Esta semana se está hablando bastante de la gestión de contraseñas debido a que Apple ha presentado su servicio iCloud Keychain para tener todas las contraseñas sincronizadas en la nube. Ya existían servicios similares desarrollados por terceros, como 1Password (que analizamos por aquí hace tiempo), pero este tema vuelve a estar de moda. ¿Cuál es la mejor opción para Android?
Lo primero es analizar si disponer de un "monedero" de contraseñas es una buena idea. Mi respuesta es clara: sí. Y lo es porque la alternativa es usar una o dos contraseñas distintas para todos los servicios online que usamos, que son muchos. Nuestra capacidad de recordar no va más allá y si intentamos algo distinto o las contraseñas serán muy sencillas o simplemente nos olvidaremos de ellas. Lo ideal es tener una contraseña alfanumérica muy larga y distinta por cada servicio que usemos. Esto sólo es posible si usamos un gestor de contraseñas.
¿Qué debemos pedirle a un gestor de contraseñas?
Lo primero que debemos pedirle a un gestor de contraseñas es que sea multiplataforma. Hoy en día es habitual trabajar en dos ordenadores distintos (casa y trabajo), tener smartphone (por ejemplo, Android) y tablet. Y no es raro usar Android y iOS en los dispositivos móviles o Windows y Mac (o incluso Linux) en los ordenadores. Por lo tanto la solución del gestor de contraseñas debe ser multiplataforma. Casi todas cumplen este requisito, pero por ejemplo no está claro que la opción de Apple vaya a funcionar en Android, Windows o Linux.
Otra cosa a considerar es si nos liga a un producto software en concreto aparte del propio gestor de contraseñas. Por ejemplo, Chrome permite guardar las contraseñas en la nube, pero tendríamos que usar Chrome en todos nuestros dispositivos. ¿Realmente es así? ¿O nos gusta usar Firefox en Windows, Chrome en Android y Safari en Mac? Incluso si nos gustara Chrome para todo, estamos a expensas de lo que Google decida en cuanto a seguir soportando este navegador web en distintas plataformas.
También es importante la flexibilidad que nos proporciona el gestor de contraseñas. Por ejemplo, que tenga un generador de contraseñas aleatorio, que las podamos editar, ver lo que tenemos guardado, etc. Todo esto es habitual en los software dedicados para contraseñas pero no en Chrome. Parece que el nuevo iCloud keychain de Apple sí que soportará estas funciones.
Lo más importante, la seguridad
Y pasamos al punto más importante, la seguridad. ¿Cómo de seguras están las contraseñas si las almacenamos en la nube? Este tema no es para tomárselo a la ligera, ya que alguien con acceso a nuestro almacén de contraseñas podría leer nuestro correo electrónico, escribir en nuestro Facebook y Twitter, acceder a nuestro banco e incluso realizar compras con nuestra tarjeta de crédito.
Después de lo visto en PRISM, creo que el tema de las contraseñas es algo que deberíamos controlar los usuarios de forma individual, aunque requiera algo más de esfuerzo. Sí, Google o Apple pueden guardar nuestras contraseñas y seguramente sea muy cómodo, pero no me parece que estén suficientemente protegidas.
Sólo tengo la garantía de que un gestor de contraseñas es bueno si almacenamos localmente la base datos y si el gestor es software libre, ya que la comunidad puede revisar que sus algoritmos son los adecuados y no hacen cosas raras. Una vez hecho esto podemos sincronizar la base de datos a través de la nube (por ejemplo usando Dropbox o Google Drive), pero sabiendo que nuestra base datos está encriptada de forma segura.
Por eso yo uso KeePass, y concretamente en Android KeePassDroid, que analicé hace casi un año. Es cierto que la sincronización es algo tediosa, pues a través de Dropbox en Android no hay una sincronización automática de determinados archivos. Pero merece la pena controlar todo el proceso.
En Xataka Android | KeePassDroid, tus contraseñas a buen recaudo, La API de Android hace que los gestores de contraseñas sean inseguros
Ver 29 comentarios