¿Qué pasa con los riesgos de Password Manager?

Por Roger Grimes, Data Driven Defense Evangelist, KnowBe4

Una contraseña perfectamente aleatoria de 12 caracteres o más es inmune a todos los ataques conocidos de adivinación y descifrado de contraseñas. Una contraseña creada por un ser humano debe tener 20 caracteres o más para obtener la misma protección. A los humanos no nos gusta crear o utilizar contraseñas muy largas (y a veces también complejas), por lo que recomiendo utilizar un programa gestor de contraseñas de confianza.

Una pregunta habitual es si merece la pena correr el riesgo de utilizar gestores de contraseñas.

La respuesta, en mi opinión, es sí. Creo que el aumento de los riesgos que una persona obtendrá al utilizar un gestor de contraseñas se ve compensado por todas las ventajas, que disminuyen y compensan totalmente los riesgos de las desventajas.

Veamos los riesgos y las ventajas de utilizar un gestor de contraseñas. Se pueden resumir en:

Desventajas

• El usuario debe obtener e instalar un gestor de contraseñas
• El usuario debe aprender a utilizar el gestor de contraseñas
• El usuario puede tardar más en crear o introducir una contraseña utilizando un gestor de contraseñas (pero no siempre es cierto).
• Sujeto a ataques
• Los gestores de contraseñas no funcionan con todos los programas o dispositivos
• Si no se puede acceder al gestor de contraseñas (por ejemplo, corrupción, pérdida de acceso, etc.), el usuario pierde de golpe todo acceso a toda la información de inicio de sesión contenida en él.
• Si el atacante compromete el gestor de contraseñas, es posible que pueda acceder y obtener todas las contraseñas del usuario (y los sitios a los que pertenecen) a la vez.

Este último aspecto es el que presenta el mayor riesgo para la mayoría de los usuarios: el punto único de fallo.

Ventajas

• Crea y permite el uso de contraseñas perfectamente aleatorias
• Crea y facilita el uso de contraseñas diferentes para cada sitio y servicio.
• Puede utilizarse para evitar la suplantación de contraseñas
• Puede utilizarse para simular algunas soluciones MFA, de modo que los usuarios no necesiten programas o tokens MFA independientes.
• Puede compartirse entre dispositivos para que las contraseñas estén donde el usuario necesite utilizarlas
• Se pueden hacer copias de seguridad de las contraseñas de forma más fácil y segura.
• Todas las contraseñas pueden estar protegidas por el requisito de acceso MFA al gestor de contraseñas
• Puede advertir al usuario de contraseñas comprometidas de las que no tenía conocimiento por otros medios.
• Advertirá al usuario de contraseñas idénticas utilizadas en diferentes sitios y servicios.
• Puede compartirse con personas de confianza en caso de necesidad, cuando el usuario original esté temporal o permanentemente incapacitado o no disponible.

Es un riesgo muy real que el gestor de contraseñas de alguien pueda verse comprometido, y a partir de ese compromiso, todas las contraseñas del usuario a todos los sitios y servicios almacenados sean robadas muy rápidamente a la vez. Es un riesgo enorme que debe ser medido y sopesado por los administradores o usuarios que utilizan gestores de contraseñas.

Sopesar los riesgos

He aquí las contrapartidas que, en mi opinión, se oponen a ese riesgo. En primer lugar, para comprometer el programa gestor de contraseñas de un usuario, la MAYORÍA de las veces, el atacante tiene que obtener acceso al dispositivo del usuario que tiene el gestor de contraseñas en ejecución y acceder a él mientras está abierto o manipular su configuración para poder robar fácilmente todas las contraseñas. Si el atacante tiene acceso al dispositivo del usuario, el juego está prácticamente terminado. El pirata informático (o su programa malicioso) puede obtener algunas o todas las contraseñas utilizando una variedad de otros métodos, incluyendo simplemente el keylogging mientras el usuario las teclea o las utiliza.

También hay ataques que intentan explotar vulnerabilidades de software en el programa gestor de contraseñas, pero mientras el proveedor parchee rápidamente los fallos conocidos y el usuario aplique esos parches con rapidez (la mayoría de los programas gestores de contraseñas se autoactualizan), se trata de un problema fugaz y de menor importancia. A veces, las contraseñas del usuario también se almacenan en la red en la nube del proveedor del gestor de contraseñas y, si se ve comprometida, un atacante puede tener acceso a todas las contraseñas almacenadas allí. De nuevo, es un riesgo, pero la mayoría de los proveedores de gestores de contraseñas intentan mantener las "bóvedas de contraseñas" de sus clientes en una parte altamente segura de su red.

Para mí, el principal riesgo es que un atacante acceda al dispositivo de un usuario, acceda al gestor de contraseñas y robe todas las contraseñas. Es un riesgo real. He oído hablar de ello, pero ahora mismo no es un ataque muy popular. En el futuro, si los gestores de contraseñas se hacen muy populares y todo el mundo los utiliza, podría convertirse en un ataque popular. Pero incluso si fuera un ataque popular, creo que cada vez que un atacante o su creación de malware tiene acceso al escritorio de un usuario, es prácticamente el fin del juego. Pueden hacer cualquier cosa. El hecho de que hayan decidido atacar tu gestor de contraseñas y robar tus contraseñas es sólo uno de tus grandes problemas.

Nota: El uso de una MFA independiente resistente al phishing puede ayudar a evitar esta situación, o el uso de "claves divididas" en las que el usuario debe teclear algún secreto basado en el conocimiento que no esté almacenado en el gestor de contraseñas puede ser una posible solución.

Por qué todo el mundo debería utilizar un gestor de contraseñas para las suyas

A pesar de este gran riesgo, creo que todo el mundo debería utilizar un gestor de contraseñas para sus contraseñas (si no se puede utilizar MFA resistente al phishing). Esto se debe a que los dos mayores riesgos para las contraseñas (después del robo por ingeniería social) son las contraseñas robadas de un sitio o servicio que el usuario utiliza y las contraseñas débiles que se pueden adivinar y piratear. Según el Instituto Nacional de Estándares y Tecnología (NIST) y otras autoridades en materia de contraseñas, el mayor riesgo de las contraseñas es la reutilización de contraseñas en sitios web y servicios no relacionados y la creación por parte de los usuarios de "patrones de contraseñas", que pueden ser predichos por los hackers.

El usuario medio tiene entre cuatro y siete contraseñas que utiliza en más de 170 sitios y servicios. Son muchas contraseñas idénticas que se utilizan donde no deberían. El problema es que una vez que un pirata informático compromete uno o varios de sus sitios web (de lo que a menudo ni siquiera es consciente), el pirata obtiene su contraseña y la utiliza en otros sitios y servicios. Uno o unos pocos compromisos conduce rápidamente a un montón de más compromisos. Esto se considera el mayor riesgo para las contraseñas después de la ingeniería social. Los gestores de contraseñas eliminan este riesgo.

Los gestores de contraseñas ayudan a los usuarios a crear y utilizar más fácilmente contraseñas diferentes, completamente ajenas, para cada sitio y servicio. Cuando se utiliza un gestor de contraseñas, es posible que ni siquiera se conozca la contraseña utilizada. Esto elimina uno de los mayores riesgos de las contraseñas, y sólo por esto ya deberían utilizarse los gestores de contraseñas. Pero hay más.

Los gestores de contraseñas crean contraseñas perfectamente aleatorias. Una contraseña perfectamente aleatoria de 12 caracteres o más no puede adivinarse ni descifrarse por ningún método conocido. Y esas contraseñas perfectamente aleatorias y seguras pueden ser diferentes para cada sitio web y servicio.

La ingeniería social es el mayor riesgo

El mayor riesgo de cualquier contraseña es que el usuario sea víctima de la ingeniería social. El robo de contraseñas mediante ingeniería social está implicado en aproximadamente la mitad de los ataques con contraseña que tienen éxito. La mayoría de los gestores de contraseñas le permiten iniciar sesión en su sitio o servicio desde dentro del gestor de contraseñas y el gestor de contraseñas sólo le llevará al sitio o servicio verdadero y legítimo. Esto evita el tipo más común de ataque de ingeniería social de contraseñas, en el que el atacante le envía un correo electrónico de ingeniería social que contiene un enlace URL falso, que intenta engañarle para que revele sus credenciales legítimas a un sitio web falso y falso.

Así que, repasando las ventajas de los gestores de contraseñas, éstos mitigan los principales ataques a las contraseñas (por ejemplo, la ingeniería social, la adivinación/fractura y la reutilización). Cualquier experto en contraseñas diría que estos tres tipos de ataques representan la mayoría de los riesgos. Y por esa razón, todo el mundo debería utilizar un gestor de contraseñas, o al menos sopesarlo fuertemente frente al gran riesgo de un único punto de fallo.

Depende de ti si pones tu fe, o la fe de tus usuarios, en un gestor de contraseñas. Si puede, intente primero que se pasen a una MFA resistente al phishing. Pero si el sitio o servicio no funciona con MFA resistente al phishing, considere la posibilidad de utilizar un gestor de contraseñas. Cada día son más los expertos en contraseñas que los recomiendan.