza bruta y robar su identidad.

¿Son seguros los administradores de contraseñas?

¿Son seguros los administradores de contraseñas??

Administradores de contraseñas y por qué se usan

Los administradores de contraseñas son aplicaciones, extensiones de navegador o herramientas que se utilizan para almacenar todas sus contraseñas de forma segura. Estos incluyen las numerosas contraseñas que crea en muchos sitios como Amazon, Netflix o YouTube cuando se registra. Del mismo modo, es posible que haya creado contraseñas seguras que son difíciles de recordar para su correo electrónico, ISP, su compañía telefónica y otros.

Puede guardar todas estas contraseñas en la aplicación y bloquearlas creando una contraseña diferente. Básicamente, para acceder a todas sus credenciales de inicio de sesión, solo necesita una. Esa es la contraseña que tiene para el administrador de contraseñas. Abra la aplicación, elija la contraseña del servicio que desea usar, cópiela y péguela. Algunos administradores de contraseñas ofrecen seguridad adicional con opciones como la autenticación de dos factores. Algunos ofrecen facilidad de acceso con formularios de autocompletar donde ingresa automáticamente los campos de inicio de sesión de un servicio o sitio web.

Problemas con los administradores de contraseñas

Si bien es cierto que las aplicaciones de administración de contraseñas demuestran que le brindan más comodidad para acceder a la red, no puede ignorar las amenazas que representan. Especialmente cuando está utilizando una extensión de navegador disponible con su aplicación de administrador de contraseñas, las amenazas son enormes. Visitar un sitio web que puede infectar su dispositivo con malware hace que sus datos sean vulnerables a una serie de ataques como XSS (Cross-Site Scripting) o CSRF (Cross-Site Request Forgery).

Un ejemplo de ello es una vulnerabilidad de seguridad anterior de LastPass, donde el sitio web vulnerable probablemente se inyectaría con un script de espionaje. Esto podría verificar en su navegador la extensión mencionada si la habilita mientras visita el sitio. Se mostrará una notificación idéntica a la de LastPass en la página que le indicará que su sesión ha expirado y que debe iniciar sesión nuevamente. Si hace clic en el enlace que se muestra, lo llevará a un sitio de phishing que se parece a la página de inicio de sesión de LastPass.

Cuando inicia sesión, el sitio malicioso verifica con la API LastPass y confirma sus credenciales. Si son correctos, el sitio le solicitará que ingrese el token de autenticación de dos factores. Verificando con la API LastPass una vez más, el sitio envía sus datos al servidor del hacker de inmediato. Pero si se descubre que los detalles de inicio de sesión son incorrectos, el script en el sitio cargará un mensaje de error, solicitándole que intente nuevamente.

Otros problemas de seguridad pasados ​​de Ultimo pase están entregando a los hackers acceso completo a sus comandos RPC privilegiados internos y ejecutan código. El hacker también podría anular mensajes legítimos y crear ataques de phishing similares.

Internet inseguro

El ejemplo anterior no es el único problema de los administradores de contraseñas basados ​​en el navegador que salió a la luz. Según Network World, Keeper, 1Password y Dashlane también han experimentado problemas de seguridad.

Una vulnerabilidad de seguridad anterior de Keeper fue que la extensión inyectó su IU de confianza en un sitio no confiable. Esto lo dejó abierto a ataques como CSRF, XSS y otros. Dashlane experimentó una vulnerabilidad de seguridad universal de XSS, que permitiría a los sitios atacarse entre sí con vulnerabilidades de XSS y comprometer cookies, credenciales de inicio de sesión y otros datos de usuario. Los problemas de seguridad anteriores de 1Password llevaron a deshabilitar el modelo de seguridad local, la virtualización y el sandboxing, entre otras características.

Estos problemas son solo consejos del iceberg

Cada día, los piratas informáticos están encontrando formas más inteligentes de atacar y los sitios de phishing están mejorando para ser indetectables. Hemos visto que varios administradores de contraseñas tienen habilitada su función de autocompletar. Según Wired, llenar el formulario de inicio de sesión en una página web con sus credenciales guardadas es la mayor vulnerabilidad de seguridad. Según el Centro de Política de Tecnología de la Información de Princeton, los piratas informáticos que explotan estas vulnerabilidades de larga data en las extensiones del navegador web en los administradores de contraseñas son solo el comienzo.

Los scripts avanzados de los piratas informáticos pueden rastrear esta función de autocompletar y robar sus credenciales de inicio de sesión. Si bien los números muestran que tales ataques ocurrieron en solo mil sitios hasta ahora, podemos estar seguros de que solo se están preparando. Cuando detecta una violación de seguridad, puede cambiar su contraseña. Sin embargo, con estas vulnerabilidades, sus datos de usuario serán robados sin su conocimiento. Los administradores de contraseñas no podrán salvarte una vez que esto suceda.

Protegiendo sus contraseñas

Entonces, ¿los sitios web no le notificarán si han sido pirateados? Si tiene en mente esta pregunta, debe saber que ha habido muchos casos en los que los sitios web no hicieron nada para mantener informados a sus usuarios. Incluso cuando grandes empresas como Yahoo! y Uber tuvo una violación de datos, los usuarios no fueron notificados. Por lo tanto, incluso si confía en un administrador de contraseñas seguro, comprenda que sus datos no pueden estar a salvo de sitios web o empresas que no tienen la seguridad adecuada en sus sitios.

Opinión de la gente sobre los administradores de contraseñas

Hay muchas personas que no están de acuerdo con que los administradores de contraseñas sean seguros. Por ejemplo, veamos la opinión de Dave, que es programador en una empresa de software, cree que “Usar un administrador de contraseñas local es mejor ya que un servicio basado en la nube puede ser pirateado fácilmente”. Además, tiene sentido usar un cliente de administración de contraseñas si necesita guardar cientos de credenciales de inicio de sesión, como lo hago yo, para fines comerciales “.

Sin embargo, esta tampoco es una forma segura, según Matt, quien es contador. Él dice que le gusta depender de su propia memoria, en lugar de confiar en algún dispositivo para guardar sus valiosas contraseñas. Según él, todos los dispositivos son vulnerables y los datos podrían ser robados por alguien que tenga acceso físico a sus dispositivos..

Rosie, una alumna que opina lo mismo, cree: “Tengo la costumbre de guardar mis contraseñas en una hoja de trabajo protegida en MS Excel. Utilizo una frase de contraseña de más de 20 caracteres, que estoy seguro es bastante difícil de descifrar. No confío en el almacenamiento de dispositivos locales o basados ​​en la nube más que en mi propia memoria para proteger mi información más confidencial “.  

¿Debe usar un administrador de contraseñas??

Ahora que conoce todas las posibles vulnerabilidades de seguridad de los administradores de contraseñas, ¿debería dejar de usar una? El hecho es que si tiene más cuentas, es mejor usar una, ya que obtiene una capa adicional de seguridad. Es mucho mejor que no tener ninguno; no guardarlos plantea riesgos mucho mayores que tener uno. Pero asegúrese de usar un administrador de contraseñas seguro y que con frecuencia actualiza su seguridad contra ataques de fuerza bruta.   

De cualquier manera, nunca use extensiones de navegador o aplicaciones de navegador incorporadas para la administración de contraseñas, como la que obtiene con Chrome. En lugar de eso, use cualquier opción de escritorio, ya que ofrecen la mayor seguridad y la función de autocompletar. Como copia de seguridad, también puede guardar sus contraseñas en un dispositivo o archivo encriptado.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me