LastPass es una de las plataformas más utilizadas para almacenar una base de datos con todas nuestras contraseñas y poder acceder a ellas siempre que lo necesitemos. En un mundo donde cada vez es más importante proteger lo mejor posible nuestras cuentas online, este tipo de servicios nos ayudan a hacernos más llevadero el hecho de poder utilizar contraseñas largas, seguras y complejas. Sin embargo, es posible que, además de los problemas de ser software privativo, es posible que sus supuestas bases de datos blindadas no sean tan seguras como nos hacen pensar que son.
Tal como han podido comprobar en Hackernoon, mientras que LastPass guarda con un cifrado AES toda la información más sensible de sus usuarios, como sus nombres, el usuario y la contraseña de una página web, la dirección URL de la página web asociada a dichos datos no se guarda de forma cifrada.
Como podemos ver, el parámetro «url» tiene una apariencia diferente a la del resto de datos, y es que, utilizando un simple conversor de hexadecimal a texto podemos ver cómo la URL se guarda tal cual sin ningún tipo de cifrado.
Cuando el usuario que ha dado con este «fallo» ha preguntado a los responsables de LastPass, estos han hecho alusión a que los datos se cifran con un algoritmo AES de 256 bits y que, de esa manera, ni siquiera los propios empleados de la compañía pueden acceder a los datos de los usuarios, algo que, como acabamos de ver, es mentira.
Esta compañía se considera a si misma «zero knowledge» o de conocimiento cero, asegurando que en ningún momento pueden conocer ni un solo bit de información de los usuarios, algo que es falso, ya que el código hexadecimal tiene la misma seguridad que el texto plano. Aunque es cierto que los usuarios y las contraseñas son «seguros», las URLs son monitorizadas por la compañía, sabiendo a qué páginas se conecta el usuario.
Mucha gente solo busca que el usuario y la contraseña de su sitio web queden correctamente cifrados, sin embargo, no dan importancia a la propia URL y todo lo que se puede hacer con dicha información sin cifrar, especialmente teniendo en cuenta que, al ser una plataforma totalmente privativa, no sabemos si los algoritmos de cifrado son realmente seguros o esconden posibles puertas traseras. Probablemente no, pero no lo sabemos.
¿Merece la pena utilizar un servicio para gestionar las contraseñas?
Igual que no dejarías las llaves de tu casa o de tu coche a un extraño, por muchas promesas que te haga, tampoco deberías dejar las contraseñas de tus plataformas a una empresa privada y totalmente opaca ya que, en realidad, no sabes cómo funciona, cómo gestiona los datos ni si los utiliza para algo más aparte de almacenarlos.
Sí es cierto que, para proteger correctamente un servicio web, además de utilizar sistemas de autenticación adicionales, como la doble autenticación, también debemos utilizar contraseñas largas, complejas y diferentes en estos sitios web de manera que, además de ser mucho más complicadas de robar, de hacerlo, solo se ponga en peligro uno de los sitios web y no todos. Debido a que, por lo general, muchos usuarios no pueden recordar tanta variedad de contraseñas, es muy cómodo utilizar este tipo de servicios para poder acceder a nuestras contraseñas si lo necesitamos, aunque esto suponga una reducción considerable de la seguridad de las mismas, especialmente si utilizamos plataformas privativas como LastPass.
La mejor forma de mantener nuestras contraseñas seguras y evitar que ningún usuario no autorizado ni ninguna empresa privada pueda hacerse con ellas es apuntándolas en un papel, sin embargo, en caso de querer almacenar dichos datos de forma digital, los navegadores como Google Chrome o Firefox tienen sus propios gestores de contraseñas.
De todas formas, si quieres utilizar este tipo de servicios, siempre es mejor optar por herramientas gratuitas y de código abierto, como KeePass que, al menos, nos dan la seguridad que necesitan nuestras contraseñas, las bases de datos no se almacenan fuera de nuestro ordenador y podemos saber en todo momento cómo funciona y que no esconde funciones sospechosas.
¿Qué opinas de estos gestores de contraseñas?