Ayer leí el enésimo artículo sobre la necesidad de eliminar las contraseñas como sistema de autenticación, un tema del que se viene hablando desde hace muchísimo tiempo, pero que no termina de pasar. Mientras, la mayor parte de los usuarios que conozco siguen haciendo las cosas mal: utilizando una sola contraseña que reutilizan en todas partes, usando contraseñas absurdamente simples y fáciles de adivinar por cualquiera que dedique un mínimo esfuerzo a ello, o apuntándolas en un post it que pegan detrás de la pantalla.
Nuestra relación con las contraseñas ha ido evolucionando a lo largo de los tiempos. Ahora sabemos, por ejemplo, que consejos como el que cambiemos nuestra contraseña cada cierto tiempo o el de que escojamos contraseñas que contengan mayúsculas, minúsculas, números, caracteres especiales y sonidos guturales emitidos por conejos en celo, que tantas molestias e incomodidades nos han generado en tantas ocasiones, son erróneos, absurdos y no contribuyen significativamente a nuestra seguridad, o incluso la debilitan. Compañías como Apple, con la inclusión del lector de huella en todos los iPhone posteriores al 5S y recientemente en algunos de sus ordenadores portátiles, han conseguido que muchos de los elementos de nuestra seguridad cotidiana pasen de la incómoda contraseña a una huella dactilar que exige ataques indudablemente más profesionales y complejos, no al alcance de todo el mundo, o que, como hacen Google y otros, podamos utilizar un terminal físico como segundo factor de autenticación. Y cada vez más, la popularización de gestores de contraseñas como LastPass, 1Password, NoMorePass y otras, que bien utilizadas, suponen un notable incremento de la seguridad.
Mi secuencia personal ha sido precisamente esa: actualmente, las únicas contraseñas que no gestiono con un gestor, en mi caso LastPass, son aquellas en las que tengo sistemas de autenticación de dos factores, como es el caso de Google. Todo el resto de mis contraseñas, sencillamente, no me las sé. Ni siquiera las conozco. A partir del momento en que adopté LastPass, me planteé la rutina de empezar a sustituir gradualmente todas las contraseñas que tenía en todas partes con otras generadas mediante la aplicación, cadenas de caracteres sin ningún sentido ni significado que resultarían prácticamente imposibles de memorizar. Lo que buscaba era precisamente eso: dejar de memorizar contraseñas, y empezar a autenticarme mediante el plugin o la app correspondiente. En mi caso, además del interés por mejorar mis políticas personales de seguridad, había una razón adicional: son muchas las ocasiones, en clase, en las que tengo que introducir una contraseña para acceder a alguno de los servicios que utilizo, y lo hago habitualmente en una pantalla que está siendo proyectada a mis alumnos. Una de las grandes ventajas de LastPass es que puedo entrar en mi caja fuerte a la vista de todo el mundo sin que se revele absolutamente nada que no deba ser revelado, entrar en los servicios que utilizo desde ahí sin necesidad de que estén en ningún momento a la vista, y transmitiendo además mi información a través de un canal seguro.
Comencé a utilizar LastPass hace ya mucho tiempo. La aplicación fue pasando de ser gratuita para el uso en dispositivos móviles, a serlo para todos los dispositivos, y finalmente, a incrementar el precio de su tramo premium, que pago a gusto desde el principio porque me parece una opción que proporciona un buen valor a cambio de poco dinero. Lo utilizo incluso para los datos de acceso a mis bancos y los de mis tarjetas de crédito. Viví también el momento en que LastPass fue hackeado, y comprobé que esa supuesta situación apocalíptica de tener «todos los huevos en la misma cesta» al que algunos se referían como «el problema de los gestores de contraseñas» no era tal, sino que se reducía a cambiar la contraseña primaria y a ver cómo el robusto cifrado de la aplicación se encargaba de todo lo demás. Si tu gestor de contraseñas es suficientemente bueno, que sea objeto de un ataque no tiene por qué suponer ningún problema.
En la red de hoy, utilizar un gestor de contraseñas es, sin duda, una buena idea. Una manera de cambiar nuestra relación con la seguridad, de plantearnos las contraseñas de otra manera, y de reforzar de una manera clara nuestras buenas prácticas en ese sentido. Seguramente, el porcentaje de lectores en una página como esta que utilizan un gestor de contraseñas es sensiblemente más elevado que en la población general, pero si no lo estás haciendo aún, no es mal momento para empezar.
This post is also available in English in my Medium page, “Forget your passwords»
Hola.
Hace años que uso gestores de contraseña y son, de lejos, la mejor solución. Uso kwallet, parte del escritorio KDE, que incorpora está herramienta, insisto, desde hace años.
Dicho esto, las contraseñas son el mejor sistema. El problema moderno es su «disponibilidad», el mecanismo por el cual se comparten entre dispositivos.
Por otra parte, mecanismos como la huella dactilar se han demostrado muy inseguros, y en contra de lo que se dice en el texto, muy fáciles de explotar.
Salud!!
La verdad, no conozco de casos de crackeo de TouchID de Apple. Solo recuerdo uno “dudoso” que sucedio con la primera versión de TouchID allá por 2013.
Respecto al uso de huella en otros dispositivos, ahí desconozco si es inseguro. Se de gente que tiene Samsung S6 que no usa la huella porque le resulta incómodo por lo lento o por sus fallas (reintentos que tiene que hacer)
La gestiion de password es uno de los quebraderos de cabeza tanto par el usuario como para los servicios, por un lado es dificíl generar y recordar una password diferente para cada uno de los servicios que te la solicitan, como también es muy difícil proteger las password de todos tus usuarios en los sistemas y evitar que nadie no autorizado entre en ese almacén, periódicamente nos llegan noticias de que algún servicio ha dejado escapar cientos de miles de password.
Aunque he trabajado en bancos nunca he trabajado con las password de los clientes, pues eso es un paso previo , la autentificacion del usuario en la que nunca he entrado , en las áreas que he tratado el que llegaba estaba previaente autentificado. por tato poco puedo aportar,
Lo que si puedo aportar es mi sistema de generar mis claves, Parto del nombre de un sitio, (no voy a especificar cual), que es suficientemente importante en mi vida, puede ser la calle donde nacie , la iglesia donde me casé, o el colegio en que estudié, Supongamos que es Cadaqués, porque es donde veraneé de pequeño.
Lo primero es trasformarlo por el método tradicional Kdaks esto es fácil de recordar si recuerdas Cadaques luego lo pones al revés skadK este es el nombre base que tienes que recordar que ya es un poco mas difícil pero que no es del todo imposible.
A esta clave la incluyo un caractér gráfico, que recuerdes con facilidad por ejemlo = y un número el massencillo es el número de letras 6
Para cada servicio incluyo las dos últimas letras del nombre del servicio y las intercalo con lo anterior
Por ejemplo
Facebook =6oK –> s=k6aodKK
Gmail =6iL –> s=k6aidLK
Twitter =6eR –> s=k6aedRK
Con este sistema cada password es diferente, de 9 letras, tiene mayúsculas y elementos gráficos pero la forma de construirla es mu sencilla ,solo tienes que recordar el nombre de un lugar que es importante en tu vida y de un carácter gráfico, que puedes incluso llevar en el listin del móvil, porque si pones en el =Cadaques y un número cualquiera de móvil nadie lo va a relacionar con tus password.
El problema es que las guardo en la memoria de mi ordenador, (¿o en la nube, realmente no lo sé?) y no se si es un sitio especialmente seguro. pero como tampoco tengo tantos secretos que quieran robarme, no pongo mas seguridades.
Gorki, pásate a un gestor de contraseñas cuanto antes :)
No entiendo que utilices un sistema para generar claves y luego las almacenes en el ordenador: ¿acaso el objetivo no es que puedas regenerar la contraseña de cada servicio sin tenerla apuntada?
Ese tipo de contraseñas son muy cortas (débiles frente a ataques por fuerza bruta) y además siguen un patrón (alguien que descubra un par de ellas se daría cuenta enseguida). En general cualquier contraseña que una persona sea capaz de recordar es muy probable que sea débil, aun utilizando frases completas.
Yo también utilizo LastPass con 2FA (confirmar mediante el móvil que te estás logeando), muy recomendable.
Mo hay sistema seguro , solo son proporcionales al riesgo al que están sometidos, Las cajas de seguridad de los bancos las han violado por el sistema del butrón. ¿Cres que en realidad la c puerta blindada de tu casa te da cierta protección?
Pues si,… Te la da, porque en un casa no guardas las riquezas que se supone que se guardan en las cajas de los Bancos.
Por poco seguro que sea mi buzón de email, es mucho mas seguro que el buzón que tengo para cartas en mi portal,
¿Quiere eso decir que no lo pueden abrir? — Pues si, por supuesto que lo pueden abrir. Pero el 90% de lo que tengo carece de interés para casi toda la gente, excepto para mi y el resto, son la mayoría newsletter que me envían personas, que se loss enviarían gustosas a los ladrones, con solo que se lo pidieran,
¿Para qué va a entrar alguien ahí? la passwodr que tiene es lo suficientemente complicada para disuadir a quien quiera entrar porque van a ser muy pocos. No pienso complicarme mas la vida con el tema. Mio seguridad va por otros caminos.
Gorki, tu procedimiento tiene un pequeño inconveniente: si has de cambiar la contraseña por una nueva para determinado sitio o servicio, ya no te sirve lo de intercalar un identificador dependiendo del nombre del servicio y, por tanto, tienes que generar un nuevo estándar si has de cambiar la contraseña de ese sitio.
Por ejemplo cuando han hackeado un servicio y ese servicio te insta a usar una nueva contraseña.
Yo uso el Llavero de iCloud, que viene “de fábrica” y gratis en los dispositivos de Apple y se sincroniza automáticamente entre ellos. Tiene algunas incomodidades, pero con la próxima gran actualizacion de los SO de la manzana, mejora notablemente la integración con las apps, es decir, su usabilidad. Es muy recomendable.
Y repito, si usas iOS o Mac, lo tienes ahí, no hay excusas para mejorar tu seguridad en relación a las claves.
La contra: si te manejas con distintos sistemas operativos, no hay versión para Windoas (creo) ni para Linux o Android.
Hace unos meses empecé a utilizar NoMorePass como gestor de contraseñas. En la última actualización ya soporta la autenticación en dos pasos.
Como dices en el artículo, ahora solo tengo que recordar una contraseña, la de NoMorePass.
La verdad es que yo no seguiría usando un gestor de contraseñas al que le han encontrado bugs.
la historia del bug de LasPass
Uso uno, pero no demasiado. Prefiero un sistema del tipo Gorki. Pero establezco diferencias entre servicios que me importan mas y otros que menos. Si me importa mas, elijo contraseñas bastante mas largas, absurdas pero recordables.
Coincido con el primer comentario en que la huella no es muy segura, ni tampoco el iris.
Una pregunta sobre LastPass. Acabo de leer lo siguiente: «LastPass destaca por facilitarnos el guardado de nuestras distintas contraseñas a medida que navegamos, completando automáticamente los datos de inicio de sesión…»
No lo entiendo. ¿Significa que va guardando las nuevas contraseñas que acabamos de crear?
https://wwwhatsnew.com/2016/08/07/3-interesantes-gestores-de-contrasenas-gratuitos/
Si tienes LastPass activado, cada vez que te das de alta en una web tienes la posibilidad de que te genere una contraseña segura (él identifica cuál es el campo de la contraseña) y te guarde el usuario, contraseña y la dirección web asociada. Luego, cada vez que tengas que iniciar sesión, LastPass se ‘dará cuenta’ de que estás en una página web para la que almacenaste usuario-contraseña y lo podrá rellenar automáticamente por ti. No tienes que escribir nada, muy cómodo.
Gracias Asier. Es mejor de lo que imaginaba.
Me supongo fuera del tiesto, pero no hay problema.
Cuando aumenta la complejidad organizativa de un ecosistema de tal modo que le hace precisar mucha intermediación… la tenemos clara.
EL mundo legal o financiero no son precisamente muy animadores.
Y cuanto más se pague por la seguridad, más deudas se establecen con el entorno deudor…
Un par de preguntas, quizá algo estúpidas: ¿cuál es el negocio de LastPass o más allá de los 2$ de la Premium? ¿Alguien sabe porcentajes de cada una de las dos líneas?
Saludos,
Use LastPass hasta que me di cuenta que Firefox me da la misma funcionalidad con las contraseñas, y sin las limitaciones de LastPass, por ejemplo, que son una empresa con animo de lucro y Mozilla una fundación.
Confío en Mozilla y eso no tiene precio, además de dar el 100% de funcionalidad GRATIS.
Desde luego, el uso de contraseñas es algo que debe morir, cuanto antes mejor. Para el acceso a dispositivos propios lo mejor es el lector de huellas, o bien (para el trabajo) una tarjeta contactless. Es bastante paradójico que el uso de tarjeta esté bastante extendido para las multifunción y sin embargo, en las mismas empresas en las que es necesario usar la tarjeta para imprimir o fotocopiar, se sigue usando contraseña para acceder al PC.
Una vez accedido el dispositivo, este puede contener los tokens criptográficos (por ejemplo, un número aleatorio de 128 bits) necesarios para acceder a otros recursos en red. El problema está en el acceso a recursos que no son de una organización a la que pertenezca previamente el usuario. Por ejemplo, un usuario doméstico accediendo a Netflix. ¿El uso de contraseñas es inevitable en este caso? No, pero Netflix tiene que poner un poco de su parte.
Cuando contraté Netflix obtuve una contraseña válida, cuando en realidad debería haber recibido (en mi antiguo tablet, que es el aparato desde el que contraté Netflix) un token válido. Cuando más tarde usé Netflix por primera vez en la smartTV, metí el usuario y la contraseña, cuando en realidad debería haber metido solo el usuario, y que mi tele pidiera ser autorizada, cosa que podría hacer en mi tablet, tras lo cual mi tele recibiría su propio token.
No hay ninguna razón técnica por la cual sea necesario usar ni una sola contraseña, todo podría ir por tokens que nuestros aparatos gestionarían automáticamente, con alguna autorización ocasional de un nuevo aparato, y alguna baja ocasional de un aparato que ya no vayamos a utilizar (como mi antiguo tablet).
Hace falta concienciación, pero no de los usuarios, sino de las empresas y otras organizaciones. Son ellas las que mantienen con vida el caduco, incómodo, e inseguro uso de contraseñas. Son ellas las que fuerzan al usuario a seguir usando contraseñas, con independencia de que este prefiera más seguridad y comodidad.
Un caso de marketing que se estudia en economia conductual es el de las primeras tartas en polvo para hacer en casa, pues no se vendían, hasta que un psicologo recomendo añadir un huevo en la receta, algo que no era necesario y triunfaron.
Al consumidor no le trates como a una máquina, quizás las contraseñas son necesarias justo para fomentar una falsa sensación de confianza, que por muy falsa que sea, es justo lo que nos daría a ti y a mi el uso de tokens-
En el caso de las tartas en polvo, usa el huevo el que quiere. Si alguien se quiere gastar su dinero, y una pequeña porción de su tiempo, en usar un huevo innecesario, allá él.
Lo que digo precisamente es que esto de las inseguras e incómodas contraseñas no es algo que hayan elegido los usuarios, sino algo que les ha venido impuesto por las organizaciones (generalmente empresas), como por ejemplo Netflix. No solo la empresa para la que trabajas (que también), sino las empresas de las que eres cliente, u organismos públicos que están para prestarte servicios como ciudadano.
Pues bien, las contraseñas son inseguras. E incómodas. La tecnología permite otras opciones que son mucho mejores. Ahora solo falta que las organizaciones, que son las que deciden esto (no los usuarios), tomen conciencia de que, por su propio bien y por el nuestro, las contraseñas es algo que debe morir.
Si algún usuario despistado quiere seguir usando contraseñas, no veo ningún problema en darle esa opción (además de otros sistemas más seguros, mediante 2FA). Como el huevo en las tartas en polvo. No es necesario, ni tampoco obligatorio.
Qué buenas referencias..Gracias
Las contraseñas no van a desaparecer porque realmente funcionan. Las SmartCards y llaves Usb tiene años promocionase como la muerte de las contraseñas pero su uso es prácticamente cero y sólo son utilizadas cuando son apoyados por servicios públicos
y el desastre que ello genera como en el caso del dni europeo.
El mayor avance es usar Facebook para iniciar sesión en múltiples servicios y ello ya significa bastante ahorro de contraseñas
No, las contraseñas no funcionan. Mucha gente elige contraseñas como «123456» (la más usada). Cuando se les fuerza a elegir contraseñas con un cierto nivel de complejidad (mezcla de mayúsculas, minúsculas, números, etc) mucha gente usa la misma contraseña para todo, lo cual es inseguro porque una contraseña comprometida en un servicio hace que todos los servicios estén comprometidos. La contraseña es algo que tecleas a la vista de todo el mundo, lo cual es segurísimo…
Cuando un hacker consigue el fichero de contraseñas de un servidor (lo cual es algo que ocurre con alarmante frecuencia), aunque estas estén cifradas, se pueden descifrar mediante ataques de diccionario. Hay que ser un pequeño experto en contraseñas para elegir una que resista estos ataques, y el 99,9% de la gente no lo es.
La autenticación de 2 factores (2FA) se está usando cada vez más… precisamente porque las contraseñas son inseguras. Es el segundo factor lo que está proporcionando la seguridad, hasta el punto de que alguien publicó su contraseña en Twitter, desafiando a que entrasen en sus cuentas protegidas por 2FA. Unas 200 personas lo intentaron y no pudieron. Dado que es el segundo factor lo que te protege, ¿para qué demonios es necesario tener que teclear una contraseña?
La muerte de las contraseñas es algo que ya ha empezado, los lectores de huellas las están desplazando en móviles y tablets, y en las tarjetas de crédito o débito contactless no es necesario meter el pin para compras inferiores a 20 euros, aparte del ya mencionado uso cada vez más extendido del 2FA, en el que la contraseña pasa a ser un resto fósil del pasado, algo que sigues teniendo que teclear, pero que es totalmente prescindible.
Llamádme carca, pero me da grima centralizar todas mis contraseñas en un servicio/app que puede ser hackeado exponiendo todos mis accesos… Aunque también reconozco que «nemotecnizar» todos los sitios y passwords acaban creando un patrón de conducta fácilmente reproducible, pero considero ésto último una solución menos mala.
Este tema no es sencillo y no tiene una solución fácil. La autenticación mediante lectores biométricos no es universal (no está disponible en todos los dispositivos), así que no se puede implantar como solución única. La proliferación de contraseñas, aunque mala, es más simple para los usuarios que otras soluciones que les confunden más:
– Muchos usuarios se dieron de alta hace años en GMail o en Hotmail / Outlook, y ahora resulta que tienen no una «cuenta de correo» sino una «cuenta de Google» o una «cuenta de Microsoft» (técnicamente «Microsoft Account») que les sirve para muchos más servicios (almacenamiento, etc.). Confuso. Y si los de marketing van cambiando el nombre (cuenta Microsoft Passport, Windows Live, etc.) peor.
– El nombre de usuario en muchos sitios es una cuenta de correo electrónico. Es normal para un usuario que si en el correo electrónico entra con su dirección «manolo@gmail.com» y contraseña «luisa», cuando se registra en un sitio en el que el usuario también es «manolo@gmail.com», pues le pone contraseña «luisa». Añade a esto que el usuario medio tiene más de una dirección de correo electrónico (empresa, GMail, Outlook, etc.)
– Autenticarse en un sitio A (ej: Netflix) con las credenciales de otro sitio B (ej: Facebook) es aún más confuso para el usuario medio. Lo mismo ocurre cuando una app del móvil quiere acceder a datos de la otra y se solicita autorización. El usuario medio no sabe ni lo que está ocurriendo, ni mucho menos donde revocar la autorización.
Las soluciones para mejorar la autenticación, para mí muy recomendables, también tienen sus dosis de complejidad:
– 2FA: buena idea, pero complicado para el usuario, especialmente como pierda el móvil, lo cambie o lo tenga que resetear.
– Gestor de contraseñas: la mayoría de usuarios ni saben que existen aunque vengan con el sistema operativo como (iCloud Keychain en Mac/iOS. Pero confuso e incompleto: en iOS no puedes ver notas seguras (en Mac sí), en iOS ver las contraseñas requiere ir a Ajustes > Safari (!), y luego no sirve para Windows. Y las que sirven para todos los sistemas son de pago…
el problema de las contraseñas es que sea como sea, manual dada por un gestor de contrasñas, biométricas al final se transforma en un churro de ceros y unos que el que los recibe tien que decidir si deja entrar o no.
Si ese churro se intercepta, simplemente con un programa que graba las interrupciones del teclado, o con cualquier programa que controle tus solicitudes la red antes de su posible encritado, Basta utilizar ese churro de ceros y unos, para que «oficialmente «, a todos los efectos económicos, sociales e incluso penales, lo que ese churro haga, se te adjudicara a tu persona.
Uso la misma contraseña en 100 sitios diferentes, 100 sitios donde me es INDIFERENTE que la averigüen ¿me van a robar la cuenta del Candy Crush?
Donde si protejo y cambio las contraseñas es en temas de dinero y privacidad.
Es algo tan obvio y se me ha tenido que ocurrir a mi…
Mantener un listado de contraseñas en un único lugar, en internet, me parece extremadamente peligroso:
https://www.genbeta.com/seguridad/lastpass-hackeado-este-es-el-gran-peligro-de-los-gestores-de-contrasenas
Es bueno leer los artículos a los que uno comenta, Germán :-)
Gracias por el consejo tan directo, Enrique. Por mi parte uso Lastpass desde hace años, en conjunción con una llave hardware YubiKey https://lastpass.com/yubico/ para diversificar respecto al doble factor con el movil y evitar precisamente acumular criticidad en el dispositivo más expuesto que tengo
Uso LastPass desde hace tiempo y opino como Enrique. No conozco una solución mejor. Empecé probándolo el servicio con sitios de bajo riesgo y la experiencia me convenció absolutamente. No sólo permite almacenar usuarios y contraseñas, sino que también pueden guardarse notas.
Soy usuario de productos Apple y el nivel de seguridad, funcionalidad y usabilidad en la gestión de contraseñas con el llavero de iOS o Mac está lejos del que se consigue con LastPass.
Guardar las contraseñas en el navegador es una opción menos segura. Si el ordenador no está bloqueado o compartes su uso, se puede acceder fácilmente a ellas. También se podrían extraer con un malware adecuado.
Conociendo únicamente la contraseña de LastPass y (si lo deseas) utilizando la autenticación de dos factores se consigue un grado de seguridad muy notable.
En Safari las contraseñas están protegidas por la contraseña del equipo, por tanto no es posible acceder a las contraseñas por un tercero si éste desconoce la contraseña maestra. Otros navegadores permiten bloquear el acceso a contraseñas mediante una maestra propia del navegador en cuestión.
Por otra parte, el llavero de Apple, que se comparte con todos los dispositivos que uses, almacena todo tipo de contraseñas y certificados de aplicaciones diversas.
Pero, Enrique… LastPass tiene un inconveniente enorme, al menos en mi caso; sólo sirve para navegadores Web. No sirve para aplicaciones especificas cómo las que ya tienen la mayoría de servicios. Yo apenas accedo a los bancos a través de sus páginas web, sino mediante su app específica.
Y ahí, por lo que he visto, LastPass no me sirve para nada, o al menos no lo he sabido encontrar.
Sin embargo, el llavero de iCloud sí que me guarda las credenciales tanto de aplicaciones de MacOs cómo apps de iOS.
Aprovecho este artículo para comentar algo que me parece un total contrasentido. Por una parte tenemos cualquier foro sobre cualquier hobby que exige una contraseña con mayúculas, minúsculas y números, y un banco BANKIA, que impone que tu contraseña sea los 4 dígitos de tu tarjeta visa.
No es posible cambiar esta contraseña, son tus 4 dígitos de la Visa, y punto.
Menuda seguridad para una cuenta bancaria ¿no?
¿Estas seguro de eso? Yo soy cliente de Bankia, y no solo mi contraseña no está relacionada con mi Visa, sino que he podido cambiarla cuando he querido.
Hola. Totalmente seguro. A raíz de tu comentario, me dirigí una vez más a Bankia y me contestaron por escrito: para cambiar la contraseña de la banca electrónica, tengo que cambiar la contraseña de la Visa en un cajero. O sea que otro código de Visa, pero la banca electrónica sigue con los 4 dígitos de la tarjeta.
Soy un usuario intensivo de la red y manejo no menos de 30 contraseñas, algunas muy delicadas, como bancos, tarjetas, Amazon, Paypal, etc. Estoy preocupado por mi seguridad y la de los míos, si algún día me pasara algo, de modo que probé la aplicación que usted recomienda, LastPass. Enseguida me di cuenta de que no es capaz de interactuar automáticamente nada más que con una pequeña porción de sitios y aplicaciones de mi dispositivo. Es decir, la aplicación no tiene acceso a la gran mayoría de las contraseñas. De modo que consulté a la casa y me han respondido proponiéndome un procedimiento cuya complejidad me parece por completo incompatible con la limpieza, certeza y seguridad exigible a una herramienta de esta naturaleza. Por eso la he descartado. He probado otras aplicaciones y todas tienen incluso peor pinta. De modo que las herramientas ‘gestor de contraseñas’ distan de ser, hoy por hoy, un producto de masas, como deberían ser, dado que el problema es masivo, por afectar a todos los usuarios de Internet. Lo digo con toda franqueza. Si yo no he sido capaz de utilizar estas herramientas, es que son inaccesibles para el 99,9% de la población.
En cuanto al llavero de Apple que he visto que alaba algún comentarista, estoy probando el IOS 11 en mi iPad y me he encontrado con la sorpresa de que en esta versión del sistema operativo, en Ajustes, hay una nueva utilidad, que se llama Llavero o algo así, entro en ella y me encuentro que están ahí, a la vista de todo el mundo, ¡todas mis contraseñas, pero todas! Esa función de ajustes no se puede bloquear con contraseña o huella, de modo que lo único que cabe hacer es bloquear el iPad, algo que no me gusta hacer, porque es una pesadez. Increíble.
No sé a qué complejidad te refieres. Si vas a entrar en una página web, el gestor lo hace directamente. Si es en una app en el smartphone, tienes que abrir LastPass, acceder a la ficha que almacenas de esa app, decirle que copie la contraseña (ni siquiera sale a pantalla), y pegarla en el campo correspondiente. ¿Qué hay de complejo en eso? Pero vamos, que no soy agente ni comisionista de LastPass, simplemente soy un usuario satisfecho desde hace mucho tiempo… :-)
Amazon, Paypal, Google, Apple, Microsoft, Sony Entertainment, Facebook, Twitter, etc. etc. permiten autenticación de dos pasos o de dos factores (2FA), que es indispensable activar si te preocupa la seguridad de tus login.
Por otro lado, en iOS 10 cuando accedes a Ajustes > Safari > Contraseñas te pide Touch ID o contraseña para ver las contraseñas. No he probado iOS 11 pero supongo que en la versión final no tendrá menos seguridad.
En iOS 11 cuando se accede al apartado «Contraseñas de apps y sitios web» pide inmediatamente Touch ID, si no hay huella, no hay contraseñas.