Supongo que hay una razón por la que lo llaman la vanguardia. Esa es la lección que aprendí después de algunas semanas de probar el administrador de contraseñas de Dashlane usando su opción sin contraseña recién introducida para configurar nuevas cuentas.
No, literalmente no derramé sangre, pero logré encontrarme con un error que efectivamente me impidió el acceso a mi bóveda de contraseñas en algunos dispositivos durante varios días. Hay que reconocer que la empresa reconoció rápidamente el error y proporcionó una solución, pero todo el incidente ilustra lo fácil que es para cualquier empresa de seguridad tropezar en la prisa actual por deshacerse de las contraseñas.
También: ¿Qué son las claves de acceso? Experimente la magia transformadora de no tener contraseñas
Empecemos con las buenas noticias. En general, mi experiencia con Dashlane ha sido positiva. Fue extremadamente fácil configurar una nueva cuenta en un dispositivo móvil, importar mis datos existentes desde 1contraseñay configure el software en dispositivos nuevos mediante la aplicación Dashlane y la extensión del navegador. También encontré extremadamente fácil el proceso de completar contraseñas. Bono: todos mis Credenciales 2FA (contraseñas de un solo uso basadas en el tiempo, como las que se utilizan en Autenticador de Google y autía) migró sin esfuerzo desde 1Password.
Todo funcionó perfectamente, hasta el viernes anterior cuando me dispuse a emprender un viaje de dos semanas y comencé a configurar la computadora portátil que planeaba llevar conmigo. El desafío de seguridad de Dashlane funcionó exactamente como se esperaba y recibí una confirmación por correo electrónico de que mi nuevo dispositivo se agregó correctamente a mi cuenta, pero hacer clic en el botón Acceder a Bóveda no hizo nada.
También: Los mejores servicios VPN: probados y revisados por expertos
Tal vez sea un problema del navegador, pensé, así que intenté instalar un navegador diferente. Ese falló de manera idéntica. Tampoco tuve éxito en otra PC con Windows, en una Chromebook y en una MacBook. Aunque el dispositivo se agregó a mi cuenta, no pudo abrir mi bóveda de contraseñas.
Finalmente, me comuniqué con el soporte de Dashlane por correo electrónico. Me tomó un poco de ida y vuelta para presentar un informe de error, y luego esperé dos días completos para recibir esta respuesta:
Nuestros equipos de ingeniería identificaron el problema y publicaremos una solución lo antes posible. Mientras tanto, recomendamos continuar accediendo a su cuenta a través de sus dispositivos previamente autenticados.
Apreciamos su paciencia y comprensión.
Al día siguiente, el soporte de Dashlane me alertó que había disponible una nueva versión de la extensión del navegador. La instalación de esa actualización devolvió todo a la normalidad.
También: Amazon agrega claves de acceso para que puedas iniciar sesión sin una contraseña molesta
En lo que respecta a los incidentes de soporte, este fue un inconveniente, pero no peligroso. Mis datos almacenados nunca estuvieron en riesgo de ser accedidos por ningún extraño (las claves de descifrado estaban solo en mi dispositivo), y tenía múltiples copias de seguridadasí como una clave de recuperación de cuenta que me habría permitido restaurar mis datos si no hubiera podido recuperar el acceso a la cuenta.
Todavía tenía acceso a la bóveda de contraseñas en mi dispositivo móvil, pero hubiera sido extraordinariamente frustrante buscar contraseñas largas generadas aleatoriamente en mi dispositivo móvil y luego escribirlas manualmente en mi computadora portátil, razón por la cual volví temporalmente a 1Password. mientras se desarrollaba este incidente.
¿Entonces qué pasó? El gerente senior de productos de Dashlane, Jordan Aron, explicó que este problema se produjo debido a las actualizaciones técnicas que los ingenieros de la compañía realizaron en el código de las extensiones de su navegador y que tuvieron un efecto inadvertido en los usuarios sin contraseña. (Los clientes de Dashlane que utilizan cuentas protegidas con una contraseña maestra no se vieron afectados).
También: Más allá de las contraseñas: 4 pasos clave de seguridad que probablemente estés olvidando
La solución fue relativamente simple, pero requirió revisión y aprobación por parte de las tiendas de extensiones del navegador antes de que pudiera llegar a los clientes afectados. Aron estima que aproximadamente el 5% de los clientes que utilizan la nueva opción sin contraseña se vieron afectados.
En una respuesta por correo electrónico, Aron señaló: «Ésta es una solución muy nueva que estamos constantemente innovando y mejorando, y este evento aislado no debería disuadir a los usuarios de experimentar la facilidad de uso y beneficios de seguridad mejorados de una cuenta Dashlane sin contraseña.
«Para mitigar más rápidamente cualquier posible problema futuro, hemos ampliado el alcance de nuestro monitoreo y visibilidad de detección para incluir no solo configuraciones exitosas de dispositivos sin contraseña, sino también el paso final para acceder exitosamente a la bóveda. En términos de prevención, estamos También implementamos revisiones adicionales para actualizaciones de nuestro código base y evaluamos mejoras en una detección más proactiva y preventiva, centrándonos en nuestra función de inicio de sesión sin contraseña».
También: 6 reglas simples de ciberseguridad que puedes aplicar ahora
Irónicamente, este no fue el único problema que tuve con las opciones de seguridad sin contraseña esta semana.
Hace meses, dejé mi cuenta principal de Microsoft sin contraseña. Para configurar un nuevo dispositivo, uso el Aplicación Microsoft Authenticator o un clave de seguridad, sin opción de autenticación por SMS. Esas opciones hacen que sea realmente difícil para un atacante acceder a mi cuenta. Desafortunadamente, también me hacen imposible usar la utilidad Escritorio remoto de Microsoft para acceder a un sistema en el que inicié sesión con esa cuenta. Tampoco puedo conectarme a una máquina virtual Hyper-V usando el modo mejorado. Quizás algún día Microsoft amplíe su compatibilidad con claves de acceso para incluir inicios de sesión en Escritorio remoto, pero no voy a contener la respiración.
También: Las mejores llaves de seguridad para protegerte a ti y a tu negocio
Y en la misma computadora portátil donde volví temporalmente a 1Password, descubrí que todavía estaba conectado a la cuenta de prueba que configuré usando la opción sin contraseña de 1Password (que todavía está en una versión beta pública). No hay problema, pensé, simplemente usaré la función Administrar cuentas para eliminarlo. Excepto que esa opción quería que proporcionara una contraseña maestra que no existe. Finalmente pude resolver el problema desinstalando y reinstalando la extensión del navegador.
La moraleja de la historia? Es bueno saber que las empresas de seguridad están trabajando arduamente en opciones sin contraseña. Algún día, cuando hayan solucionado todos los problemas, esas soluciones harán del mundo un lugar mejor. Pero hasta que llegue ese día, tal vez sea una buena idea conservar su contraseña maestra.