Administradores de contraseñas de código abierto vs propietarios
Hoy en día, todos tenemos una gran cantidad de suscripciones a cuentas y servicios en línea. Para que esas cuentas sean seguras, cada una de ellas debe tener una contraseña única y sólida. Además, las contraseñas verdaderamente seguras deben ser complicadas, lo que significa que son extremadamente difíciles de recordar..
La mejor solución es un administrador de contraseñas diseñado específicamente para recordar todas sus contraseñas en su nombre. Al utilizar un administrador de contraseñas, puede configurar contraseñas únicas y seguras para todas y cada una de las cuentas en línea sin la dificultad de tener que recordarlas todas.
Sin embargo, no todos los administradores de contraseñas se crearon de la misma manera, y hay algunas cosas importantes a considerar cuando se trata de elegir un servicio.
Contents
Administradores de contraseñas: ¿se puede confiar en ellos??
Cuando se trata de seleccionar un administrador de contraseñas, hay algunas consideraciones principales que hacen que esos servicios sean más o menos deseables entre sí. Uno de los más importantes es si el software es de código cerrado o de código abierto..
El software de código cerrado es propietario y tiene licencia (protegido por derechos de autor) de tal manera que a nadie se le permite usarlo, modificarlo o distribuirlo. Además, el software de código cerrado está bloqueado de tal manera que es imposible analizar el código (sin que el desarrollador le otorgue acceso directo).
Si el código para un administrador de contraseñas es de código cerrado, no se puede realizar una auditoría de terceros y es imposible verificar cualquier reclamo realizado por su desarrollador. Esto significa que debe confiar en el desarrollador del administrador de contraseñas cuando le indica cómo el administrador de contraseñas almacena o transmite los datos..
Cada vez que un administrador de contraseñas es de código cerrado, simplemente no sabe si el servicio es tan seguro como afirma el desarrollador, y podría poner en riesgo su privacidad y seguridad.
Echa un vistazo a nuestros administradores de contraseñas favoritos.
Código abierto: el estándar de oro
Aunque es posible publicar el código fuente de cualquier programa en línea (en Github, por ejemplo), esto hace que el código esté disponible pero no necesariamente "de código abierto". El software de código abierto no solo debe estar disponible para auditar, sino que también debe tener una licencia de código abierto que cumpla con la definición de código abierto.
El software que cumpla con esos estándares estrictos debe ser libre de redistribuir, debe proporcionar acceso ilimitado al código fuente y debe cumplir con las diez definiciones que caracterizan el código fuente como "código abierto". Software que se adhiere a esos estándares y para que el creador ha vacilado todos sus derechos con una licencia Creative Commons (CCL) es realmente de código abierto.
El software de código abierto puede ser auditado por un tercero. Esto es vital para la privacidad y la seguridad porque significa que los expertos en seguridad (o cualquiera que quiera) pueden analizar el código y verificar que no haya errores, vulnerabilidades o puertas traseras deliberadas. También significa que cualquier reclamo sobre estándares de cifrado, administración de claves, cómo se transmiten los datos a los servidores de la compañía o cómo se sincronizan los datos entre dispositivos, es realmente verificable.
También vale la pena señalar que si bien el código disponible públicamente no es necesariamente "código abierto" en la definición más estricta del término, sigue siendo satisfactorio por motivos de seguridad y privacidad. Esto se debe a que todavía permite que los profesionales de seguridad analicen y verifiquen el código fuente del servicio..
Otras consideraciones importantes.
Como puede ver, el código abierto vs. El código cerrado es una consideración importante a la hora de seleccionar cualquier software de privacidad. Sin embargo, cuando se trata de administradores de contraseñas, podría decirse que hay algo más que es igual de importante (y está indisolublemente vinculado al debate de código cerrado / código abierto).
Los administradores de contraseñas vienen en dos variedades; servicios donde usted encripta sus propias contraseñas y solo usted puede desencriptarlas. Y servicios en los que confía a un tercero para que cifre sus contraseñas por usted (y para el cual el tercero posee la clave utilizada para descifrar las contraseñas en su nombre).
Almacenar sus contraseñas en línea se considera excelente en términos de experiencia del usuario, ya que permite que las contraseñas sean accesibles desde cualquier dispositivo. Y, si esas contraseñas se almacenan con cifrado de extremo a extremo, entonces esta implementación se considera segura porque solo el usuario tiene el poder de descifrar sus contraseñas.
Por supuesto, si sus contraseñas se almacenan en los servidores de la compañía, esto aumenta ligeramente el riesgo de que puedan ser pirateadas (por ejemplo, un pirata informático podría simplemente adivinar su contraseña maestra). Sin embargo, este riesgo es extremadamente mínimo siempre que su contraseña maestra sea única y compleja, y / o use un archivo de clave u otra forma de Autenticación de dos factores (2FA).
Vale la pena señalar que si un administrador de contraseñas proporciona un verdadero cifrado de extremo a extremo (E2EE), entonces su cuenta nunca será recuperable. Esto se debe a que solo usted tiene el poder de acceder a sus contraseñas con su clave maestra. Si pierde su clave maestra, quedará bloqueado de sus contraseñas para siempre. Esto podría ser preocupante para algunos usuarios, que temen perder u olvidar su contraseña maestra. Sin embargo, en realidad es una señal de un mejor administrador de contraseñas.
Cualquier persona que desee un administrador de contraseñas verdaderamente seguro es mejor optar por un servicio que nunca podrá recuperarse y para el cual solo ellos poseen la clave maestra. Además, para ser verdaderamente confiable, el software de un administrador de contraseñas debe ser de código abierto.
Como se explicó anteriormente, es imposible verificar si un administrador de contraseñas es de los tipos mencionados anteriormente si es de código cerrado. Como resultado, es imposible verificar que un administrador de contraseñas de código cerrado no esté compartiendo en secreto su clave maestra con un tercero.
Cualquier administrador de contraseñas de código cerrado que afirme tener E2EE podría teóricamente compilar la recopilación de contraseñas de cada usuario en nombre de la NSA. Incluso si esto puede parecer poco probable, es una posibilidad, si el administrador de contraseñas es de código cerrado.
Código cerrado VS administradores de contraseña de código abierto
A continuación, hemos compilado una lista de administradores de contraseñas populares para que pueda ver si son de código cerrado o de código abierto. Muchos de los administradores de contraseñas de código cerrado en esta lista tienen una excelente reputación, y algunos pueden ser una buena opción para usted dependiendo de su modelo de amenaza.
Sin embargo, todavía recomendamos administradores de código abierto irrecuperables a cualquiera que quiera los mejores niveles de seguridad disponibles..
- Contraseña fija - Fuente cerrada
- KeePass - Código abierto
- LastPass - Fuente cerrada
- Enpass - Fuente cerrada
- 1 Contraseña - Fuente cerrada
- Dashlane - Fuente cerrada
- Keeper - Fuente cerrada
- Contraseña segura: código abierto
- SafeInCloud - Fuente cerrada
- Llavero - Código abierto
- Roboform - Fuente cerrada
- Myki - Fuente cerrada
- Bitwarden - Código abierto
- Pase - Código abierto