Testing: Gestores de contraseñas para no preocuparse (más) por ellas
Actualización [31/07/2018]: Buttercup liberó una actualización con una muy esperada adición. Más detalles a continuación.
Actualización [26/07/2018]: Tanto Dashlane como Enpass liberaron nuevas versiones. Más detalles a continuación.
En mis primeros años en Internet, en una galaxia no muy lejana, mi "gestor de contraseña" era simple y llanamente papel y bolígrafo. Luego, me "modernicé", creando un documento en HTML que lo llevaba conmigo "para arriba y para abajo" en un diskette (sí, todavía se usaban diskettes en esos tiempos), el cual estuve así hasta que empecé a usar pendrives. Y pasaron años (muchos años), hasta que empecé a usar un gestor de contraseñas (y no recuerdo cómo di con él) llamado LastPass.
Definitivamente LastPass es la última contraseña que uno debe de recordar, se ha dicho y escrito infinidad de cosas (tanto buenas, como malas, pasando por el "rallón" del hackeo en 2015, la compra de parte de LogMeIn y la gratuitidad del servicio Premium para individuales), pero aprovechando que tenía mucho tiempo sin cambiar unas cuantas contraseñas, el almacenamiento desmedido y descontrolado de contraseñas habidas y por haber, los cambios en el mundo actual y moderno, el ataque de las cookies y la "fiebre" del "hemos actualizado nuestras políticas de privacidad", pues he decidido hacer una limpieza total en mi caja fuerte, descartando servicios y sitios que no uso y/o que dejaron de existir, así como también de probar otras alternativas, igual de buenas, prácticas, seguras y asequibles en lo posible, sin sacrificar calidad ni funciones.
En este post daré un breve repaso en mi odisea por unos gestores de contraseña que cumple con lo requerido, apto para todo tipo de público (o casi, los más exigentes y experimentados dirán que sólo hace falta papel y bolígrafo, aplicar técnicas prácticas como la regla mnemotécnica o montar uno su propio servidor, que sería algo factible en cualquier país del mundo, excepto Venezuela). La lista se presenta en orden alfabético, resaltando algunos de sus "pros" y "cons".
Pero antes de empezar, vamos a ver de qué se trata un gestor de contraseñas, qué hace un gestor de contraseñas, cómo funciona (en general) y si conviene o no usar un gestor de contraseñas, para quienes aún o nunca han usado un gestor de contraseñas, o nunca se han formulado preguntas al respecto.
¿Qué es un gestor de contraseñas
Wikipedia define a un gestor de contraseñas como:[...] un programa de cómputo que se utiliza para almacenar una gran cantidad de parejas usuario/contraseña. La base de datos donde se guarda esta información está cifrada mediante una única clave (contraseña maestra [...]), de forma que el usuario sólo tenga que memorizar una clave para acceder a todas las demás.
En los últimos años, cada día se hace imprescindible el uso y adopción de un gestor de contraseñas, dada las constantes brechas de seguridad de servicios y sitios web, que manejan más y más datos personales, y que requieren un poco de nuestro empeño (porque también es responsabilidad de nosotros, lo usuarios) de pensar en seguro, dedicando un poquito de nuestro tiempo para crear, si bien no una contraseña perfecta, por lo menos una que no sea de fácil descifrado. Ahora bien, multipliquemos esa constante por 50, 100, 200... 400 servicios y sitios web. Complicado, ¿cierto? Es aquí donde entra en juego el gestor de contraseñas.
¿Cómo funciona un gestor de contraseñas?
Básicamente, un gestor de contraseñas maneja una base de datos donde se alojan todos nuestros nombres de usuario y contraseñas, con sus respectivos sitios web o servicios. Algunos gestores de contraseñas permiten adicionar otros datos como notas (asignadas a esos sitios, como recordatorios) y categorías o grupos (o carpetas, etiquetas), para llevar un mejor orden de nuestras contraseñas.Esta base de datos, obligatoriamente debe estar cifrada con algún método de encriptación (es decir, todos esos datos son transformados en un lenguaje que no es entendible por los humanos, dicho en criollo sino por el mismo gestor de contraseñas), a su vez protegida con una contraseña maestra, que es la que debemos recordar siempre y guardarla con mucho recelo, porque si alguien más tiene acceso a esa contraseña maestra, tendrá acceso a todo lo demás.
Dependiendo de nuestro de gestor de contraseñas, esta base de datos puede estar alojada en la nube, para su fácil acceso desde varios dispositivos que queramos tener vinculados, sin riesgo a que la perdamos por robo, hurto o daño de nuestro dispositivo principal (por ejemplo), de manera local, en nuestro propio dispositivo, sin dependencia de una conexión a internet y sin riesgo de que hackeen a un servidor que no operamos (uno en un millón, es más factible la pérdida de datos mediante ingeniería social que cualquier otra cosa).
Por lo general, cuando rompen con la seguridad de uno de estos servicios (como en el caso de LastPass, que ya ha tenido sus experiencias), lo que han intentado robar ha sido los hashes, es decir, unas cadenas de datos codificadas que protegen nuestras cajas fuertes. Cuando el proveedor del servicio (LastPass) se da cuenta de la brecha de seguridad, activan una serie de mecanismos (protocolos) para verificar que todo estè en orden y corregir los posibles daños, incluyendo como ùltima instancia la obligaciòn a sus usuarios de actualizar las contraseñas maestras. Si las contraseñas maestras son bien implementadas (como lo recomiendan), no debería de existir ningún temor, ya que se requerería de meses, años, y centurias para ser descifradas.
¿Me conviene usar un gestor de contraseñas?
Sin importar el nivel de usuario, ya sea despistado, básico, intermedio, avanzado o Super Saiyan: sí, sí es conveniente usar un gestor de contraseñas, por más que se quiera o se odie, sobre todo si estamos registrados en una cantidad considerable de servicios y sitios web, y precisamente porque cada día nos vemos obligados a usar contraseñas seguras (la combinación aleatoria de alfanumérica, la mezcla de minúsculas y mayúsculas, junto con caracteres especiales, y en casos excepcionales, espacios). Ahora, la manera en que debe manejar la base de datos ese gestor de contraseñas, es a criterio de cada quien, analizando personal e internamente las ventajas y desventajas de querer almacenarla en la nube o en físico.Pero eso sí, no se puede negar que uno de los mayores beneficios del uso de un buen gestor de contraseñas es que podemos burlar a esos programas maliciosos llamados keyloggers, que como indica su nombre en inglés, su función es la de llevar un registro de todo lo que tecleamos, y en dónde lo tecleamos, así que la conveniencia de un gestor de contraseñas es la de evitar en lo posible teclear nuestra contraseña (y en algunos casos nuestro nombre de usuario). Es por ello que algunos sitios web, sobre todo relacionado con los bancos o que manejan información delicada, despliegan un teclado virtual (molesto, muy, pero muy molesto y arcáico porque vuelve inútil por completo su uso en dispositivos móviles) que obligan clickear teclas ubicadas de forma aleatoria.
Llegado a este punto, ahora sí, veamos los gestores de contraseñas más (o menos) populares junto con las opciones ofrecidas, y alentar un poco al criterio al momento de elegir el más adecuado según nuestro estilo de vida.
Actualización [26/07/2018]: Tanto Dashlane como Enpass liberaron nuevas versiones.
Dashlane oficialmente liberó su versión 6, que se destaca por una renovación en su plan Premium el cual ahora incluye 1 GB de almacenamiento cifrado, un nuevo Panel de Identidad (el panel de Seguridad de Contraseñas) desde el cual se puede monitorear hasta 5 direcciones de correo electrónico y alertar sobre algún incidente en la Dark Web, y para rematar se integra una VPN (que se activa al renovar el plan Premium, que pasó de US $40 a US $90 anuales).
A propósito del cambio en el plan Premium, ahora existe un nuevo plan Premium Plus, aparte de todas las bondades del Premium "ordinario", cuenta con un servicio de restauración de identidad en línea junto con una póliza de seguro contra robo de identidad con cobertura de hasta US $1,000,000 (sí señor, así tal cual) y cuya renta es de US $120 anuales. Los usuarios que están bajo la modalidad Free verán mermada la capacidad de su cuenta pues ahora sólo permite almacenar hasta 50 contraseñas.
En cuanto a Enpass 6 (aun en beta), siguen realizando mejoras en cuanto a sincronización con la nube, se liberó un nuevo complemento para Firefox, y se espera que muy pronto arreglen algunos fallos con la función de importación de contraseñas (en especial al organizarlas con etiquetas). Siguen resaltando como una importante adición la posibilidad de crear múltiples cajas fuertes (o identidades, como en LastPass) sin costo adicional. La ventaja de tener múltiples cajas fuertes (o identidades), es que con una misma cuenta (y una misma instancia de la aplicación) es posible tener organizadas las contraseñas de sitios y servicios web de uso personal como laboral.
Bitwarden
Bitwarden: Pantalla principal. |
En términos generales es una excelente alternativa gratuita, con todo lo necesario (y hasta más) para administrar, gestionar y compartir de forma segura, tanto contraseñas como información sensible (notas privadas, información bancaria, entre otros).
De igual manera es posible administrar y gestionar contraseñas y otros datos bajo la modalidad de Organizaciones, aunque la versión gratuita está limitada sólo a dos, el plan Premium permite gestionar hasta 5 usuarios, en el caso de Familias, o ilimitado si es una cuenta para Equipos o Empresarial. Otras ventajas que se obtienen al activar el plan Premium son la posibilidad de verificación de dos pasos de forma nativa en la aplicación (tanto desde las extensiones, cliente de escritorio y móvil) como autentificación vía hardware (como YubiKey), almacenamiento encriptado de hasta 1 GB.
Bitwarden: Complemento de Firefox desde el panel lateral para facilitar la tarea al momento de buscar, editar y generar contraseñas. También es posible revisar si la contraseña no está comprometida. |
Entre otros puntos positivos que tiene este gestor de contraseñas, y que merece darle su oportunidad, están los asistentes para importar y exportar datos, desde y hacia otros gestores populares, así como también de forma plana mediante el formato CSV. También, otro punto importante es, al igual que en LastPass, la personalización y edición de campos de formularios, en el caso de que el servicio donde iniciamos sesión presente algún campo de seguridad adicional, como una segunda contraseña. La extensión para Firefox permite abrir el gestor en un panel lateral (más práctico que esto, ¡imposible!, sobre todo si estamos editando perfiles a cada rato, o al menos como en este caso, mientras hacía limpieza de contraseñas). La versión móvil de Firefox también cuenta con una extensión dedicada (a propósito de las limitaciones de Firefox en Android).
Bitwarden: Generador de contraseñas desde la pantalla principal. |
Se pueden contar como puntos en contra de Bitwarden, las sugerencias de llenado de contraseñas en el cliente móvil no se muestran en una "burbuja" o "pop-up" como LastPass, sino en una notificación que activa la ventana del cliente, pero esperamos que eso cambie en un futuro, mientras que en el escritorio, específicamente la extensión para Firefox, queda inutilizable en las ventanas privadas (una pena). De igual manera, para importar contraseñas desde otros gestores es necesario acceder al baúl web.
Para asegurarse de que la aplicación esté lo más sana posible, Bitwarden ofrece el programa bug bounty de HackerOne para hacer seguimiento a cualquier vulnerabilidad o fallo.
Dashlane
Dashlane: Pantalla principal. |
Dashlane, desarrollado por Dashlane, Inc., ubicada en Delaware (New York, Estados Unidos de América) oficialmente es gratis, pero sólo a través de un dispositivo y sin posibilidad de sincronización ni acceso web, sin embargo cuenta con 1 mes Premium sin costo, o en su defecto, 6 meses con el plan Premium sin costo (siempre y cuando se instale el cliente de escritorio en macOS o Windows, o la extensión para Firefox en Linux), pudiéndose aún seguir ampliando otros 6 meses por cada amigo referido (ése es el atractivo, que supera en creces al de LastPass, que ofrece 1 mes de Premium por cada amigo referido).
Asumiendo que tienes Dashlane Premium, digamos que su presentación es bastante agradable a la vista (comparado con LastPass). Sincronización, respaldo seguro de contraseñas, acceso web, uso compartido de contraseñas y autentificación de dos pasos (desde el cliente móvil), ya vienen incluídos.
Los usuarios Premium pueden ser notificados si alguna contraseña o servicio han sufrido algún ataque o se han visto comprometidos, algo muy importante, y para todos los usuarios en general, existe una función para cambiar las contraseñas de forma automática y sin mucho esfuerzo.
Dashlane: Generador de contraseñas desde el complemento para Firefox. |
El cliente móvil funciona muy conveniente, puesto que a diferencia de Bitwarden si ofrece sugerencias mediante una discreta burbuja, y como ya mencioné, los usuarios Premium pueden generar códigos de autentificación de dos pasos. Si vienes de LastPass, puede que eches de menos en una opción para buscar otros sitios cuando la sugerencia no corresponda (por ejemplo, cuando inicies sesión en tu correo y el formulario viene de otra página, Dashlane tomará en cuenta es a dicha página más no al formulario de inicio de sesión del correo, tendrías entonces que escribir los datos manualmente o saltarte entre aplicaciones para copiar y pegar el login).
También cuenta con un "ajustado" asistente para importar/exportar contraseñas, desde y hacia otros gestores populares, sin embargo acá apunto algunas pegas: si ya tienes algunas categorías definidas y estás importando contraseñas con las mismas categorías, puede que Dashlane las guarde en otra categoría (Sin Categoría). Sin embargo, si importas la misma contraseña, Dashlane la omitirá y no la importará, para no crear duplicados. Obviamente no es algo que se va a requerir a todo momento, pero ha sido algo molesto en estas 3 semanas que he estado haciendo la depuración de mis contraseñas y probando características de estos gestores.
Otra pega (por lo menos hasta la versión 6.0, actualmente en beta), la única personalización de formularios es la inclusión de un segundo campo de inicio de sesión, algo más engorroso que LastPass o Bitwarden, puesto que en la misma caja hay que colocar la identidad del campo, seguido del valor (por ejemplo, si en el formulario hay un campo extra de "Código de seguridad", habría que colocar: "key_code:123456", sin las comillas, y conociendo de antemano la identificación del campo, que se puede saber muy fácilmente habilitando el inspector de elementos de Firefox o Chrome).
Sus detractores dirán que es un servicio privado, no es código abierto y depende de la nube. En parte sí, pero también se puede usar de forma desconectada. Aunque podrán tener sus razones y motivos, también está en que Dashlane tampoco ha estado exento de fallos y errores, y así como Bitwarden, cuentan con el programa bug bounty de HackerOne así como una serie de directrices de divulgación a la hora de informar algún problema.
LastPass
LastPass: Pantalla principal desde el complemento para Firefox. |
Como usuario mortal, común, silvestre y gratuito, es más que conveniente todas las funciones que ofrece: gestionar las contraseñas y que pueda sincronizarlas en mis dispositivos sin limitaciones.
Su uso es tan extendido, porque está de entre los más longevos, como RoboForm (por ejemplo), y como tal, ya se le nota en su identidad y su interfaz de usuario (que ya lleva un tiempo sin grandes modificaciones), y con su buena cantidad de defensores y detractores.
LastPass: Autorellenando contraseñas con el complemento para Firefox. |
Tanto LastPass (que es propiedad de LogMeIn, Inc., ubicada en Boston, Massachusetts), como Dashlane, cuentan también con un apartado donde se analiza la seguridad y fiablidad de nuestra caja fuerte, y dependiendo del resultado general obtenido, ofrece algunas recomendaciones y sugerencias de seguridad al momento de cambiar las contraseñas. Cabe destacar que LastPass nos muestra una tabla de resultados en donde compara el obtenido junto con la media del resto de sus usuarios (obviamente, son estadísticas anónimas, para quienes aman y se mortifican la vida por los números).
LastPass: Generador de contraseñas con el complemento para Firefox. |
Extra: Enpass (Beta 6)
Enpass: Pantalla principal (Beta 6). |
Su filosofía es similar a la de Buttercup: es gratis, puede funcionar de forma desconectada con opción a sincronización con diferentes nubes (Box, Dropbox, Google Drive, OneDrive, OwnCloud y WebDAV). Está bien, hasta acá.
Enpass: Complemento para Google Chrome. |
En la actualidad, hay dos versiones de Enpass: la que está terminando la rama 5.x y la 6, actualmente en fase beta para Android, Windows y una extensión disponible para Google Chrome. Mientras redactaba este post, fue lanzada una nueva actualización de la beta 6 en la que se incluye la función para importar contraseñas de otros gestores o de un archivo CSV, sin embargo no existe todavía una forma para editar o personalizar la caja fuerte (cambiar el nombre, color e icono). La nueva actualización de la versión beta para Android permite sincronizar la caja fuerte, además de Dropbox, con Google Drive, OneDrive, entre otros, así como restaurar desde una copia local. También mejoró el soporte para el autocompletado de contraseñas, sin embargo presenta algunos bugs, como por ejemplo pide desbloquear la aplicación con la contraseña maestra en vez del PIN (aún cuando esté configurado).
Enpass: Generador de contraseñas. |
Con la llegada de la nueva actualización de la beta 6, esperaba que la función de importación de archivos CSV permitiera asignar de una vez las etiquetas a las contraseñas de forma masiva, pero aún no está implementado, así que si queremos importar muchas contraseñas desde otro gestor, en Enpass tendremos que editar luego, una a una y etiquetarlas, es decir, todo un proceso.
Otro aspecto a considerar en la próxima versión, aparte del rediseño del cliente (junto con dos temas, uno claro y el otro oscuro), está la posibilidad de activar la autentificación de dos pasos en el mismo cliente de escritorio, y añadir archivos adjuntos para contraseñas. Cabe destacar que tanto en la versión estable y la beta, en ambas, permiten añadir campos personalizados en los formularios, como lo hacen Bitwarden y LastPass.
Igual que Dashlane, cuenta con un generador de contraseñas robustas, muy visual y configurable, así como un resumen de auditoría de contraseñas, de fácil acceso, que nos permite identificar rápidamente contraseñas débiles y repetidas.
Su asistente de importación de contraseñas es muy completa, ya que permite importar contraseñas de un buen número de gestores, incluyendo 1Password, Dashlane, LastPass, KeePass así como archivos CSV y JSON.
Sus detractores dirán: "¡hay que pagar! ¡no es de código abierto!"... ¡pero, ey! es sólo un pago único de apenas US $10 por plataforma, aunque no es de código abierto sí hace uso de tecnologías abiertas, si eres usuario de Windows 10 puedes activar la protección mediante Windows Hello (como un interesante plus). Si bien no es de código abierto, sí emplea tecnologías de código abierto, tal como lo aclaran en una consulta en sus foros. Además, como ellos mismos aseguran, no hay riesgos pues no hacen uso de nuestros datos, ya que nuestras contraseñas son almacenadas de forma local (ni siquiere hay que registrarse para usarlo).
Producto | Bitwarden Versión 1.3.0 |
Dashlane Versión 6.0.2 |
LastPass Versión 4.15.217 |
Enpass Versión 6.0.0 (72) |
---|---|---|---|---|
Precio | Gratis Premium: US $10/año | Gratis: Hasta 50 contraseñas Premium: US $60/año, incluyendo VPN Premium Plus: US $120/año, incluyendo póliza de seguro contra robo de identidad con cobertura de hasta US $1,000,000 | Gratis Premium: US $24/año | Gratis Premium: US $10 único pago por plataforma móvil |
Plataforma | Linux / macOS / Windows Android / iOS Chrome / MS Edge / Firefox | Linux / macOS / Windows Android / iOS Chrome / MS Edge / Firefox | Linux / macOS / Windows Android / iOS Chrome / MS Edge / Firefox | Linux / macOS / Windows Android / iOS Chrome / MS Edge / Firefox |
Versión Portable | Sí | No | Sí | Sí |
Acceso Web | Sí | Sí Premium | No | No |
Almacenamiento Cifrado | Sí 1 GB (Premium) | Sí 1 GB (Premium) | No | No |
Importación desde Navegadores / Otros Gestores | Sí / Sí | Sí / Sí | Sí / Sí | Sí / Sí |
Exporta hacia Otros Gestores | Sí | Sí | Sí | Sí |
Generador de Códigos de 2 Pasos | Sí Premium | Sí Premium (sólo cliente móvil) | No (aplicación aparte) | Sí |
Edición de Formularios | Sí | Sí (limitado) | Sí | Sí |
Relleno Automático de Formularios (Escritorio) | Sí (pero no funciona en las ventas privadas de Firefox) | Sí | Sí | Sí |
Relleno Automático de Formularios (Móviles) | Sí (a través de otra ventana) | Sí | Sí | Sí |
Organización de Contraseñas Mediante Carpetas / Etiquetas | Carpetas | Categorías | Categorías | Etiquetas (disponible a partir de la versión 6) |
Múltiples Cajas Fuertes / Identidades | Gratis: 2 Premium (Personal): 5 | No | Sí | Disponible a partir de la versión 6 |
Análisis de Fortaleza de Contraseñas | No | Sí | Sí | Sí |
Auditoría de Contraseñas | No | Sí | Sí | Sí |
Alerta de Contraseñas Comprometidas | Sí | Sí | Sí | No |
Generador de Contraseñas | Sí | Sí | Sí | Sí |
Sincronización de Contraseñas | Sí | Sí Premium | Sí | Sí Premium |
Alojamiento de Caja Fuerte en Servidor Propio | Sí | No | No | No |
Alojamiento de Caja Fuerte en Nube Propia | No | No | No | Sí Box, Dropbox, Google Drive, OneDrive, OwnCloud, WebDAV |
Puntuación* | 28 /40 | 26 /40 | 32 /40 | 29 /40 |
Más Información | Web GitHub |
Web |
Web |
Web |
*Acerca de la puntuación: La puntuación se calculó asignando los siguientes valores: valor positivo equivale a dos (2) puntos; valor intermedio equivale a un (1) punto; valor negativo equivale a cero (0) punto. |
Otros gestores de contraseña a considerar
En el caso de gestores de contraseñas más "rudimentarios" o que funcionen fuera de línea, o mejor, que permitan alojar la caja fuerte en servidores/nubes propias, también hay alternativas.Actualización [31/07/2018]: Buttercup liberó una actualización con una muy esperada adición.
A partir de la versión 1.10.0 de Buttercup es posible exportar contraseñas a otros gestores en formato CSV, así como también importar de otras cajas fuertes de Buttercup. También, esta actualización arregla algunos fallos menores, como un error que se producía al momento de ordenar las contraseñas de acuerdo a sus propiedades.
Buttercup
Buttercup: Pantalla principal. |
Buttercup: Generador de contaseñas. |
De los gestores de contraseñas de código abierto y gratuito, a mi parecer es el más amigable junto con Bitwarden.
Buttercup: Complemento para Firefox. |
KeePassXC / KeePass DX / KeeWeb
KeePassXC: Pantalla principal. |
Casi perfectamente, porque las diferencias son las siguientes:
- KeePassXC es para escritorio y navegadores: Linux, macOS, Windows, Google Chrome y Firefox.
- KeePass DC en cambio es para móviles: Android e iOS, sin embargo se puede conectar a una caja fuerte alojada en la nube.
- Mientras que KeeWeb es sólo para escritorio: Linux, macOS y Windows, quedando la web para acceder en navegadores, accediendo a tantas cajas fuertes tengamos alojadas en la nube.
KeeWeb: Pantalla principal. |
KeeWeb: Complementos opcionales. |
KeeWeb: Generador de contraseñas. |
KeePassXC: Autorellenando contraseñas en Firefox. |
Producto | Buttercup Version 1.10.0 |
KeePassXC Versión 2.3.3 |
KeePass DX |
KeeWeb Versión 1.6.3 |
---|---|---|---|---|
Precio | Gratis | Gratis | Gratis | Gratis |
Plataforma | Linux / macOS / Windows Android / iOS Chrome / Firefox | Linux / macOS / Windows Chrome / Firefox | Android / iOS | Linux / macOS / Windows Chrome / MS Edge / Firefox |
Versión Portable | Sí | Sí | No | Sí |
Acceso Web | No | No | No | Sí |
Almacenamiento Cifrado | No | No | No | No |
Importación desde Navegadores / Otros Gestores | No / Sí | No / Sí | No Compatible sólo con KeePass | No Compatible sólo con KeePass |
Exporta hacia Otros Gestores | Sí | Sí | No | No |
Generador de Códigos de 2 Pasos | No | No | No | Sí |
Edición de Formularios | Sí | Sí | No | Sí |
Relleno Automático de Formularios (Escritorio) | Sí | Sí | No | Sí KeePassHttp-Connector para Firefox y chromeIPass para Chrome |
Relleno Automático de Formularios (Móviles) | Sí | No | Sí | No |
Organización de Contraseñas Mediante Carpetas / Etiquetas | Carpetas y Subcarpetas | Carpetas y Subcarpetas | Carpetas y Subcarpetas | Etiquetas, Carpetas y Subcarpetas |
Múltiples Cajas Fuertes / Identidades | Sí | Sí | Sí | Sí |
Análisis de Fortaleza de Contraseñas | Sí | No | No | No |
Auditoría de Contraseñas | No | No | No | No |
Alerta de Contraseñas Comprometidas | No | No | No | Sí (mediante complemento HaveIBeenPwned) |
Generador de Contraseñas | Sí | Sí | Sí | Sí |
Sincronización de Contraseñas | Sí | Sí Escritorio / Browser | Sí Móviles | Sí Escritorio |
Alojamiento de Caja Fuerte en Servidor Propio | No | No | No | No |
Alojamiento de Caja Fuerte en Nube Propia | Sí Box, Dropbox, Google Drive, OneDrive, OwnCloud, WebDAV | Sí Guardando la caja fuerte directamente en una carpeta dentro de la nube con acceso local | Sí Guardando la caja fuerte directamente en una carpeta dentro de la nube con acceso local | Sí Dropbox, Google Drive, OneDrive, WebDAV |
Puntuación* | 26 /40 | 20 /40 | 14 /40 | 23 /40 |
Más Información | Web GitHub |
Web GitHub |
Web GitHub |
Web GitHub |
*Acerca de la puntuación: La puntuación se calculó asignando los siguientes valores: valor positivo equivale a dos (2) puntos; valor intermedio equivale a un (1) punto; valor negativo equivale a cero (0) punto. |
¿Conclusiones?
Resumiendo: no hay un gestor de contraseñas perfecto. En el mercado podemos encontrar una variedad de gestores, con funciones y características en común, pero también con metodologías o filosofías que marcan la diferencia, las que se pueden resumir en dos importantes grupos: los gestores que se basan en la nube y los gestores que manejan nuestras contraseñas "en tierra".Ambos grupos tienen tanto sus defensores como sus detractores, difícilmente es posible encontrar "términos medios", pero para eso están algunas opciones como Dashlane y Enpass, que pueden trabajar de forma mixta, con o sin sincronización, sólo cuando se requiera, y en el caso de Enpass, que nos permite usar nuestra nube personal, o bien como Bitwarden, que nos da la opción de configurar nuestro propio servidor.
Sin dejarse llevar por las "pasiones", los números indican que LastPass definitivamente es el que abarca más funciones para todos, mientras que los forks de KeePass son los más "pobres" (pero que esa "pobreza" no quiere decir que sean inseguros, sino todo lo contrario, en especial para los paranóicos). La cuestión es más por comodidad, confiabilidad y que ofrezca opciones.
Bitwarden y Enpass le siguen a LastPass, aunque irónicamente ambos clientes móviles no ofrecen la misma comodidad que el de LastPass al momento de autocompletar los formularios (el detalle que no se muestra una burbuja sino que hay que abrir una ventana aparte). En cuanto a Dashlane, la puntuación es afectada principalemente por las limitaciones en la versión gratuita y por lo cerrado en cuanto a alojamiento externo de la caja fuerte (que para un usuario común y silvestre no debería suponer algún impedimento para elegirlo como gestor de contraseñas principal).
Del bando de los gratuitos, de código abierto y que funcione más de forma desconectada que conectada, sin duda Buttercup es el más idóneo, porque trabaja de forma similar que KeePass (además de visualmente agradable y moderno) y con extensiones para los principales navegadores, clientes móviles y conectividad a la nube a conveniencia.
Si eres nuevo en esto de los gestores de contraseñas, puede que al principio sea indiferente cualquier gestor, te adaptarás al primero que elijas, pero para un usuario con tiempo en esto, al contrario, buscará más opciones, más funciones y que no le cueste tanto dinero.
Al menos dediqué el tiempo para limpiar y remover contraseñas y servicios obsoletos mientras probaba otros gestores de contraseña después de muchos años con LastPass. Lo que sí, Bitwarden es mi nuevo favorito en el escritorio y Dashlane en el móvil.
(Webs: Bitwarden, Dashlane con 6 meses Premium sin costo, LastPass con 1 mes Premium sin costo, Enpass, Buttercup, KeePassXC, KeePass DX, KeeWeb)