Apple, 1Password y la madurez de los gestores de contraseñas

Apple - 1PasswordEl pasado 10 de julio, BGR adelantó un interesante acuerdo entre Apple y AgileBits, los desarrolladores del popular gestor de contraseñas 1Password, en virtud del cual, la compañía tomaba la decisión de adoptar el uso del producto para la totalidad de sus más de 123,000 empleados en todo el mundo, incluyendo además a los empleados de sus tiendas y, de manera obviamente voluntaria, a hasta cinco familiares de cada empleado. El acuerdo lleva a la compañía a una dimensión sin precedentes, y de hecho, incluye provisiones de acuerdo de servicio para asegurar un tiempo de respuesta de menos de cuatro horas a los empleados de la compañía, la traducción de las páginas de soporte a los principales idiomas, y el respaldo de las contraseñas en la nube de iCloud en lugar de en otros proveedores.

Se calcula que el acuerdo podría suponer en torno a los 2.5 millones de dólares anuales, y de hecho, la compañía ha anunciado un generoso programa de bonus para todos sus empleados vinculado a su firma. Además, el artículo planteaba que el interés de la compañía de la manzana podría hipotéticamente llegar hasta el punto de plantearse adquirir la compañía, algo que AgileBits desmintió categóricamente por la vía rápida a través de su cuenta de Twitter, aunque BGR mantiene que en función de la información que manejan, esa adquisición podría llegar a producirse.

¿Quién es 1Password? Se trata de uno de los cuatro grandes en este entorno, junto con LastPass, Dashlane y KeePass. No hay cifras sobre sus cuotas de mercado, pero todos ellos afirman tener entre uno y cinco millones de usuarios, y todos ellos han hecho incursiones en el mercado corporativo. Las preferencias entre ellos son fundamentalmente una cuestión de gustos y costumbres, las comparativas de funciones son bastante similares, y en general, la madurez del mercado se estima aún muy escasa con respecto a su potencial: la mayoría de los usuarios, desgraciadamente, están aún en la fase de escoger contraseñas que pueden memorizar, de reutilizar la misma contraseña en múltiples servicios, o incluso de poner contraseñas absurdamente comunes que no resistirían ni el primer ataque de diccionario. Los gestores de contraseñas son, sin ningún género de dudas, la mejor manera de afrontar el reto de la seguridad en la red, suplementada en algunas ocasiones con métodos adicionales como la autenticación de doble factor o el uso de llaves físicas: yo llevo bastantes años utilizando LastPass, no me sé ninguna de mis contraseñas más que la maestra del servicio, y si la seguridad de algún servicio en el que tengo cuenta resulta comprometido, el cambio de contraseña se hace de manera sencillísima, por otra contraseña que tampoco tengo el menor interés en memorizar. Incluso en el caso de que el propio servicio de LastPass fuese hackeado, como de hecho lo ha sido en varias ocasiones dado el reto que supone, no genera ningún problema, porque todas las contraseñas que almacena están completamente cifradas.

Que una de las compañías punteras en el mundo de la tecnología como Apple decida firmar un acuerdo con un gestor de contraseñas como 1Password para todos sus empleados y su entorno es, sin duda, una prueba de la creciente madurez de este tipo de herramientas. ¿Por qué 1Password y no otra? Posiblemente por cuestiones relacionadas con su interfaz, seguramente la más trabajada y sencilla frente a otros ejemplos como el de LastPass, indudablemente más “crudo” y espartano o el de KeePass, que muchos consideran más apto para usuarios con un cierto nivel de conocimiento tecnológico, y por el nivel de integración que 1Password ofrece con el llavero que Apple y con la nueva API de iOS 12.

Si no utilizas aún un gestor de contraseñas, vete pensando en planteártelo. Pero más allá del uso individual, resulta interesante pensar en el uso corporativo: por razones difíciles de explicar, no son pocas las personas que consideran la seguridad corporativa una cuestión que supuestamente recae de manera exclusiva en los profesionales del área de tecnología y que escapa de su responsabilidad directa, y prestan al tema una atención muy inferior a la que sería deseable. Contraseñas escogidas con criterios absurdos, sencillas de descubrir, que se apuntan en post-its, se teclean sin ningún cuidado, se dicen a gritos en oficinas abiertas o se envían por canales no cifrados como si ello no supusiese un riesgo. Malas prácticas que no siempre vienen de los empleados, que en ocasiones dependen de visiones anticuadas de la propia compañía: si tu empresa te pide que cambies tu contraseña cada poco tiempo y que escojas una con unos requerimientos absurdos, terminarás, lógicamente, apuntándola en algún sitio o escogiendo algo de lo que te resulte fácil acordarte, lo que termina redundando en una seguridad mucho más débil. En lugar de eso, lo razonable, como Apple acaba de demostrar, es ofrecer a todos los usuarios un sistema que les permita gestionar sus contraseñas con un método seguro y en las condiciones adecuadas, e incluso plantearse extenderlo a su entorno familiar. Invertir en niveles razonables de seguridad no es intentar convertir tu compañía en una especie de sucursal de Fort Knox y hacer de paso la vida imposible a todo el mundo que trabaja en ella, sino adoptar métodos sencillos como los gestores de contraseñas que ofrecen garantías adecuadas a cambio de una filosofía de uso sencilla y fácil de entender.

 

 

 

This post is also available in English in my Medium page, “Apple and 1Password’s deal shows password managers are the future” 

 

11 comentarios

  • #001
    Víctor M. - 19 julio 2018 - 17:49

    No acabo de entender el uso de la nube para muchas aplicaciones. Supongo que el software como servicio es más rentable, pero al margen de esto ¿qué ventajas ofrece la dependencia de servidores externos? Hay casos y casos, lógicamente, y determinados servicios fundamentados en la nube tienen su utilidad. ¿Pero un gestor de contraseñas?

    Yo uso Safe in Cloud en Android y Windows, y aunque permite la sincronización entre dispositivos a través de varios proveedores, se puede prescindir de ella y funciona igualmente. Personalmente, me sigue dando tirria dejar ciertas cosas en la nube, especialmente si hablamos de contraseñas.

    ¿Por qué Apple decide hacer esta inversión? ¿Acaso su seguridad no era buena internamente? No sé, parece más un movimiento de marketing que apunta a la adquisición posterior de la herramienta aunque de momento lo nieguen.

  • #002
    Angel - 19 julio 2018 - 17:50

    Uso el llavero de iCloud desde hace años. Actualmente lo estoy probando en iOS 12 y resulta más cómodo, como era de suponer. Obviamente todo funciona bien entre dispositivos Apple, fuera de eso, la nada misma. Me pregunto, ¿está movida de Apple tiene que ver con esto último?

    • Carlos Quintero - 19 julio 2018 - 23:51

      En mi opinión, Apple tiene varias deficiencias con su Keychain:

      – Una app Keychain Access para MacOS lamentable para un usuario final.

      – Una falta de soporte fuera de MacOS / iOS, especialmente para Windows que es lo que se usa mayoritariamente en las empresas.

      – Un soporte parcial en iOS (aunque mejorando en cada versión)

      Parece que Apple se inclina por proporcionar un API para soluciones de terceros en iOS 12, más que por una adquisición, pero no se puede descartar lo segundo.

  • #004
    Carlos Quintero - 19 julio 2018 - 18:38

    Respecto a la seguridad de estos gestores de contraseñas, indicar que la contraseña maestra se puede proteger mediante 2FA y por tanto se requiere que el atacante tenga acceso al móvil o a una llave hardware. Asimismo la autenticación de cada sitio web importante se puede proteger mediante 2FA.

    Los gestores de contraseñas para usuarios normales aún no los veo maduros por el grado de fricción que tienen. En el caso de iCloud Keychain, por ejemplo, las notas que guardas en un Mac no se pueden leer en un iPad o iPhone, o no puedes usar las contraseñas desde navegadores en Windows. En el caso de LastPass y otros, la experiencia de usuario requiere más clicks de los necesarios, algo que se resolverá al menos para iOS en la nueva API anunciada por Apple para iOS 12.

    Respecto a la seguridad en las empresas, los gestores de contraseñas efectivamente brillan por su ausencia. Justamente hoy he hecho el curso online de seguridad y cumplimiento de la mía y ni se han mencionado. Se sigue recurriendo a esquemas de cambio periódico de contraseña donde cada empleado tiende a incrementar el dígito obligatorio al que obliga la política de contraseñas. Lo cual es una pena porque el uso de gestores de contraseñas y 2FA de forma obligatoria elevaría automáticamente el conocimiento sobre esas soluciones para los ingenieros que trabajan en las mismas y que ignoran en sus soluciones tecnológicas.

  • #005
    Gorki - 19 julio 2018 - 21:27

    ¿No lo entiendo, cualquier norma de seguridad pasa por no poner todos los huevos en la misma cesta,
    Que pasa el día que el servicio de contraseñas se cae o le hackean, ¿Nadie puede entrar en Appple?.

    • acerswap - 19 julio 2018 - 21:32

      O que se te olvida pagar, o que el gobierno lo bloquea (imagina si se bloqueara Facebook y la de gente que no podria iniciar sesion en determinadas paginas usando su cuenta como autenticacion).

    • Enrique Dans - 19 julio 2018 - 22:47

      Pasa que todas esas convenciones clásicas de la seguridad se han quedado anticuadas. Que los servicios de contraseñas no se caen, que la nube es muy segura y ofrece calidades de servicio del 99.99%, que incluso sin conexión puedes recuperar tus contraseñas, y que si lo hackean solo se llevan una lista inservible completamente cifrada que no compromete tus contraseñas. La decisión de Apple es la prueba de que la mejor manera de gestionar la seguridad hoy es con un gestor de contraseñas.

      • Gorki - 19 julio 2018 - 23:14

        Estarás conmigo que sería mas seguros si repartieran las claves de sus empleados entre 5 empresas igual de seguras que AgileBits.

        Lo de los coeficientes de seguridad hay que tomarlo con pinzas, También nos daban unos coeficientes altísimos de seguridad para las centrales nucleares y no solo pasó Chernobyl sino además Fukushima.

        Y hackeos ,…. ¿que quieres que te cuente?. Nadie puede asegurar que en esa aplicación, como en cualquier otra, no hay oculta una bomba lógica que puede estallar en cualquier momento, puede haber un empleado rencoroso al que echen, o por qué no, desde una “backdoor” o simplemente una vulnerabilidad no advertida en su programación. No sería el primer caso de ninguno de estos peligros

      • Isangi - 20 julio 2018 - 08:56

        “la nube es muy segura y ofrece calidades de servicio del 99.99%”

        Hasta que aparece, por ejemplo, Spectre y microsoft tarda 3 días en darte una respuesta de “lo estamos revisando” para que puedas volver a activar 3 de tus servidores de azure. <– Caso verídico de 2018.

        Tener un gestor de contraseñas es mas seguro que no tenerlo, estoy convencido, pero repartir el riesgo sigue siendo IMPRESCINDIBLE cuando prima la seguridad y no solo hablo de contraseñas.

    • Carlos Quintero - 19 julio 2018 - 23:20

      Por un lado, las contraseñas se almacenan en local y online, y se sincronizan. Por tanto, puedes acceder a tus contraseñas del almacén local aunque no estés conectado a internet (o lo estés pero el almacén online esté caído). Si hackean el servidor, las contraseñas están encriptadas con claves que el servidor no conoce.

      Por otro lado, puedes activar autenticación de dos factores (2FA) con multitud de sitios web:

      List of websites and whether or not they support 2FA.

      de manera que aunque se hicieran con tus contraseñas los crackers no podrían entrar si no se hacen con tu móvil o con tu SIM o con una llave hardware, según lo tengas configurado.

      El método no está a salvo de extorsiones o amenazas físicas a tí o a un ser querido, claro, pero tampoco lo está la contraseña para transacciones o la tarjeta de contraseñas de tu banco.

      Mi principal reticencia está en la experiencia de usuario para usuarios normales, no en la seguridad, pero justamente para esos usuarios es mucho mejor que usar reglas nemotécnicas, reusar la misma contraseña para todos los sitios o guardarlas en una libreta en papel o en un archivo en el escritorio del ordenador.

  • #011
    GUILLERMO HOTEL - 20 julio 2018 - 11:07

    1password usa AES256.
    A quien le pueda interesar 19 password manager libres para Mac, alguna con AES256

    https://sourceforge.net/directory/security-utilities/passwordmanage/os:mac/freshness:recently-updated/?q=Password+Manager

    Evidentemente en sistemas cerrados tienes que ir a algo que esté en su tienda. (IOS, Android)

    Normalmente salvo que seas la NSA (o fugas tipo Vault 7) en horas te puede reventar la encriptación, (Documentado AES128 en 2 horas), lo más facil es ir a por otros eslabones más débiles en la cadena

    http://www.securitybydefault.com/2014/07/programas-web-de-gestion-de-contrasenas.html

    PS: Lo del cuaderno camuflado es mi app favorita. Si lo quieres digital usas una lista de contactos “especial” disponible en todo momento. Eso si son más clicks…. acceder al contacto aplicarle la regla memotécnica,…

Dejar un Comentario

Los comentarios están cerrados