Aplicaciones de gestión de contraseñas han existido durante décadas. Hoy en día, hay docenas de candidatos legítimos para la tarea de controlar sus credenciales en línea, y todos comienzan con la misma arquitectura básica: sus nombres de usuario, contraseñas y otros secretos se almacenan en una base de datos (a menudo llamada base de datos). bóveda) que está protegido con un cifrado seguro. Para desbloquear esa bóveda, ingresa una contraseña maestra.
De hecho, ese modelo es tan omnipresente que ha inspirado los nombres de algunos productos líderes en la categoría. hay 1contraseñapor ejemplo, que promete que sólo necesitarás recordar una contraseña en lugar de docenas o cientos. Ultimo pase afirma que su contraseña maestra será «la última contraseña que necesitará».
Los mejores productos de la categoría oferta. opciones sin contraseña como alternativa a escribir esa contraseña maestra para desbloquear su bóveda de contraseñas. Normalmente, eso significa utilizar datos biométricos (reconocimiento facial o identificación de huellas dactilares) o una clave de hardware en un dispositivo confiable. Pero en todos esos casos, la contraseña maestra todavía está disponible como método de descifrado de respaldo.
Y ahí es donde algunas personas se ponen nerviosas al confiar todos esos secretos a un administrador de contraseñas. Si alguien puede robar su contraseña maestra, puede apoderarse de toda su existencia en línea. Puedes hacer el trabajo de un atacante considerablemente más difícil con autenticación multifactorpero sigue siendo un punto débil arquitectónicamente.
Pero, ¿qué pasaría si pudiera deshacerse por completo de la contraseña maestra y utilizar únicamente claves de acceso para demostrar su identidad? Esa opción está disponible hoy para cualquiera. crear una nueva cuenta con Dashlaney rival 1Password ofrece una versión beta pública para permitir a sus clientes probar una característica similar. (Ambas compañías dicen que los clientes con cuentas personales existentes y cualquiera que quiera configurar una cuenta comercial tendrán que esperar hasta 2024 para que sus cuentas no tengan contraseña alguna).
También: ¿Cuánto tiempo debe tener una contraseña en 2023? Estás haciendo la pregunta equivocada
¿Deberías deshacerte de tu contraseña maestra por completo? Me lancé con ambos Dashlane y 1contraseñaconfigurando cuentas de prueba gratuitas para ver cómo es la experiencia.
Mi conclusión: hay un administrador de contraseñas sin contraseña en el futuro, pero sólo los clientes técnicamente sofisticados deberían sumergirse en él hoy.
Configurar una cuenta sin contraseña
Ambos productos siguen un flujo de trabajo similar para habilitar cuentas sin contraseña. Para Dashlane, comience instalando la aplicación Dashlane en un dispositivo móvil (iOS o Android) y luego configure una nueva cuenta personal usando la opción sin contraseña con una dirección de correo electrónico que se convierte en su nombre de usuario. (No es necesario que sea una dirección de correo electrónico principal, pero sí debe confirmar la dirección antes de completar la configuración).
1Password requiere que te unas a la versión beta pública utilizando su móvil o escritorio Enlaces; Después de crear una nueva cuenta individual, puede seguir las instrucciones para crear una clave de acceso. (Si estás en un iPhone, asegúrate de haber configurado iCloud Keychain como un lugar para almacenar claves de acceso. Si tienes un dispositivo Android, sigue leyendo).
Una vez eliminadas esas tareas, puede importar sus contraseñas existentes y agregar otras nuevas. Más importante aún, ahora tiene un dispositivo que puede usar para configurar el acceso a la bóveda de contraseñas en otros dispositivos, sin necesidad de contraseña maestra.
Configurar dispositivos adicionales
La mayoría de los administradores de contraseñas modernos almacenan la base de datos de contraseñas cifradas en la nube para que pueda sincronizar y compartir credenciales entre dispositivos. Dashlane y 1Password adoptan enfoques muy diferentes a la tarea de configurar dispositivos adicionales.
Después de configurar mi cuenta Dashlane sin contraseña en un dispositivo Android, me resultó fácil configurar otros dispositivos, incluidos un iPhone y un iPad, una MacBook Air y varias PC con Windows 10 y Windows 11. Así es como funciona.
También: Los mejores servicios VPN: probados y revisados por expertos
En un dispositivo móvil, instale la aplicación Dashlane; En una PC o Mac, instale la extensión del navegador Dashlane. Luego comience el proceso de inicio de sesión ingresando la dirección de correo electrónico que utiliza para la cuenta. En el dispositivo que ya está firmado, vaya a Ajustes > Agrega un nuevo dispositivo en la aplicación Dashlane y confirme que sí, que es usted quien intenta iniciar sesión.
En el nuevo dispositivo, Dashlane muestra un desafío de seguridad que consta de cinco palabras aleatorias, tomadas del Amplia lista de palabras para frases de contraseña de Electronic Frontier Foundation; Esa misma lista aparece en el dispositivo en el que ya has iniciado sesión, con un cuadro vacío. Complete la palabra que falta, toque Confirmar y su nuevo dispositivo estará configurado.
Me gustaría poder decir que el proceso fue igualmente simple usando la versión beta de 1Password, pero definitivamente no lo es, al menos no en mi mundo multiplataforma. 1Password utiliza claves de acceso para permitir inicios de sesión sin contraseña, lo que significa que necesita una forma de compartir claves de acceso entre dispositivos.
Si tiene habilitado el llavero iCloud de Apple, es bastante fácil hacerlo en Mac, iPhone y iPad, pero las PC con Windows y los dispositivos Android presentan un problema. Documentación de 1Passwordde hecho, señala que necesita Windows 11 22H2 o posterior (lo siento, Windows 10), y que «[e]Incluso en versiones compatibles de Android, es posible que algunos dispositivos no admitan guardar una clave de acceso para una cuenta de 1Password».
También: Seguridad de Windows: cómo proteger las PC de su hogar y de su pequeña empresa
No tuve problemas para usar un código QR para configurar mi iPhone, pero cuando intenté configurar la extensión 1Password en Microsoft Edge para Mac, me tomó fácilmente media docena de intentos para que todo funcionara. Primero tuve que explicarle a 1Password que no había una clave de acceso en mi teléfono Samsung, después de lo cual apareció un código QR que escaneé con mi iPhone para habilitar una solicitud de clave de acceso desde el Llavero. Luego tuve que aprobar una ventana emergente que confirmaba que realmente era yo. Luego, 1Password me mostró un código que se suponía que debía ingresar en un cuadro de diálogo en una ventana del navegador que estaba oculta detrás de otras ventanas.
Pero configurar una cuenta sin contraseña en Windows o Android añadió un nivel completamente nuevo de frustración. Este fue el mensaje de error predeterminado cuando intenté iniciar sesión en una PC con Windows 11.
Es posible que haya podido usar el Administrador de contraseñas de Google Chrome para compartir mi clave de acceso, pero ¿realmente tiene sentido usar el administrador de contraseñas de otra persona para habilitar la función 1Password?
Resultó que la mejor manera de activar mi cuenta sin contraseña era guardar una clave de acceso en 1Password usando mi cuenta actual en el dispositivo Samsung con el que comencé, luego adjuntar esa cuenta a 1Password en el nuevo dispositivo usando su contraseña maestra y clave secreta, y (¡Finalmente!) agregue la nueva cuenta allí. Debido a que 1Password admite adjuntar varias cuentas a un solo dispositivo, esto funciona, pero es extremadamente complicado y ayuda a explicar por qué esta aplicación aún no está cerca de ser digna de ser lanzada.
También: Más allá de las contraseñas: 4 pasos clave de seguridad que probablemente estés olvidando
Sin embargo, el factor decisivo para mí llegó cuando intenté exportar mis contraseñas desde la nueva cuenta sin contraseña. La aplicación beta de 1Password insiste en que escriba una contraseña maestra (que no existe para esta cuenta, por supuesto) antes de comenzar una exportación. Un representante de soporte técnico confirmó que esta función falta en la versión beta actual.
Dados esos dolores de cabeza de la versión beta, decidí eliminar mi cuenta de 1Password sin contraseña y volver a intentarlo en unos meses. Pero Dashlane fue lo suficientemente impresionante como para hacerme considerar seriamente cambiarme.
¿Cuál es el riesgo?
Cuando tiene una cuenta sin contraseña, la única forma de acceder a sus contraseñas es establecer su identidad con la ayuda de un dispositivo confiable donde ya haya confirmado sus credenciales con los servidores de administración de contraseñas.
Entonces, ¿qué sucede si no puedes acceder a ninguno de esos dispositivos confiables? Estás bloqueado, probablemente para siempre. El objetivo de los administradores de credenciales de conocimiento cero es que usted y solo tu puede desbloquear esa bóveda. Sin una contraseña maestra, no tiene un método alternativo para restaurar el acceso a su bóveda cifrada.
También: Deja de usar contraseñas débiles para servicios de streaming: es más riesgoso de lo que crees
Tanto Dashlane como 1Password ofrecen una alternativa en forma de clave de recuperación. Se trata de un código alfanumérico generado aleatoriamente (la clave de Dashlane tiene 28 caracteres; 1Password utiliza una clave de recuperación de 56 caracteres) que usted imprime y almacena en un lugar seguro. Si alguna vez te encuentras en una situación en la que no tienes una PC o un dispositivo móvil que haya iniciado sesión en tu cuenta, puedes romper el cristal y usar esa clave de recuperación como último recurso. Pero nunca necesitarás escribirlo en circunstancias normales, lo que significa que es resistente al phishing, registradores de pulsaciones de teclas y otras herramientas de piratería.
¿Deberías cambiar a una cuenta sin contraseña?
No hay duda de que las cuentas sin contraseña representan el futuro, pero no el presente. En este momento, solo una empresa, Dashlane, ofrece la función en un producto de envío y solo para nuevas cuentas personales. Si está satisfecho con su administrador de contraseñas actual, no es momento de pensar en cambiar todavía.
Me impresionó bastante Dashlane que voy a usar mi nueva cuenta sin contraseña durante unos meses y veré si es un reemplazo digno de 1Password. Te mantendré informado.