Contraseñas compartidas


#1

Llevo bastante tiempo empleando gestores de contraseñas, tanto a nivel personal como a nivel laboral. Con el primero he terminado por decantarme por una combinación de Keepassx y ownCloud, aunque también he estado usando [ClipperZ][1] y [UPM][2], con resultados dispares.

En mi trabajo como único responsable de todo lo que sea informática (y de todos los chismes con cables y botones por lo visto) he estado empleando los últimos años ClipperZ, imprimiendo las contraseñas y dando a los jefes la copia impresa para que la guarden en la caja fuerte (o donde sea que lo tengan).

Y hace un par de días una entrada en el blog [Security By Default][3] me ha descubierto un programa con una factura excelente: [sysPass][4]. Tanto me ha impresionado que he terminado por adoptarlo para el trabajo y estoy migrando como buenamente puedo lo que tengo en ClipperZ y algún archivo extra -como las tarjetas de coordenadas- guardadas en un volumen encFS.

Voy a comentar un poco mis impresiones de los diferentes programas por si le es de utilidad a alguien más y, con suerte, para que alguien más me ilustre con algún otro descubrimiento. A nivel personal sólo tengo problemas cuando se me olvida cerrar el programa KeepassX en una máquina y lo intento utilizar en otro: sólo lectura o discrepancia en la base de datos (a elegir).

Ah, por paradójico que parezca no hablo de los aspectos de seguridad técnica de cada programa sino de su uso en el día a día.

ClipperZ

Es una aplicación web construída y mantenida por unos chicos italianos bastante activos en los últimos tiempos:

  • Ventajas
    – El acceso es universal desde un navegador.
    – Los registros son dinámicos y puedes añadir tantos campos como quieras.
    – Dispone de copia offline así que puedes llevarla contigo y abrirla con cualquier navegador con Javascript.
  • Desventajas
    – La versión que emplean como negocio parece que difiere de la versión open source con avisos sobre su uso en producción.
    – La versión para móvil es … limitada.
    – No admite adjuntos así que el uso de tarjetas de coordenadas se vuelve pesado.
    – No puedes compartir contraseñas (al menos en la versión de código abierto y hasta donde yo sé).

UPM

Un programa muy sencillo multiplataforma.

  • Ventajas
    – Es multiplataforma incluyendo versión Android.
    – Permite sincronizar con Dropbox o con tu propio servidor (se incluyen un par de scripts aparte).
    – Es muy ligero.
  • Desventajas
    – Los registros tienen estructura fija.
    – No admite adjuntos
    – Está poco pulido en algunos entornos como Linux y hay cierta pelea con el foco de la ventana y el portapapeles.

Teampass

Reconozco que lo instalé en la empresa y que parecía que iba a ir bien hasta que intenté organizar los usuarios y los accesos a las contraseñas. Fatal. O no dí con la secuencia adecuada o no supe entender su funcionamiento.

Lo descarté no sin antes percatarme de que tenía un área personal de contraseñas por cada usuario (lo que está muy bien) pero el uso era demasiado áspero para mis homínidos.

SysPass

Hasta ahora es el que más me convence de todos, no voy a negarlo, pero es que tanto la instalación en una pila LAMP como su gestión está plagada de detalles excelentes. El autor o autores han debido usarlo ellos en un entorno real porque deja muy pocas cosas a la imaginación.

  • Ventajas
    – Conceptos muy claros tanto para configurarlo como para administrarlo.
    – Sencillo y muy rápido.
    – Gestiona estupendamente la compartición de contraseñas y los adjuntos.
    – Admite copia offline aunque requiere la pila LAMP para poder emplearlo.
  • Desventajas
    – Los registros también son de estructura fija.
    – Require una pila LAMP para funcionar.

Y estoy seguro de que me dejo algo más pero ya no sé ni lo que llevo escrito.

¿ Alguna otra aplicación que permita compartir contraseñas, bien entre dispositivos, bien entre usuarios ?
[1]: https://clipperz.is/
[2]: http://upm.sourceforge.net/
[3]: http://www.securitybydefault.com/2015/09/compartiendo-credenciales-con-syspass.html
[4]: http://www.syspass.org/index-en.html


#2

¡Muchas gracias por esta explicación, @VictorMoral!

Yo reconozco que no empleo habitualmente ninguna de estas aplicaciones… y debería. Conozco Teampass, que a mí me gusta. Pero claro, yo he usado Teampass en el contexto de un grupo de usuarios bastante techies todos, por lo que una interfaz que no sea suuuperintuitiva no nos importó mucho :smiley:

La verdad es que para guardar contraseñas a servicios web podría ser útil tener algo así, si bien es posible que tenerlos en mi propio servidor sea más inseguro que no tener nada… je je. Sé que no entras a evaluarlas desde esa óptica, pero si en mi servidor hay un servicio de de contaseñas, creo que es más fácil asaltar mi servidor que cualquier otro. No sé, es como si hasta un Google Doc con las contraseñas podría ser más seguro… si te fías del espionaje estadounidense, que probablemente serán los únicos que tengan acceso a esos datos sin tener que asaltar a Google por la fuerza xD


#3

No hay de qué :slight_smile:

Pues yo no estoy tan seguro es eso. Un sistema con miles de máquinas y cientos de miles de conexiones requiere enormes sistemas de vigilancia. En un pequeño servidor cualquier conexión que no sea la tuya (o la del perro) canta muy raṕido. Pero en cualquier caso si el contenedor de las contraseñas está convenientemente cifrado (algoritmo y contraseña) yo me siento razonablemente seguro.

Bueno, al menos tienes un backup gratis. :slight_smile: Y ahora en serio, además del contenedor seguro el otro gran problema es la transmisión de la información desde el almacenamiento hasta el homínido; conexiones cifradas inseguras, cachés accesibles, pantallas visibles por otros homínidos armados con móviles con cámara…

Por eso no he querido ir por ahí, porque da para varios libros, como poco.


#4

No se si conocéis Lastpass yo lo uso desde hace unos dos años. Es un servicio web, pero podéis comprobar el sistema de seguridad que usan, y no es moco de pavo.

Se instala como extensión en cualquier navegador y también tiene app para Android y iOS.


#5

Sí, lo conozco. Y no lo nombré porque no es software libre (eso se me olvidó indicarlo) y porque no sabía que tenía una versión de empresa en la que se pueden compartir credenciales y organizar por perfiles. Muy interesante para que el que no quiera complicarse la vida.

En mi caso somos tan pocos que me parece más interesante montarlo en mi servidor, pero reconozco que es interesante como opción de pago.


#6

Como precisamente ando ahora liado con estas cosillas, me gustaría comentar las soluciones a las que he llegado.

A nivel personal, gestiono mis contraseñas con 1Passwd + iCloud Keychain, últimamente este más.

A nivel de empresa la solución que más se ajusta a lo que busco que he encontrado es Zoho Vault. Para mí el win aquí es el login integrado con Google Apps for Work (con lo cual hay una forma inmediata de revocar el acceso a los secretos) y por otro lado un grano muy fino en cuanto a quién accede a qué secreto y su nivel de acceso (sólo lectura, edición, o permiso para compartir con otros archivos, hasta prestaciones termonucleares como que dos responsables tengan que aprobar el acceso a una credencial concreta).

Lo que no me gusta: la interfaz no es precisamente amistosa y no está claro cómo escala la solución con la magnitud de la compañía (el equipo técnico gestiona más de mil credenciales entre unos cincuenta desarrolladores): los formularios, despelgables y comboboxes parecen algo engorrosos para buscar. Y por supuesto, que al final terminas transmitiendo tu confianza a un tercero que además tiene una superficie de ataque bastante golosa (ya se zumbaron a LastPass hace unos meses).

Otra soluciones que hemos valorado ha sido utilizar GNU pass (http://www.passwordstore.org) contra repos privados en GitHub, cifrado GPG con anillos de clave, pero al final el problema con esto es que requiere un perfil demasiado técnico para una gestión eficiente (si tu password manager es complicado de usar, la gente usará postits)

Y a modo de referencia, por si hay otros valientes que quiera probar otras herramientas, aquí dejo una lista:

Al final, como digo, el problema aquí es que una vez que has comunicado un secreto a una persona le puedes revocar el acceso pero necesitas cambiar las claves a las que la persona tenía acceso, cosa que por lo general no es fácil de controlar. Zoho Vault (y LastPass) usan extensiones de navegador que permiten que la gente pueda hacer login en sitios web sin ni tan siquiera ver la clave, lo que parece interesante aunque sospecho que fallará más que una escopeta de feria y además no te soluciona cosas como, por ejemplo, el acceso a un servidor.


#7

Yo no sé cómo de útil será para equipos de personas la solución que yo uso. Se trata de pwdhash pero un poco “tuneado”: http://esquelario.tk/gestion-de-contrasenas-robustez-y-flexibilidad/ A mi, como individuo, me va de fábula.

Ampliando lo que se cuenta en ese artículo: existe una aplicación Android que usa el algoritmo pwdhash (se puede encontrar en f-droid) y también en GitHub abundan los proyectos en varios lenguajes de programación que hacen uso del algoritmo; se puede elegir el que más guste para incorporarlo al propio ordenador personal, sin necesidad de montar un servidor local.

En esta línea he descubierto un proyecto interesante, con una filosofía similar a pwdhash, que prescinde de los dos campos y usa uno solo (entonces es responsabilidad del usuario componer la cadena de contraseña como mejor le plazca y con efectos similares a pwdhash). Se llama Passera. Su ventaja es que los algoritmos hash que usa son deliberadamente lentos para dificultar aún más los ataques de diccionario; y también que provee de un sistema para llenar de señuelos el portapapeles y borrar automáticamente de allí la clave verdadera al poco tiempo de ser generada.


#8

A todos los mencionados en el hilo simplemente añado 1Password. En el trabajo uso Keepass, pero con un caso de uso sencillísimo: en mi empresa lo de la validación integrada es una quimera y la vida es demasiado corta para recordar las 10+ contraseñas que necesito para mi trabajo habitual, en un solo ordenador, con una versión viejuna de Windows. Para uso doméstico no uso nada de momento, pero me estoy planteando LastPass, que cumple bastante bien con mi perfil.


#9

1Password no es software libre. :-p


#10

Vaya, pues para haberlo sabido con tiempo. No me parece nada mal el enfoque y ya que tenemos contratado el producto podría ser muy interesante.

Efectivamente. Ya cuesta que cambien alguna vez en sus vidas las contraseñas como para liarles mucho. A mí la solución GPG me parece bien siempre que no requiera acceso desde un móvil. Y en mi caso es así, necesito acceso a las contraseñas lo antes posible.

Ah, y antes de que se me pase. Si alguien emplea la solución Keepass + ownCloud tendrá que estar atento a que la base de datos se sincronice correctamente en Android. Hay algo que no termina de ir y aunque lo marques como sincronizado pasa bastante en ocasiones.


#11

A mi es que personalmente el almacenar las contraseñas en cualquier sitio ya de por si me parece un problema, si es en tu servidor tienes que asegurarte que el cifrado y la seguridad es perfecta y si está en un servidor de un proveedor tienes que confiar que la seguridad que ofrecen es realmente como dicen.

Usar un algoritmo como dice @manolo junto con un complemento que te facilite las cosas en el navegador es lo más cómodo y seguro que veo. Además que siempre puedes usar diferentes passphrases para que no te puedan generar todas tus contraseñas si la descubren.