No podeu mantenir-vos segur sense un gestor de contrasenyes: després de tot, reutilitzeu ràpidament les vostres contrasenyes, les escriviu en un paper o les feu massa senzilles perquè les recordeu. Amb un gestor de contrasenyes evites tot això, però sí que introdueixes un nou risc: poses tots els teus ous en una cistella, de la qual de vegades ni tan sols saps on són. Quins tipus de gestors de contrasenyes hi ha i quins riscos hi ha? Donem sis consells per a la gestió de contrasenyes.
Una bona contrasenya ha de complir moltes condicions. No hauria de ser massa fàcil d'endevinar, de manera que hauria de ser prou llarg i constar d'una barreja de lletres, números i caràcters especials. El desavantatge és que et costa recordar-ho tu mateix. Això encara pot funcionar per a una contrasenya, però tampoc es recomana triar la mateixa contrasenya per a tot tipus de llocs web i serveis. Després de tot, algú que roba aquesta contrasenya tindrà accés a tots els comptes del vostre lloc web. Però recordar tota una sèrie de contrasenyes excepcionalment bones no és per a la majoria de nosaltres.
Per tant, depèn d'un gestor de contrasenyes, que recorda les contrasenyes per vostè. Hi ha diversos tipus de gestors de contrasenyes i en aquesta classe magistral repassarem els més importants, amb els seus avantatges i inconvenients.
01 Gestor de contrasenyes del navegador
La majoria dels navegadors ja tenen integrat un gestor de contrasenyes rudimentari. Les opcions són limitades, però sens dubte són adequades per desar fàcilment les contrasenyes que introduïu quan inicieu sessió als llocs web. També és difícil no utilitzar-los: si heu introduït una contrasenya, us demanaran per defecte si l'han de desar.
No facis automàticament aixecar-te Desa fent clic la propera vegada que el navegador faci aquesta pregunta. Perquè els gestors de contrasenyes del navegador no sempre són tan segurs. L'estiu del 2016, per exemple, va resultar que algú havia entrat als servidors d'Opera Sync, el servei que permet als usuaris del navegador Opera sincronitzar les seves dades d'inici de sessió entre diferents dispositius. Les contrasenyes es van emmagatzemar xifrades a Opera Sync, de manera que el lladre normalment no les podria veure, però si utilitzeu una contrasenya mestra feble (vegeu el quadre "Una contrasenya mestra forta"), les contrasenyes podrien ser descobertes.
En general, els gestors de contrasenyes integrats en els navegadors no han evolucionat gaire en els últims cinc anys. Una excepció és Google, que va introduir un lloc central el 2015 on podeu gestionar quines contrasenyes recorda Chrome. Fins i tot l'accés al lloc web està assegurat amb l'autenticació en dos passos.
02 Gestor de contrasenyes soltes
Un bon gestor de contrasenyes fa més que emmagatzemar contrasenyes. També us ajuda a generar contrasenyes fortes perquè la gent és notòriament dolenta en això. Com a resultat, han sorgit tot tipus de gestors de contrasenyes separats, programes que (com el seu nom indica) us ajuden a gestionar les contrasenyes.
Tenint més funcions que els gestors de contrasenyes integrats als navegadors, promouen una higiene de contrasenyes més segura, com ara triar una contrasenya diferent per a cada lloc web. Aleshores, una extensió del navegador s'encarrega de la integració del gestor de contrasenyes amb el vostre navegador.
03 Aplicacions insegures
Un programa que us confii quelcom tan sensible com les vostres contrasenyes ha de ser, per descomptat, molt segur. I, per desgràcia, és aquí on sovint les coses van malament. Per exemple, el grup alemany d'experts en seguretat TeamSIK (Security Is Key) ha trobat recentment moltes vulnerabilitats als gestors de contrasenyes per a Android. Segons ells, aquestes aplicacions donen als usuaris una falsa sensació de seguretat.
Els investigadors van analitzar els gestors de contrasenyes més descarregats a Google Play Store i van trobar fins a 26 vulnerabilitats a les aplicacions MyPasswords, Informaticore Password Manager, LastPass Password Manager, Keeper Passwort-Manager, F-Secure KEY Password Manager, Dashlane Password Manager, Hide Pictures Keep. Safe Vault, Avast Passwords i 1Password – Gestor de contrasenyes. Algunes aplicacions fins i tot van emmagatzemar la contrasenya mestra sense xifrar. Altres tenien una clau codificada en dur al codi del programa de manera que fos igual per a tots els usuaris. En qualsevol cas, un atacant pot accedir a les vostres contrasenyes.
Mentrestant, s'han solucionat totes les vulnerabilitats que va trobar TeamSIK. Però és confrontant veure que fins i tot els desenvolupadors de programari de seguretat especialitzat no gestionen les dades sensibles com les contrasenyes de manera responsable. I si sabeu que cadascuna d'aquestes aplicacions té entre 100 mil i 50 milions d'instal·lacions...
Una contrasenya mestra segura
Un gestor de contrasenyes treu la tasca de recordar les contrasenyes de les vostres mans, però, per descomptat, no les emmagatzema sense xifrar. En cas contrari, això no seria millor que escriure totes les vostres contrasenyes en un fullet. Per tant, un gestor de contrasenyes xifra les contrasenyes desades. La clau que utilitza el programa es deriva de la vostra contrasenya mestra. A continuació, introduïu aquesta contrasenya per accedir al gestor de contrasenyes. Com que l'accés a totes les vostres contrasenyes amb un gestor de contrasenyes depèn d'una única contrasenya, és òbviament molt important que aquesta sigui una contrasenya segura que ningú més pugui endevinar. Així que no us desfer-vos-en ràpidament amb una contrasenya fàcil de recordar, però feu un esforç addicional per triar una contrasenya segura. Com a mínim 12 caràcters (i com més llargs millor), amb una barreja aleatòria de lletres majúscules i minúscules, números i caràcters especials.
