Acerca de Password Safe

6 de Mayo de 2008 — Manuel Delgado

Llevaba tiempo pensando en escribir sobre una utilidad que uso a diario, Password Safe, así que la nueva versión aparecida este fin de semana ha terminado de animarme a hacerlo. Se trata de una pequeña aplicación open source y gratuita para la gestión y protección de contraseñas. Existe una versión para Windows y otra en Java. Básicamente, Password Safe permite crear pequeñas bases de datos de contraseñas, encriptadas mediante el algoritmo Twofish y protegidas por una única “contraseña maestra”. Mediante esta aplicación, es posible mantener una contraseña robusta para cada uno de los múltiples servicios que usamos habitualmente, sin tener que recordarlas todas.

Con recordar la contraseña maestra de la base de datos, podremos acceder a la aplicación, recuperar fácilmente la contraseña que necesitamos en este caso y pegarla en el formulario de autentificación correspondiente. La interfaz es muy sencilla y permite organizar las contraseñas en un árbol, agrupadas como mejor se ajuste a nosotros. Las bases de datos de contraseñas, al estar encriptadas, pueden transportarse en llaves USB o enviarlas por email sin temor, puesto que su contenido está bien protegido (salvo que nuestro enemigo sea la NSA, en cuyo caso es de suponer que cuentan con recursos suficientes para recuperar nuestras contraseñas, claro). La aplicación Password Safe no es “de origen dudoso”, sino que fue diseñada y validada por el mítico gurú de la seguridad Bruce Schneier, creador -junto a otros- del algoritmo Twofish y fundador de Counterpane.

Desde que uso Password Safe, me puedo permitir el lujo de usar una contraseña robusta (llena de mayúsculas y minúsculas, símbolos y números) para cada sitio web en el que me doy de alta y, en general, para cada servicio que uso en Internet e incluso fuera de ella. Si siempre usas la misma contraseña para todo (o sólo unas pocas), es como si no usaras ninguna: un administrador malintencionado de un sitio web (o un hacker que consiguiera acceso a él) podría ver tus datos y usar tu contraseña para acceder a otros servicios tuyos, como el correo electrónico. Si usas Password Safe para crear y almacenar una contraseña para cada lugar en que te das de alta, te olvidas de este riesgo: aunque alguien averigüe la contraseña que usas en un determinado sitio, no podrá utilizarla en ningún otro. Todo esto con sólo recordar una única contraseña maestra.

Por cierto, ayer Bruce Schneier volvió a mencionar en su blog a Password Safe: resulta que alguien ha creado un sitio web llamado passwordsafe.com que nada tiene que ver con la aplicación de seguridad Password Safe, salvo por la coincidencia del nombre, y cuya oferta de seguridad es más que cuestionable (en realidad, es simplemente ridícula). Directamente, a “la perrera”, que es como llama Schneier a lista de productos y servicios de seguridad de dudosísima calidad que va encontrando por ahí.

Foto: Andrew Magill.

Publicado en: Evaluaciones, Gadgets, Informática, Internet, Seguridad, software. | Etiquetas: contraseñas, gestión del conocimiento, Internet, Password Safe, Schneier, seguridad, software.

URL del Trackback

4 comentarios a “Acerca de Password Safe”

Fran Tomé dijo:

Esto es algo para instalar en tu ordenador… ¿hay una versión web que pueda usar desde casa desde el trabajo y cuando estoy de viaje? Eso me sería muy util porque necesito tener mis contraseñas a mano en todo momento.

6 de Mayo de 2008 a las 14:51:01
Lokomatsu dijo:

Buenas,

Yo uso keepass desde hace tiempo y me funciona muy bien. Se lo recomiendo a todo el mundo.

6 de Mayo de 2008 a las 18:42:27
Manuel Delgado dijo:

Para Fran Tomé:

Sinceramente, no me fiaría de nada que fuera una versión web. En el uso de toda aplicación de seguridad hay un importante componente de confianza en el desarrollador pero, en el caso de una aplicación online, creo que es mucho más difícil confiar en que nadie vaya a mirar en tus datos. No tendrías forma alguna de comprobar que, efectivamente, esos datos están encriptados, o que no se copian en otro sitio, o mil otras cosas más. Está en línea con lo que criticaba Schneier en su artículo sobre la web que le ha copiado el nombre a su producto.

Actualización: olvidaba decir que, además, con Password Safe no necesitas una “versión web” a la que acceder desde cualquier sitio. Puedes, por ejemplo, enviarte de forma regular tu base de datos de contraseñas al trabajo (como está encriptada, da igual si se extravía el archivo) o puedes guardártela en una llave USB o en una tarjeta de memoria que siempre lleves contigo (yo la llevo en la SD que llevo en el PocketPC). El programa es tan pequeño que lo puedes llevar también ahí grabado, por si has de usarlo en una máquina que sea tuya. Incluso puedes comprarte una llave USB con tecnología U3 (hay una versión específica de Password Safe para U3) si te hace mucha falta.

Para Lokomatsu:

Supongo que te refieres al software de KeePass.info. No lo conozco pero, a decir verdad, tiendo a dudar. La explicación que da el autor en su página “suena bien”, que no es poco, pero, como decía más arriba, la confianza es esencial en materia de seguridad: mucho más válido que la descripción más completa (el papel lo aguanta todo) sería un análisis hecho por un tercero de confianza (léase, de prestigio) que “certifique” que las cosas son como se dice que son. En lo que a funcionalidad se refiere, parece estar muy bien, no obstante.

6 de Mayo de 2008 a las 20:40:19
Karim dijo:

Por fin un buen artículo sobre Password Safe.

En cuanto a portabilidad, que es lo que copias al USB, el backup (.ibak) o directamente la misma base de datos (.psafe3)?

Tambíen vi aparecer una extensión “.plk” A que se refiere esta extensión?

Gracias !!!

3 de Febrero de 2009 a las 19:58:00