¿Qué es un gestor de contraseñas?

| Última modificación: 13 de junio de 2024 | Tiempo de Lectura: 4 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes qué es un gestor de contraseñas, cómo funciona y para qué se utiliza esta herramienta en ciberseguridad? El almacenamiento de contraseñas de usuarios es tan importante como la creación de las mismas. De nada sirve una clave muy segura si la forma en la que se guarda es vulnerable al acceso de terceros. ¿Cuál es la forma correcta de almacenar passwords y qué herramientas existen para ello? A continuación, veremos qué es un gestor de contraseñas y cómo funcionan estas aplicaciones.

¿Qué es un gestor de contraseñas?

Un gesto de contraseña o administrador de contraseñas es una aplicación que permite crear y almacenar claves seguras para todas tus cuentas de internet, las cuales se verán protegidas por una única contraseña maestra que solo tú debes conocer. Esta herramienta se ha popularizado, junto con las VPN, para mejorar la seguridad de los diferentes tipos de usuarios que hay en internet.

Los gestores de contraseñas son útiles debido a que resulta demasiado difícil desarrollar claves largas, seguras y diferentes para cada cuenta de aplicación que tenemos. Además, en el proceso de entender que es gestionar contraseñas, sería un auténtico problema hallar cómo almacenarlas correctamente. Aunque un programador puede crear un software independiente para ello, existen servicios que han sido creados especialmente con esta función.

Los gestores de contraseñas cuentan con versiones gratuitas o de pago, que ofrecen algunos servicios, como, por ejemplo:

  • Generan contraseñas largas y aleatorias. La longitud y la aleatoriedad de una contraseña son los dos aspectos que más refuerzan su seguridad. Es prácticamente imposible crear una contraseña segura y diferente para cada cuenta sin utilizar un programa para ello.
  • Almacenamiento de contraseñas encriptadas. Estos programas no almacenan las contraseñas en forma de texto plano, sino sus versiones encriptadas, que solo pueden descifrarse usando una contraseña maestra y es a la única que tiene acceso la aplicación de gestión.
  • Autenticación de factor múltiple. Algunos gestores de contraseñas permiten verificar la identidad del usuario con un factor doble, además de la clave maestra.
  • Almacenar datos de pago de forma segura.
  • Compartir contraseñas de forma segura con otros usuarios.
  • Monitorear las filtraciones de bases de datos en sitios de la dark net.

Algunos gestores de contraseñas de pago populares son:

  • Dashlane.
  • RememBear.
  • 1Password.
  • LastPass.
  • Nordpass.
  • Keeper.
  • RoboForm.
  • StickyPassword.

También hay gestores de contraseñas de código abierto, como:

¿Cómo funcionan los gestores de contraseñas?

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Ahora sabes qué es un gestor de contraseñas y por qué se recomienda la utilización de este tipo de softwares, pero ¿cómo funcionan y por qué permiten guardar contraseñas de forma segura? ¿que significa gestionar contraseña?

Un gestor de contraseñas funciona por medio de una base de datos cifrada que solo puede desbloquearse con una clave maestra que crea el cliente de la aplicación. El administrador almacena esta clave de forma segura, utilizando hashing especial para contraseñas en su base de datos general. De este modo, la aplicación no tiene acceso a las contraseñas de las cuentas de los usuarios, solo a la función hash de su clave maestra.

¿Qué es el hashing para contraseñas?

Ahora sabes qué es un gestor de contraseñas y cómo permite almacenar datos confidenciales de forma segura. A continuación, profundizaremos sobre el concepto del hashing para passwords, que es el método que utilizan estas aplicaciones y otras bases de datos seguras para guardar datos confidenciales de usuarios y contraseñas.

Hashing

Las funciones hash o funciones resumen son resultados de algoritmos matemáticos que permiten derivar una cadena de datos de tamaño fijo para representar sus datos de origen. Existen funciones hash seguras para contraseñas que son de carácter irreversible y, por lo tanto, no es posible conocer a qué contraseña corresponde si se tiene solo la función.

Salting

El problema con las funciones hash es que pueden ser susceptibles a un ataque de tablas arcoíris, que se basa en comparar una serie de funciones hash precalculadas con la de la contraseña que se quiere descifrar. Para evitar estos ataques, se utiliza una técnica conocida en criptografía como salting.

El salting en criptografía significa agregarle datos aleatorios a las contraseñas de los usuarios antes de aplicarles la función hash para almacenarlos. De este modo, se puede evitar por completo el ataque con tablas de arcoíris. No obstante, cabe aclarar que el salting no aumenta la seguridad de una contraseña robusta, como tampoco sirve para proteger a una demasiado fácil, que es muy susceptible a un ataque de fuerza bruta (por ejemplo, “hola” o “1234“).

Función de derivación de clave

Comprender qué es un algoritmo de función de derivación de clave es útil para entender qué es un gestor de contraseñas, ya que muchos funcionan con este sistema para almacenar las claves maestras.

Una función de derivación de clave es un algoritmo hash con autenticación HMAC, que se repite un número de iteraciones “N” sobre sí mismo. Normalmente se ejecutan más de 5.000 iteraciones, por lo que se generan hashes totalmente seguros de almacenar. Además, también se combina la contraseña de los usuarios con salting para hacerlo más seguro todavía.

Ya sabes qué es un gestor de contraseñas, cómo funciona y para qué se recomienda su uso. Si quieres aprender más y convertirte en un experto en ciberseguridad, no te pierdas el mejor curso para ti: ¡nuestro Ciberseguridad Full Stack Bootcamp! Con esta formación intensiva podrás especializarte en hacking ético en menos de 7 meses. ¿A qué esperas? ¡Inscríbete ya!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado