Testing: Gestores de contraseñas para no preocuparse (más) por ellas

Actualización [31/07/2018]: Buttercup liberó una actualización con una muy esperada adición. Más detalles a continuación.

Actualización [26/07/2018]: Tanto Dashlane como Enpass liberaron nuevas versiones. Más detalles a continuación.

En mis primeros años en Internet, en una galaxia no muy lejana, mi "gestor de contraseña" era simple y llanamente papel y bolígrafo. Luego, me "modernicé", creando un documento en HTML que lo llevaba conmigo "para arriba y para abajo" en un diskette (sí, todavía se usaban diskettes en esos tiempos), el cual estuve así hasta que empecé a usar pendrives. Y pasaron años (muchos años), hasta que empecé a usar un gestor de contraseñas (y no recuerdo cómo di con él) llamado LastPass.

Definitivamente LastPass es la última contraseña que uno debe de recordar, se ha dicho y escrito infinidad de cosas (tanto buenas, como malas, pasando por el "rallón" del hackeo en 2015, la compra de parte de LogMeIn y la gratuitidad del servicio Premium para individuales), pero aprovechando que tenía mucho tiempo sin cambiar unas cuantas contraseñas, el almacenamiento desmedido y descontrolado de contraseñas habidas y por haber, los cambios en el mundo actual y moderno, el ataque de las cookies y la "fiebre" del "hemos actualizado nuestras políticas de privacidad", pues he decidido hacer una limpieza total en mi caja fuerte, descartando servicios y sitios que no uso y/o que dejaron de existir, así como también de probar otras alternativas, igual de buenas, prácticas, seguras y asequibles en lo posible, sin sacrificar calidad ni funciones.

En este post daré un breve repaso en mi odisea por unos gestores de contraseña que cumple con lo requerido, apto para todo tipo de público (o casi, los más exigentes y experimentados dirán que sólo hace falta papel y bolígrafo, aplicar técnicas prácticas como la regla mnemotécnica o montar uno su propio servidor, que sería algo factible en cualquier país del mundo, excepto Venezuela). La lista se presenta en orden alfabético, resaltando algunos de sus "pros" y "cons".

Pero antes de empezar, vamos a ver de qué se trata un gestor de contraseñas, qué hace un gestor de contraseñas, cómo funciona (en general) y si conviene o no usar un gestor de contraseñas, para quienes aún o nunca han usado un gestor de contraseñas, o nunca se han formulado preguntas al respecto.

¿Qué es un gestor de contraseñas

Wikipedia define a un gestor de contraseñas como:

[...] un programa de cómputo que se utiliza para almacenar una gran cantidad de parejas usuario/contraseña. La base de datos donde se guarda esta información está cifrada mediante una única clave (contraseña maestra [...]), de forma que el usuario sólo tenga que memorizar una clave para acceder a todas las demás.

En los últimos años, cada día se hace imprescindible el uso y adopción de un gestor de contraseñas, dada las constantes brechas de seguridad de servicios y sitios web, que manejan más y más datos personales, y que requieren un poco de nuestro empeño (porque también es responsabilidad de nosotros, lo usuarios) de pensar en seguro, dedicando un poquito de nuestro tiempo para crear, si bien no una contraseña perfecta, por lo menos una que no sea de fácil descifrado. Ahora bien, multipliquemos esa constante por 50, 100, 200... 400 servicios y sitios web. Complicado, ¿cierto? Es aquí donde entra en juego el gestor de contraseñas.

¿Cómo funciona un gestor de contraseñas?

Básicamente, un gestor de contraseñas maneja una base de datos donde se alojan todos nuestros nombres de usuario y contraseñas, con sus respectivos sitios web o servicios. Algunos gestores de contraseñas permiten adicionar otros datos como notas (asignadas a esos sitios, como recordatorios) y categorías o grupos (o carpetas, etiquetas), para llevar un mejor orden de nuestras contraseñas.

Esta base de datos, obligatoriamente debe estar cifrada con algún método de encriptación (es decir, todos esos datos son transformados en un lenguaje que no es entendible por los humanos, dicho en criollo sino por el mismo gestor de contraseñas), a su vez protegida con una contraseña maestra, que es la que debemos recordar siempre y guardarla con mucho recelo, porque si alguien más tiene acceso a esa contraseña maestra, tendrá acceso a todo lo demás.

Dependiendo de nuestro de gestor de contraseñas, esta base de datos puede estar alojada en la nube, para su fácil acceso desde varios dispositivos que queramos tener vinculados, sin riesgo a que la perdamos por robo, hurto o daño de nuestro dispositivo principal (por ejemplo), de manera local, en nuestro propio dispositivo, sin dependencia de una conexión a internet y sin riesgo de que hackeen a un servidor que no operamos (uno en un millón, es más factible la pérdida de datos mediante ingeniería social que cualquier otra cosa).

Por lo general, cuando rompen con la seguridad de uno de estos servicios (como en el caso de LastPass, que ya ha tenido sus experiencias), lo que han intentado robar ha sido los hashes, es decir, unas cadenas de datos codificadas que protegen nuestras cajas fuertes. Cuando el proveedor del servicio (LastPass) se da cuenta de la brecha de seguridad, activan una serie de mecanismos (protocolos) para verificar que todo estè en orden y corregir los posibles daños, incluyendo como ùltima instancia la obligaciòn a sus usuarios de actualizar las contraseñas maestras. Si las contraseñas maestras son bien implementadas (como lo recomiendan), no debería de existir ningún temor, ya que se requerería de meses, años, y centurias para ser descifradas.

¿Me conviene usar un gestor de contraseñas?

Sin importar el nivel de usuario, ya sea despistado, básico, intermedio, avanzado o Super Saiyan: sí, sí es conveniente usar un gestor de contraseñas, por más que se quiera o se odie, sobre todo si estamos registrados en una cantidad considerable de servicios y sitios web, y precisamente porque cada día nos vemos obligados a usar contraseñas seguras (la combinación aleatoria de alfanumérica, la mezcla de minúsculas y mayúsculas, junto con caracteres especiales, y en casos excepcionales, espacios). Ahora, la manera en que debe manejar la base de datos ese gestor de contraseñas, es a criterio de cada quien, analizando personal e internamente las ventajas y desventajas de querer almacenarla en la nube o en físico.

Pero eso sí, no se puede negar que uno de los mayores beneficios del uso de un buen gestor de contraseñas es que podemos burlar a esos programas maliciosos llamados keyloggers, que como indica su nombre en inglés, su función es la de llevar un registro de todo lo que tecleamos, y en dónde lo tecleamos, así que la conveniencia de un gestor de contraseñas es la de evitar en lo posible teclear nuestra contraseña (y en algunos casos nuestro nombre de usuario). Es por ello que algunos sitios web, sobre todo relacionado con los bancos o que manejan información delicada, despliegan un teclado virtual (molesto, muy, pero muy molesto y arcáico porque vuelve inútil por completo su uso en dispositivos móviles) que obligan clickear teclas ubicadas de forma aleatoria.

Llegado a este punto, ahora sí, veamos los gestores de contraseñas más (o menos) populares junto con las opciones ofrecidas, y alentar un poco al criterio al momento de elegir el más adecuado según nuestro estilo de vida.

Actualización [26/07/2018]: Tanto Dashlane como Enpass liberaron nuevas versiones.

Dashlane oficialmente liberó su versión 6, que se destaca por una renovación en su plan Premium el cual ahora incluye 1 GB de almacenamiento cifrado, un nuevo Panel de Identidad (el panel de Seguridad de Contraseñas) desde el cual se puede monitorear hasta 5 direcciones de correo electrónico y alertar sobre algún incidente en la Dark Web, y para rematar se integra una VPN (que se activa al renovar el plan Premium, que pasó de US $40 a US $90 anuales).

A propósito del cambio en el plan Premium, ahora existe un nuevo plan Premium Plus, aparte de todas las bondades del Premium "ordinario", cuenta con un servicio de restauración de identidad en línea junto con una póliza de seguro contra robo de identidad con cobertura de hasta US $1,000,000 (sí señor, así tal cual) y cuya renta es de US $120 anuales. Los usuarios que están bajo la modalidad Free verán mermada la capacidad de su cuenta pues ahora sólo permite almacenar hasta 50 contraseñas.

En cuanto a Enpass 6 (aun en beta), siguen realizando mejoras en cuanto a sincronización con la nube, se liberó un nuevo complemento para Firefox, y se espera que muy pronto arreglen algunos fallos con la función de importación de contraseñas (en especial al organizarlas con etiquetas). Siguen resaltando como una importante adición la posibilidad de crear múltiples cajas fuertes (o identidades, como en LastPass) sin costo adicional. La ventaja de tener múltiples cajas fuertes (o identidades), es que con una misma cuenta (y una misma instancia de la aplicación) es posible tener organizadas las contraseñas de sitios y servicios web de uso personal como laboral.

Bitwarden

Bitwarden: Pantalla principal.

Bitwarden podría considerarlo como el equivalente "open source" más cercano en cuanto a características y flexibilidad, a LastPass. No tiene mucho que envidiarle a éste (salvo los recursos e infraestructura con los que cuenta LastPass). Es desarrollado por 8bit Solutions LLC, ubicado en Jacksonville (Florida, Estados Unidos de América).

En términos generales es una excelente alternativa gratuita, con todo lo necesario (y hasta más) para administrar, gestionar y compartir de forma segura, tanto contraseñas como información sensible (notas privadas, información bancaria, entre otros).

De igual manera es posible administrar y gestionar contraseñas y otros datos bajo la modalidad de Organizaciones, aunque la versión gratuita está limitada sólo a dos, el plan Premium permite gestionar hasta 5 usuarios, en el caso de Familias, o ilimitado si es una cuenta para Equipos o Empresarial. Otras ventajas que se obtienen al activar el plan Premium son la posibilidad de verificación de dos pasos de forma nativa en la aplicación (tanto desde las extensiones, cliente de escritorio y móvil) como autentificación vía hardware (como YubiKey), almacenamiento encriptado de hasta 1 GB.

Bitwarden: Complemento de Firefox desde el panel lateral para facilitar la tarea al momento de buscar, editar y generar contraseñas. También es posible revisar si la contraseña no está comprometida.

La interfaz es simple, mantiene uniformidad en todas sus variantes (web, extensiones, clientes de escritorio y móvil), es posible intercambiar entre un tema claro y uno oscuro (excepto en el cliente móvil, que aún no lo ofrece).

Entre otros puntos positivos que tiene este gestor de contraseñas, y que merece darle su oportunidad, están los asistentes para importar y exportar datos, desde y hacia otros gestores populares, así como también de forma plana mediante el formato CSV. También, otro punto importante es, al igual que en LastPass, la personalización y edición de campos de formularios, en el caso de que el servicio donde iniciamos sesión presente algún campo de seguridad adicional, como una segunda contraseña. La extensión para Firefox permite abrir el gestor en un panel lateral (más práctico que esto, ¡imposible!, sobre todo si estamos editando perfiles a cada rato, o al menos como en este caso, mientras hacía limpieza de contraseñas). La versión móvil de Firefox también cuenta con una extensión dedicada (a propósito de las limitaciones de Firefox en Android).

Bitwarden: Generador de contraseñas desde la pantalla principal.

Si eres usuario avanzado, puedes alojar tu caja fuerte en tu propio servidor. Antes de iniciar sesión, una vez configurado los parámetros de la ubicación de tu caja fuerte, podrás personalizar el mismo en el cliente.

Se pueden contar como puntos en contra de Bitwarden, las sugerencias de llenado de contraseñas en el cliente móvil no se muestran en una "burbuja" o "pop-up" como LastPass, sino en una notificación que activa la ventana del cliente, pero esperamos que eso cambie en un futuro, mientras que en el escritorio, específicamente la extensión para Firefox, queda inutilizable en las ventanas privadas (una pena). De igual manera, para importar contraseñas desde otros gestores es necesario acceder al baúl web.

Para asegurarse de que la aplicación esté lo más sana posible, Bitwarden ofrece el programa bug bounty de HackerOne para hacer seguimiento a cualquier vulnerabilidad o fallo.

Dashlane

Dashlane: Pantalla principal.

De entre las propuestas privadas, esta es una de las más interesantes y atractivas. Y no sólo visualmente, sino también en la practicidad.

Dashlane, desarrollado por Dashlane, Inc., ubicada en Delaware (New York, Estados Unidos de América) oficialmente es gratis, pero sólo a través de un dispositivo y sin posibilidad de sincronización ni acceso web, sin embargo cuenta con 1 mes Premium sin costo, o en su defecto, 6 meses con el plan Premium sin costo (siempre y cuando se instale el cliente de escritorio en macOS o Windows, o la extensión para Firefox en Linux), pudiéndose aún seguir ampliando otros 6 meses por cada amigo referido (ése es el atractivo, que supera en creces al de LastPass, que ofrece 1 mes de Premium por cada amigo referido).

Asumiendo que tienes Dashlane Premium, digamos que su presentación es bastante agradable a la vista (comparado con LastPass). Sincronización, respaldo seguro de contraseñas, acceso web, uso compartido de contraseñas y autentificación de dos pasos (desde el cliente móvil), ya vienen incluídos.

Los usuarios Premium pueden ser notificados si alguna contraseña o servicio han sufrido algún ataque o se han visto comprometidos, algo muy importante, y para todos los usuarios en general, existe una función para cambiar las contraseñas de forma automática y sin mucho esfuerzo.

Dashlane: Generador de contraseñas desde el complemento para Firefox.

Demás está decir, el generador de contraseñas robustas es: muy agradable a la vista (tanto, que provoca cambiar las contraseñas a cada rato).

El cliente móvil funciona muy conveniente, puesto que a diferencia de Bitwarden si ofrece sugerencias mediante una discreta burbuja, y como ya mencioné, los usuarios Premium pueden generar códigos de autentificación de dos pasos. Si vienes de LastPass, puede que eches de menos en una opción para buscar otros sitios cuando la sugerencia no corresponda (por ejemplo, cuando inicies sesión en tu correo y el formulario viene de otra página, Dashlane tomará en cuenta es a dicha página más no al formulario de inicio de sesión del correo, tendrías entonces que escribir los datos manualmente o saltarte entre aplicaciones para copiar y pegar el login).

También cuenta con un "ajustado" asistente para importar/exportar contraseñas, desde y hacia otros gestores populares, sin embargo acá apunto algunas pegas: si ya tienes algunas categorías definidas y estás importando contraseñas con las mismas categorías, puede que Dashlane las guarde en otra categoría (Sin Categoría). Sin embargo, si importas la misma contraseña, Dashlane la omitirá y no la importará, para no crear duplicados. Obviamente no es algo que se va a requerir a todo momento, pero ha sido algo molesto en estas 3 semanas que he estado haciendo la depuración de mis contraseñas y probando características de estos gestores.

Otra pega (por lo menos hasta la versión 6.0, actualmente en beta), la única personalización de formularios es la inclusión de un segundo campo de inicio de sesión, algo más engorroso que LastPass o Bitwarden, puesto que en la misma caja hay que colocar la identidad del campo, seguido del valor (por ejemplo, si en el formulario hay un campo extra de "Código de seguridad", habría que colocar: "key_code:123456", sin las comillas, y conociendo de antemano la identificación del campo, que se puede saber muy fácilmente habilitando el inspector de elementos de Firefox o Chrome).

Sus detractores dirán que es un servicio privado, no es código abierto y depende de la nube. En parte sí, pero también se puede usar de forma desconectada. Aunque podrán tener sus razones y motivos, también está en que Dashlane tampoco ha estado exento de fallos y errores, y así como Bitwarden, cuentan con el programa bug bounty de HackerOne así como una serie de directrices de divulgación a la hora de informar algún problema.

LastPass

LastPass: Pantalla principal desde el complemento para Firefox.

Mi gestor de contraseñas desde hace, mucho, mucho tiempo. Lo han hackeado, ha tenido sus altibajos y sus amenazas, pero hasta el momento sigue siendo mi gestor de contraseñas, y es al que tomo como referencia para tratar de sacar las cosas buenas y no tan buenas de los otros gestores que he analizado en este post.

Como usuario mortal, común, silvestre y gratuito, es más que conveniente todas las funciones que ofrece: gestionar las contraseñas y que pueda sincronizarlas en mis dispositivos sin limitaciones.

Su uso es tan extendido, porque está de entre los más longevos, como RoboForm (por ejemplo), y como tal, ya se le nota en su identidad y su interfaz de usuario (que ya lleva un tiempo sin grandes modificaciones), y con su buena cantidad de defensores y detractores.

LastPass: Autorellenando contraseñas con el complemento para Firefox.

Como ya había mencionado, Bitwarden es, de entre los gestores probados, el más cercano en cuanto a características, si partimos de la versión gratuita, que no tiene muchas limitaciones, dejando para los Premium el almacenamiento encriptado (de 1 GB), y la gestión de organizaciones. Se puede disfrutar de 1 mes del plan Premium sin costo alguno por cada amigo referido.

Tanto LastPass (que es propiedad de LogMeIn, Inc., ubicada en Boston, Massachusetts), como Dashlane, cuentan también con un apartado donde se analiza la seguridad y fiablidad de nuestra caja fuerte, y dependiendo del resultado general obtenido, ofrece algunas recomendaciones y sugerencias de seguridad al momento de cambiar las contraseñas. Cabe destacar que LastPass nos muestra una tabla de resultados en donde compara el obtenido junto con la media del resto de sus usuarios (obviamente, son estadísticas anónimas, para quienes aman y se mortifican la vida por los números).

LastPass: Generador de contraseñas con el complemento para Firefox.

Algo que puede ser incómodo es al momento de importar contraseñas de otros gestores, pues esta operación debe realizarse directamente desde el sitio web de LastPass, tal como sucede en Bitwarden. Y si es de importar de un archivo genérico CSV (en caso de que tu gestor de contraseñas no aparezca en la extensa lista de gestores compatibles), hay que abrir el archivo, copiar el contenido y pegarlo en la caja de texto de la página web de LastPass (mucho, pero mucho trabajo, pero claro, no es algo que hay que hacer todos los días).

Extra: Enpass (Beta 6)

Enpass: Pantalla principal (Beta 6).

Enpass es un gestor de contraseñas, desarrollado por Sinew Software Systems (una empresa independiente basada en Gurugram, New Delhi, India), que me ha dejado con sentimientos encontrados. Es totalmente gratis en las versiones de escritorio, junto con sus respectivas extensiones, pero hay que pagar una única vez, una módica suma de dinero para la versión móvil (apenas llegando a US $10 por plataforma, es decir una licencia para Android, una para iOS y una para Windows Mobile). Si optamos sólo por la versión gratuita, el cliente móvil quedaría de adorno, así que valdría la pena adquirir una licencia.

Su filosofía es similar a la de Buttercup: es gratis, puede funcionar de forma desconectada con opción a sincronización con diferentes nubes (Box, Dropbox, Google Drive, OneDrive, OwnCloud y WebDAV). Está bien, hasta acá.

Enpass: Complemento para Google Chrome.

Los puntos en contra empiezan en el escritorio, pues las extensiones para los navegadores quedan de adorno (y con razón) si no se tiene instalado el cliente (disponible para Linux, macOS y Windows). Y acoto el "con razón", porque la caja fuerte es local, y quien hace toda la gestión en sí es el cliente, más no la extensión, la extensión más bien es una ayuda para no tener que cambiar ventanas e ir copiando y pegando. Dashlane es algo parecido en este aspecto, pues con el cliente editamos todo sin necesidad de ir a la web (como usuario gratuito sí es obligatorio el cliente de escritorio), sin embargo la extensión basta y sobra para autocompletar los formularios.

En la actualidad, hay dos versiones de Enpass: la que está terminando la rama 5.x y la 6, actualmente en fase beta para Android, Windows y una extensión disponible para Google Chrome. Mientras redactaba este post, fue lanzada una nueva actualización de la beta 6 en la que se incluye la función para importar contraseñas de otros gestores o de un archivo CSV, sin embargo no existe todavía una forma para editar o personalizar la caja fuerte (cambiar el nombre, color e icono). La nueva actualización de la versión beta para Android permite sincronizar la caja fuerte, además de Dropbox, con Google Drive, OneDrive, entre otros, así como restaurar desde una copia local. También mejoró el soporte para el autocompletado de contraseñas, sin embargo presenta algunos bugs, como por ejemplo pide desbloquear la aplicación con la contraseña maestra en vez del PIN (aún cuando esté configurado).

Enpass: Generador de contraseñas.

Si bien hasta la versión 5.x queda algo limitada en la manera de organizar las contraseñas (no hay carpetas, sólo las categorías en cuanto al tipo de dato que guardemos, inicios de sesión, contraseñas, información personal o bancaria), se espera un cambio importante en la versión 6, más que carpetas, se asignarían etiquetas a las contraseñas.

Con la llegada de la nueva actualización de la beta 6, esperaba que la función de importación de archivos CSV permitiera asignar de una vez las etiquetas a las contraseñas de forma masiva, pero aún no está implementado, así que si queremos importar muchas contraseñas desde otro gestor, en Enpass tendremos que editar luego, una a una y etiquetarlas, es decir, todo un proceso.

Otro aspecto a considerar en la próxima versión, aparte del rediseño del cliente (junto con dos temas, uno claro y el otro oscuro), está la posibilidad de activar la autentificación de dos pasos en el mismo cliente de escritorio, y añadir archivos adjuntos para contraseñas. Cabe destacar que tanto en la versión estable y la beta, en ambas, permiten añadir campos personalizados en los formularios, como lo hacen Bitwarden y LastPass.

Igual que Dashlane, cuenta con un generador de contraseñas robustas, muy visual y configurable, así como un resumen de auditoría de contraseñas, de fácil acceso, que nos permite identificar rápidamente contraseñas débiles y repetidas.

Su asistente de importación de contraseñas es muy completa, ya que permite importar contraseñas de un buen número de gestores, incluyendo 1Password, Dashlane, LastPass, KeePass así como archivos CSV y JSON.

Sus detractores dirán: "¡hay que pagar! ¡no es de código abierto!"... ¡pero, ey! es sólo un pago único de apenas US $10 por plataforma, aunque no es de código abierto sí hace uso de tecnologías abiertas, si eres usuario de Windows 10 puedes activar la protección mediante Windows Hello (como un interesante plus). Si bien no es de código abierto, sí emplea tecnologías de código abierto, tal como lo aclaran en una consulta en sus foros. Además, como ellos mismos aseguran, no hay riesgos pues no hacen uso de nuestros datos, ya que nuestras contraseñas son almacenadas de forma local (ni siquiere hay que registrarse para usarlo).

Comparación de Gestores de Contraseñas (Freemium)

Producto	Bitwarden Versión 1.3.0	Dashlane Versión 6.0.2	LastPass Versión 4.15.217	Enpass Versión 6.0.0 (72)
Precio	Gratis Premium: US $10/año	Gratis: Hasta 50 contraseñas Premium: US $60/año, incluyendo VPN Premium Plus: US $120/año, incluyendo póliza de seguro contra robo de identidad con cobertura de hasta US $1,000,000	Gratis Premium: US $24/año	Gratis Premium: US $10 único pago por plataforma móvil
Plataforma	Linux / macOS / Windows Android / iOS Chrome / MS Edge / Firefox	Linux / macOS / Windows Android / iOS Chrome / MS Edge / Firefox	Linux / macOS / Windows Android / iOS Chrome / MS Edge / Firefox	Linux / macOS / Windows Android / iOS Chrome / MS Edge / Firefox
Versión Portable	Sí	No	Sí	Sí
Acceso Web	Sí	Sí Premium	No	No
Almacenamiento Cifrado	Sí 1 GB (Premium)	Sí 1 GB (Premium)	No	No
Importación desde Navegadores / Otros Gestores	Sí / Sí	Sí / Sí	Sí / Sí	Sí / Sí
Exporta hacia Otros Gestores	Sí	Sí	Sí	Sí
Generador de Códigos de 2 Pasos	Sí Premium	Sí Premium (sólo cliente móvil)	No (aplicación aparte)	Sí
Edición de Formularios	Sí	Sí (limitado)	Sí	Sí
Relleno Automático de Formularios (Escritorio)	Sí (pero no funciona en las ventas privadas de Firefox)	Sí	Sí	Sí
Relleno Automático de Formularios (Móviles)	Sí (a través de otra ventana)	Sí	Sí	Sí
Organización de Contraseñas Mediante Carpetas / Etiquetas	Carpetas	Categorías	Categorías	Etiquetas (disponible a partir de la versión 6)
Múltiples Cajas Fuertes / Identidades	Gratis: 2 Premium (Personal): 5	No	Sí	Disponible a partir de la versión 6
Análisis de Fortaleza de Contraseñas	No	Sí	Sí	Sí
Auditoría de Contraseñas	No	Sí	Sí	Sí
Alerta de Contraseñas Comprometidas	Sí	Sí	Sí	No
Generador de Contraseñas	Sí	Sí	Sí	Sí
Sincronización de Contraseñas	Sí	Sí Premium	Sí	Sí Premium
Alojamiento de Caja Fuerte en Servidor Propio	Sí	No	No	No
Alojamiento de Caja Fuerte en Nube Propia	No	No	No	Sí Box, Dropbox, Google Drive, OneDrive, OwnCloud, WebDAV
Puntuación*	28 /40	26 /40	32 /40	29 /40
Más Información	Web GitHub	Web	Web	Web
*Acerca de la puntuación: La puntuación se calculó asignando los siguientes valores: valor positivo equivale a dos (2) puntos; valor intermedio equivale a un (1) punto; valor negativo equivale a cero (0) punto.

Otros gestores de contraseña a considerar

En el caso de gestores de contraseñas más "rudimentarios" o que funcionen fuera de línea, o mejor, que permitan alojar la caja fuerte en servidores/nubes propias, también hay alternativas.

Actualización [31/07/2018]: Buttercup liberó una actualización con una muy esperada adición.

A partir de la versión 1.10.0 de Buttercup es posible exportar contraseñas a otros gestores en formato CSV, así como también importar de otras cajas fuertes de Buttercup. También, esta actualización arregla algunos fallos menores, como un error que se producía al momento de ordenar las contraseñas de acuerdo a sus propiedades.

Buttercup

Buttercup: Pantalla principal.

Buttercup es un gestor de contraseñas desarrollado en Helsinki, Finlandia, por Perry Mitchell y Sallar Kabolique, el cual funciona de forma desconectada, es compatible con KeePass y LastPass (importando archivos en formato CSV), de código abierto y multiplataforma. Tiene buen estilo, y como extra es posible la caja fuerte en nubes como Dropbox, Nextcloud, OwnCloud o con servidores compatibles con el protocolo WebDAV.

Buttercup: Generador de contaseñas.

Al igual que Bitwarden, Dashlane, LastPass (y obviamente KeePass), puede las contraseñas mediante carpetas, lo cual nos ayuda mucho al momento de planificar un cambio general de contraseñas (como el propósito que dio origen a este post). También recalco que Buttercup permite editar campos de formularios, tal como Bitwarden y LastPass, tantos sean necesarios. Y como funciona de la misma manera que KeePass y compañía (visualmente, un gestor moderno), permite administrar tantas cajas fuertes como grupos/carpetas queramos.

De los gestores de contraseñas de código abierto y gratuito, a mi parecer es el más amigable junto con Bitwarden.

Buttercup: Complemento para Firefox.

Que no te desanime que trabaje desconectado, ya que cuenta también con extensiones para navegadores y clientes móviles para iOS y Android. Si bien no hay una manera amigable de integrarlo con OneDrive (por los momentos), sí que la hay con Dropbox y funciona de maravilla.

KeePassXC / KeePass DX / KeeWeb

KeePassXC: Pantalla principal.

Cerrando, el trío de forks de KeePass. Aunque probé en sí la versión original de KeePass, opté por analizar los forks, porque son multiplataformas, así que lo que se diga acá, se aplica casi perfectamente para los 3.

Casi perfectamente, porque las diferencias son las siguientes:

• KeePassXC es para escritorio y navegadores: Linux, macOS, Windows, Google Chrome y Firefox.
• KeePass DC en cambio es para móviles: Android e iOS, sin embargo se puede conectar a una caja fuerte alojada en la nube.
• Mientras que KeeWeb es sólo para escritorio: Linux, macOS y Windows, quedando la web para acceder en navegadores, accediendo a tantas cajas fuertes tengamos alojadas en la nube.

"Las 3 K" son bastantes flexibles a la hora de organizar las contraseñas, pues las mismas pueden estar dentro de carpetas, y a la vez en subcarpetas, que son heredadas tal cual de KeePass, sin embargo KeeWeb va un paso más allá, permitiendo como extra añadir etiquetas.

KeeWeb: Pantalla principal.

Por si fuera poco (también como herencia de KeePass), a cada contraseña se le puede asignar un icono para fácil identificación, tanto estándar como personalizado (alojado en la caja fuerte). Cabe destacar en este punto, que los íconos no son exportables a otros gestores que no sean compatibles con KeePass.

KeeWeb: Complementos opcionales.

Si KeeWeb aun te queda corto de funciones y características, como el KeePass original, puedes instalar complementos, bien sea del mismo desarrollador o de terceros, aunque en realidad son pocos los interesantes (la mayoría son traducciones), valen destacar: HaveIBeenPwned, que revisa directamente en la base de datos de HaveIBeenPwned si tu contraseña está comprometida; keewebhttp, que permite usar KeeWeb con las extensiones para KeePassHttp-Connector para Firefox y chromeIPass para Chrome; y theme-nord, un tema oscuro adicional. Todos estos complementos pueden instalarse directamente desde el cliente.

KeeWeb: Generador de contraseñas.

¿Inconvenientes? Tener que usar dos aplicaciones distintas, KessPassXC y KeePass DX (en vez de una sola que integre todo, claro está son proyectos distintos y separados). Mientras que KeeWeb, con su interfaz minimalista que en cierta manera emula una terminal (con los colores y las fuentes adecuadas) carece de la habilidad de autocompletar formularios en la web de forma nativa (pero como mencioné más arriba, se puede solventar mediante complementos adicionales, descargables desde el mismo gestor).

KeePassXC: Autorellenando contraseñas en Firefox.

Si bien KeePassXC ofrece extensiones para Firefox y Chrome, no funcionan del todo como deberían de funcionar de buenas a primeras, su interfaz resulta más confusa de lo que uno puede esperarse y el autocompletado deja mucho que desear. Una pena total para quienes buscamos algo bien integrado como el resto de gestores.

Comparación de Gestores de Contraseñas (Gratuitos)

Producto	Buttercup Version 1.10.0	KeePassXC Versión 2.3.3	KeePass DX	KeeWeb Versión 1.6.3
Precio	Gratis	Gratis	Gratis	Gratis
Plataforma	Linux / macOS / Windows Android / iOS Chrome / Firefox	Linux / macOS / Windows Chrome / Firefox	Android / iOS	Linux / macOS / Windows Chrome / MS Edge / Firefox
Versión Portable	Sí	Sí	No	Sí
Acceso Web	No	No	No	Sí
Almacenamiento Cifrado	No	No	No	No
Importación desde Navegadores / Otros Gestores	No / Sí	No / Sí	No Compatible sólo con KeePass	No Compatible sólo con KeePass
Exporta hacia Otros Gestores	Sí	Sí	No	No
Generador de Códigos de 2 Pasos	No	No	No	Sí
Edición de Formularios	Sí	Sí	No	Sí
Relleno Automático de Formularios (Escritorio)	Sí	Sí	No	Sí KeePassHttp-Connector para Firefox y chromeIPass para Chrome
Relleno Automático de Formularios (Móviles)	Sí	No	Sí	No
Organización de Contraseñas Mediante Carpetas / Etiquetas	Carpetas y Subcarpetas	Carpetas y Subcarpetas	Carpetas y Subcarpetas	Etiquetas, Carpetas y Subcarpetas
Múltiples Cajas Fuertes / Identidades	Sí	Sí	Sí	Sí
Análisis de Fortaleza de Contraseñas	Sí	No	No	No
Auditoría de Contraseñas	No	No	No	No
Alerta de Contraseñas Comprometidas	No	No	No	Sí (mediante complemento HaveIBeenPwned)
Generador de Contraseñas	Sí	Sí	Sí	Sí
Sincronización de Contraseñas	Sí	Sí Escritorio / Browser	Sí Móviles	Sí Escritorio
Alojamiento de Caja Fuerte en Servidor Propio	No	No	No	No
Alojamiento de Caja Fuerte en Nube Propia	Sí Box, Dropbox, Google Drive, OneDrive, OwnCloud, WebDAV	Sí Guardando la caja fuerte directamente en una carpeta dentro de la nube con acceso local	Sí Guardando la caja fuerte directamente en una carpeta dentro de la nube con acceso local	Sí Dropbox, Google Drive, OneDrive, WebDAV
Puntuación*	26 /40	20 /40	14 /40	23 /40
Más Información	Web GitHub	Web GitHub	Web GitHub	Web GitHub
*Acerca de la puntuación: La puntuación se calculó asignando los siguientes valores: valor positivo equivale a dos (2) puntos; valor intermedio equivale a un (1) punto; valor negativo equivale a cero (0) punto.

¿Conclusiones?

Resumiendo: no hay un gestor de contraseñas perfecto. En el mercado podemos encontrar una variedad de gestores, con funciones y características en común, pero también con metodologías o filosofías que marcan la diferencia, las que se pueden resumir en dos importantes grupos: los gestores que se basan en la nube y los gestores que manejan nuestras contraseñas "en tierra".

Ambos grupos tienen tanto sus defensores como sus detractores, difícilmente es posible encontrar "términos medios", pero para eso están algunas opciones como Dashlane y Enpass, que pueden trabajar de forma mixta, con o sin sincronización, sólo cuando se requiera, y en el caso de Enpass, que nos permite usar nuestra nube personal, o bien como Bitwarden, que nos da la opción de configurar nuestro propio servidor.

Sin dejarse llevar por las "pasiones", los números indican que LastPass definitivamente es el que abarca más funciones para todos, mientras que los forks de KeePass son los más "pobres" (pero que esa "pobreza" no quiere decir que sean inseguros, sino todo lo contrario, en especial para los paranóicos). La cuestión es más por comodidad, confiabilidad y que ofrezca opciones.

Bitwarden y Enpass le siguen a LastPass, aunque irónicamente ambos clientes móviles no ofrecen la misma comodidad que el de LastPass al momento de autocompletar los formularios (el detalle que no se muestra una burbuja sino que hay que abrir una ventana aparte). En cuanto a Dashlane, la puntuación es afectada principalemente por las limitaciones en la versión gratuita y por lo cerrado en cuanto a alojamiento externo de la caja fuerte (que para un usuario común y silvestre no debería suponer algún impedimento para elegirlo como gestor de contraseñas principal).

Del bando de los gratuitos, de código abierto y que funcione más de forma desconectada que conectada, sin duda Buttercup es el más idóneo, porque trabaja de forma similar que KeePass (además de visualmente agradable y moderno) y con extensiones para los principales navegadores, clientes móviles y conectividad a la nube a conveniencia.

Si eres nuevo en esto de los gestores de contraseñas, puede que al principio sea indiferente cualquier gestor, te adaptarás al primero que elijas, pero para un usuario con tiempo en esto, al contrario, buscará más opciones, más funciones y que no le cueste tanto dinero.

Al menos dediqué el tiempo para limpiar y remover contraseñas y servicios obsoletos mientras probaba otros gestores de contraseña después de muchos años con LastPass. Lo que sí, Bitwarden es mi nuevo favorito en el escritorio y Dashlane en el móvil.

(Webs: Bitwarden, Dashlane con 6 meses Premium sin costo, LastPass con 1 mes Premium sin costo, Enpass, Buttercup, KeePassXC, KeePass DX, KeeWeb)