Un administrador de contraseñas es un software que ayuda al usuario a administrar contraseñas y PIN . Dicho software generalmente tiene una base de datos local o archivos que contienen datos de contraseña encriptados. Muchos administradores de contraseñas también funcionan para completar formularios, lo que significa que completan el campo de usuario y los datos de la contraseña automáticamente en los formularios. Por lo general, se implementan como una extensión del navegador.
Los administradores de contraseñas se dividen en tres categorías principales:
Los administradores de contraseñas también se pueden utilizar como protección contra el phishing . A diferencia de las personas, el programa administrador de contraseñas puede manejar un script de inicio de sesión automatizado inmune a las imitaciones visuales que parecen sitios web, es decir, al hacer clic en un enlace dudoso a un sitio de phishing, el administrador de contraseñas no sustituirá la contraseña de inicio de sesión en los formularios de entrada, y el usuario entenderá que el sitio es falso. Con este beneficio incorporado, usar un administrador de contraseñas es beneficioso incluso si el usuario solo tiene algunas contraseñas para recordar. Sin embargo, no todos los administradores de contraseñas pueden manejar automáticamente los procedimientos de identificación más complejos que imponen muchos sitios web bancarios.
Los administradores de contraseñas generalmente usan una contraseña maestra seleccionada por el usuario, o frase de contraseña, para formar una clave que se usa para cifrar las contraseñas almacenadas. Esta contraseña maestra debe ser lo suficientemente compleja para resistir el ataque de intrusos (como la fuerza bruta ).
Si se descifra la contraseña maestra, se revelarán todas las contraseñas almacenadas en la base de datos del programa. Esto demuestra la relación inversa entre usabilidad y seguridad: una sola contraseña puede ser más conveniente, pero si se compromete, comprometerá todas las contraseñas almacenadas.
La contraseña maestra también puede ser atacada y descubierta mediante un keylogger o criptoanálisis acústico . Tal amenaza se puede mitigar mediante el uso de un teclado virtual , como en KeePass .
Algunos administradores de contraseñas incluyen un generador de contraseñas. Las contraseñas generadas se pueden adivinar a menos que el administrador de contraseñas utilice un generador de números aleatorios criptográficamente seguro .
Un administrador de contraseñas en línea es un sitio web que almacena los datos de inicio de sesión de forma segura. Por lo tanto, esta es la versión de red del administrador de contraseñas de escritorio habitual.
Las ventajas de los administradores de contraseñas en línea sobre las versiones de escritorio son la portabilidad (se pueden usar en cualquier computadora con un navegador web y conexión a Internet, sin necesidad de instalar software) y menos riesgo de perder contraseñas por robo o daño a la PC. El riesgo de daños se puede reducir considerablemente si se realizan copias de seguridad con antelación .
La principal desventaja de los administradores de contraseñas en línea es que debe confiar en el alojamiento del sitio. Los ataques repetidos y la pérdida de información almacenada centralmente en el servidor no inspiran confianza.
Hay soluciones mixtas. Varios recursos, como FortNotes [1] , que brindan servicios de almacenamiento en línea para contraseñas y otros datos secretos, distribuyen los códigos fuente de estos sistemas. La capacidad de auditar el código e instalar dicho sistema en un servidor protegido por un firewall o en un servidor que no tiene acceso directo a Internet le permite resolver el problema de un posible compromiso de datos.
El uso de un administrador de contraseñas basado en la web es una alternativa a la tecnología Single Sign On , como OpenID o Windows Live ID de Microsoft, y se puede usar como una medida temporal hasta que se adopte un método mejor.
También hay administradores de contraseñas con protección de barrera. En este caso, la cuenta de Internet del usuario en su totalidad está protegida. El perímetro de protección se construye a partir de la contrarrestación de keyloggers y espías de pantalla, y termina con la protección contra la suplantación de la dirección IP de un recurso de red. El DNS público de Google se utiliza para la protección de la red y el antispyware se proporciona mediante la sustitución automática de los datos de autorización en los formularios web.