Te doy la bienvenida al episodio 35 de deployandome, el podcast de tecnología para sysadmins y devops. Soy Rodolfo Pilas y estoy grabando el 28 de noviembre de 2018.
En la actualidad todos tenemos una amplia cantidad de sitios, servicios, aplicaciones, servidores donde nos validamos mediante contraseñas. Y no hay un ser humano normal que sea capaz de acordarse las contraseñas para cada uno de esos sitios.
Para complicarlo un poco más, muchas veces estas contraseñas o validaciones deben ser compartidas, con mi familia, con mis compañeros de trabajo o con los clientes.
Viviendo y aprendiendo, todos hemos adoptado algunas estrategias para tener disponible la contraseña que necesito en el momento que la necesito.
Hablando de estrategias he visto mucha cosa, no voy a hacer un exhaustivo resumen ellas, pero muchas veces me encuentro con gente que hace algo de esto:
- Utilizan la misma contraseña para todo, o que establecen pequeños cambios, como agregarle los números del año de cuándo crearon la cuenta.
- Quienes tienen una libreta y van con ella a todos lados
- Los que mantienen planilla electrónica o un documento de texto (a veces con clave). De estos están los que lo guardado en servicios como Dropbox o GoogleDrive.
- Y hay algunos, que tienen algun algoritmo mental que les permite calcular la contraseña a partir de por ejemplo el nombre del servicio. Un ejemplo simple sería para Google utilizar permutaciones de letras por números G 0 0 G 1 3 o lenguaje de jeringoza y tener la clave tipo G O O P O G L E P O.
Ya se, me vas a decir que son terribles ejemplos de lo que NO hay que hacer con claves y contraseñas, pero te juro que semanalmente me encuentro con alguien que utiliza alguna de estas estrategias.
Y ya que estamos, vos ¿Cómo manejas tus contraseñas? Todas ellas, desde las super secretas de acceso a tu banco hasta las más triviales de suscripción a una newsletter; desde las personales hasta las compartidas; desde las que requieren complejidad para ser aceptadas hasta los cuatro números del PIN.
Como no me considero un experto en la materia no te voy a dar consejos, pero en esta edición de deplorandome te voy a contar cuál ha sido mi experiencia en los últimos 30 años con el manejo de las contraseñas.
Te decía que me considero alguien más que "hace lo que puede" para sobrevivir con todas las contraseñas que tiene la necesidad de manejar y mantener.
En mis orígenes, ya hace mucho mucho tiempo (década de los '90) mantenía tres contraseñas distintas:
"la trivial" que usaba para sitios que no me importaba nada, incluso es la que conocen mis colegas como mi contraseña por defecto si ellos me están dando un acceso por defecto: "oye entra aquí que ya configuré tu usuario".
Luego tenía la contraseña "segura", que me preocupaba de cambiar cada tanto y era la que mantenía, pero que llegado el caso podía darla en caso de emergencia.
Y por último, la "super segura y difícil" que no revelaría ni bajo tortura.
La aparición del los móviles y los múltiples servicios casi que para todo, hizo que este estrategia de tres claves fuera inútil. La clave "segura" estaba en mucho más sitios que los que me gustaría, o sitios que consideraba "triviales" se volvieron importantes.
Así que me fui por una herramienta de gestión de claves.
Encontré un artículo en mi blog pilas.guru sobre Administradores de claves que es una investigación que hice en Agosto de 2006 donde hago un relajamiento de lo que encontré en ese momento.
Un administrador de claves es un software que se instala en tu computador que permite crear una ficha por cada sitio o clave, clasificar esa ficha en carpetas o categorías y que está todo en una base de datos cifrada, al que se accede mediante una master-password, que en definitiva es la única clave que hay que recordar.
Así fue como comencé a utilizar KeePass, un software libre multi-plataforma licenciado bajo GPL que descargué e instalé en mi computador.
Lo que hice fue colocar el archivo de la base de datos en una carpeta vinculada a un servicio de sincronización que me permitía tenerlo también en mi celular y en él me instalé la versión correspondiente de KeePass.
Una maravilla, fue la primera vez que solamente tenía que recordar una master-password, que además podía cambiar las veces que quería.
Pero también tuve un problema, el acceso a múltiples servicios, el abrir un sitio tras otro estaba siempre frenado por tener que ir hasta el KeePass, abrirlo, buscar el sitio, copiar y pegar la clave.
Así que decidí migrar a un servicio on-line de administrador de claves.
No te voy a decir qué servicio pues no tengo interés en recomendar un servicio privativo con software privativo y menos aún, porque no es lo que uso actualmente.
Pero te voy a comentar las ventajas que vi de un servicio on-line frente al KeePass de escritorio.
Para empezar la integración con el navegador mediante una extensión. No pienses que acá hablamos de que las claves las recuerde el navegador, los navegadores tienen un administrador de claves, pero son exclusivos para sitios web y tengo infinidad de claves más: de servidores, de mis hijos, de aplicaciones. Muchas claves que el navegador por si solo no me resuelve, pero un sitio online administrador de claves si lo hace.
El segundo cambio es que el servicio on-line me llevó a empezar a tener por primera vez claves siempre diferentes para cada sitio. El tener que abrir el KeePass me hacía mantener mi política de clave trivial: "esto no es importante, va clave trivial". Al tenerlo en el navegador cualquier cosa que escribiera ya es recordado automáticamente.
Y claro, al ser un servicio on-line lo tenía también disponible en mi movil y el tablet.
Pero a partir de este año decidí dejar de utilizar un servicio con software privativo y tener algo donde los autores compartan el código, tanto para el servidor como para el cliente y lo encontré.
El administrador de contraseñas que utilizo se llama BITWARDEN al cual le importe los datos del servicio que utilizaba antes y quedó funcionando en forma transparente.
Bitwarden es un software libre que se puede instalar en tu propio servidor o puedes utilizar el servicio de los creadores, que te dan una cuenta gratis o planes premium con diferentes beneficios extras.
Los clientes, que también son software libre, están disponibles para todas las plataformas, incluyendo las móviles, y los navegadores más conocidos (lo uso en Safari y Brave).
Pero además el servidor Bitwarden expone un API y está disponible un cliente de consola llamado bw para el manejo de las claves en el repositorio.
En la actualidad con Bitwarden tengo todas mis contraseñas y credenciales, incluyendo notas confidenciales y datos de tarjetas de crédito, y para todo solo necesito recordar una master-password que cambio cada pocos meses.
Bitwarden se corre perfectamente con mis dispositivos Apple con iOS, validando directamente desde el teclado con TouchID o FaceID, es decir, que al empezar a escribir un usuario y clave, el teclado desplegable ya me propone obtenerlo de Bitwarden, quedando muy integrado.
Bitwarden es un software libre licenciado bajo GPLv3 y su código se encuentra disponible en GitHub y su repositorio core cuenta con más de 2300 estrellitas.
Se que hay otras opciones, obviamente no conozco todas.
De las aproximadamente 500 claves o fichas que manejo con Bitwarden solamente unas 25 están repetidas, lo que es un 5% del total, y que generalmente son de servicios heredados de otros tiempos.
Otra estrategia que he tomado, ademas de tener todas mis claves diferentes es tener usuarios de correo diferentes, aprovechando la funcionalidad que permiten los servicios de Gmail que puedes tener tu nombre seguido de un símbolo de más y luego un cadena de caracteres, antes de la arroba. Entonces cada vez que un sitio me pide un correo, por ejemplo Twich, el correo que utilizo es rpilas+twitch@gmail.com. ¿Para qué? Pues si algun día roban la base de usuarios, como suele pasar casi todos los meses en distintos sitios y empiezo a recibir spam, va a ser muy fácil crear un filtro que frene esos correos.
Este mes me encontré con Buttercup que es un software libre bajo licenciamiento MIT, que está programado en Node.JS y que permite tener un servidor de administración de claves, que como no lo he probado, no te puedo decir mucho más de él.
No mucho más, si eres de los que utiliza una libreta o una planilla, aquí tienes algunas opciones que he utilizado.
Si utilizas un servicio o un software privativo, aquí tienes algunos software libre y servicios basados en software libre al que es fácil cambiarse.
En las notas del blog deployando.me, quedan enlaces a todos estos software que te he mencionado. Si conoces alguno más que quieres compartir, te agradeceré lo hagas dejando un comentario.
Soy Rodolfo Pilas, en twitter me puedes seguir por @pilasguru y te dejo un saludo. Confío que este podcast te haya aportado para mejorar y, como siempre, espero tus inquietudes y sugerencias comentando en deployando.me
Hasta la próxima edición.