Genera y mantén tus contraseñas seguras con KeePass y KeePass2Android

3170874142_a4058c3243_oEsta entrada es la conclusión de mi (¿primera?) serie práctica sobre seguridad en internet, que trata lo referente a mantener las credenciales (usuario y contraseña) almacenadas de forma segura, generar contraseñas fuertes, y verificación en dos pasos.

Ya hemos escrito unas pocas entradas en este blog acerca de conceptos de seguridad, hablando de la ingeniería social y las inseguras preguntas de seguridad, la verificación en dos pasos, y hemos empezado una serie práctica sobre el tema. Hemos empezado exponiendo una forma de tener un almacén de usuarios y contraseñas seguro y sincronizado entre nuestros dispositivos usando KeePass, KeePass2Android y Dropbox.

Aquella entrada repasaba el proceso de forma un tanto esquemática, apta para usuarios familiarizados con estos temas. Para dar más profundidad y detalle para lectores menos expertos, le siguió una acerca de activar la verificación en dos pasos en Dropbox, y ahora llega la tercera y última, que trata del uso esencial de KeePass y KeePass2Android, en la práctica y desde cero. Ambos son software libre.

Al igual que otras opciones como 1password y lastpass, KeePass nos ofrece la posibilidad de crear un almacén, en forma de fichero de base de datos, donde guardar credenciales de forma seguracifrando el almacén. KeePass2Android es una versión no oficial del mismo para Android, que además es compatible con Dropbox. Ambos son software libre, por lo que nos permiten montar una solución muy segura donando la cantidad de dinero que consideremos oportuna (desde 0 a lo que queramos).

Primer paso: instalar KeePass en el ordenador y configurar el idioma

Este será nuestro primer paso. Para instalar KeePass debemos descargarlo desde su sitio web (en inglés). Recomiendo usar la versión “Profesional” por cuestiones de compatibilidad entre plataformas y porque la versión de PC es más completa. Podemos descargarla de la parte derecha de la página de descargas. Os recomiendo descargar la versión “Portable”, que viene en un archivo “.zip” y que permite usarlo nada más descomprimirlo.

download-keepass

Acto seguido, descargamos su traducción al español de la página de traducciones. Fijaos en descargar la traducción correspondiente a la versión que os habéis descargado (en mi caso es la 2.27):

translate-keepassUna vez descargados ambos ficheros, descomprimimos primero el del programa (KeePass-2.27.zip en la imagen) a un directorio y luego el de la traducción (KeePass-2.27-Spanish.zip en la imagen), al mismo directorio que el primero.

Downloads

Comprobamos que todo está bien abriendo el directorio donde hemos descomprimido los dos ficheros, donde deberemos encontrar dos ficheros, “KeePass.exe” y “Spanish.lngx”, al mismo nivel:

Por último, vamos a abrir el programa haciendo doble click en “KeePass.exe” para dejar activadas las actualizaciones automáticas y seleccionar como idioma el español, recién descargado.

Al ejecutar el programa vemos la ventana siguiente, en la que seleccionamos “Enable (recommended):

update

Una vez hecho eso, accedemos a la ventana principal del programa. En el menú “View”, opción “Change Language…”, deberían existir dos opciones; escogemos el español.

Main-eng

Lang-sel

Tan sólo pinchando en “Spanish” el idioma se selecciona: sin ningún tipo de confirmación, KeePass pregunta inmediatamente si queremos reiniciar el programa para verlo ya, por completo, en el nuevo idioma seleccionado. Contestamos que sí, tras lo cual vemos ya el programa completamente traducido.

restart

Principal-es

Visto esto, veremos cómo empezar a trabajar creando un almacén de credenciales (pares “usuario y contraseña”) y una credencial (un juego de usuario y contraseña), como ejemplo.

Segundo paso: crear un almacén de credenciales

Se crea, o bien mediante el botón de más a la derecha, el que tiene una hoja de papel en blanco con una estrellita, o bien pulsando Control + N, o bien con la opción “Nuevo…” del menú “Archivo” que podéis ver en la imagen de un poco más arriba. Cualquiera de las tres posibilidades nos lleva una ventana donde podremos configurar un nombre de fichero y guardarlo en un directorio. Si tenemos activada la verificación en dos pasos, podemos guardarlo directamente en Dropbox; de lo contrario recomiendo no hacerlo de momento para seguir la lista de pasos que publicaba en su día.

Una vez seleccionado nombre de fichero y directorio, toca configurar su protección; seleccionamos solamente Contraseña maestra, para poder usar el mismo fichero desde Android una vez activemos la verificación en dos pasos en Dropbox. También puedes aprovechar para hacerlo ahora y crear el almacén ya en Dropbox, como yo.

La clave que pongamos debe ser lo suficientemente secreta… nada de poner nuesto teléfono, ni nuestra fecha de cumpleaños. Deberíamos hacer un esfuerzo por aprendérnosla de memoria para no tener que escribirla en ninguna libreta o papel.

pass

Una vez pulsamos Aceptar, el programa nos despliega una serie de opciones adicionales que recomiendo dejar sin tocar, pues son suficientemente buenas. En cuanto las aceptemos ya podremos empezar a generar contraseñas seguras para todas nuestras necesidades. El almacén se creará con dos ejemplos que podemos borrar, así como unas determinadas categorías que podemos usar, o borrar (todo ello con el botón derecho – eliminar).

La primera vez que cerremos el programa sin guardar (botón con forma de disquete) podremos configurarlo para guardar automáticamente el almacén al cerrar el programa.

Tercer paso: generar una contraseña segura para Dropbox

Vamos a hacerlo con el generador de claves incorporado. Nos situamos en el grupo “Internet” (opcional), y usamos el botón resaltado en la imagen que viene a continuación:

new pass

En el editor que viene a continuación, rellenamos el nombre de usuario y la dirección de la página de Dropbox, y damos un nombre a la entrada que estamos creando.

dropbox

Almacenar la dirección de la página puede parecer absurdo en el caso de Dropbox, pero para algunas cuentas que damos de alta de forma puntual (para comprar un artículo en una tienda muy concreta, o para abrir una consulta de soporte) puede venir muy bien. Fijaos que en la parte inferior podemos establecer un vencimiento para una contraseña, lo que nos generaría una alerta una vez pasada la fecha y la hora para que la cambiásemos.

En la pestaña “Avanzado” podremos adjuntar ficheros. Por ejemplo, uno que contenga los códigos de recuperación de la verificación en dos pasos de Dropbox, cuando la activemos. Quedará igualmente cifrado.

attach

Bien, si nos hemos fijado antes, el programa auto-genera automáticamente una contraseña de nada menos que 20 caracteres cada vez que creamos una entrada para almacenar una credencial. Vamos a ver cómo, echando un vistazo a las opciones del generador. Volvemos a la pestaña “Entrada” y pulsamos en el botón que tiene una llave y una estrellita, a la derecha del segundo campo de contraseña (el etiquetado como “Repita”), para seleccionar la opción “Abrir el generador de contraseñas”:

keygen

Este editor es importante para aquellas webs donde la contraseña tenga que cumplir una política específica. Podemos ajustar la longitud, especificar un perfil más robusto de generación… pero en principio no debería ser necesario modificar nada para la mayoría de los usuarios, porque muy poquitas personas generan manualmente contraseñas tan fuertes como las que estamos generando con este programa. Os recomiendo aún así que echéis un vistazo a las opciones y lo dejéis a vuestro gusto o, mejor dicho, adecuado a vuestro nivel de exigencia. Ejemplos de contraseñas que cumplen este patrón:

ReS1oPR7alPEvA7rA5Un
HBA9gOCtUC2c1AVvD5CT
NBlLgM3RlPwuj0iy5LMB
LfzE41R6XOQ77Gd2PwhI
mckNAZ7BkFO20XJo546u
ivY9MehKwlN7OtG68vaB
bI42diLcCqTCPcWRPE1T
EYKIUfHF2uK53u3bwe6o
mRBwxLCz6qd2SWo2UfUc
...

Cerramos esas opciones y la nueva entrada, volviendo a la ventana principal del programa. Desde la lista de credenciales donde vemos la entrada recién creada, de Dropbox, podemos copiar el usuario y la contraseña al portapapeles con los botones resaltados en verde, una vez seleccionada:

copy

Gracias a esto, tanto introducir la contraseña en el formulario para cambiarla (en Dropbox en este ejemplo) como en el formulario de inicio de sesión es muy cómodo. Ojo, que la vida que esa información tiene dentro del portapapeles es de 12 segundos por defecto: pasado ese tiempo el programa vacía el portapapeles por seguridad. Estos y otros muchos valores pueden cambiarse dentro de “Opciones” en el menú de “Herramientas”.

En este punto ya podríamos dirigirnos a Dropbox para cambiar nuestra contraseña antigua por ésta (si es mejor), y si no lo tenemos ya hecho, activar la verificación en dos pasos. Tras ello saldríamos del programa para mover el almacén de credenciales a nuestra carpeta de Dropbox si queremos tener disponibles nuestras contraseñas en el móvil. Al volver a abrir KeePass en el PC, deberemos buscar el almacén que hemos movido en la carpeta de Dropbox, con el botón “Abrir”.

search Captura de pantalla 2014-10-06 18.38.06Vamos a ver ahora el funcionamiento básico de KeePass2Android, para terminar.

Paso final: contraseñas en el móvil con KeePass2Android

Lo primero, lo descargamos desde Google Play. Al abrirlo, podemos ir a buscar nuestras contraseñas a Dropbox: una vez pulsamos “Abrir el archivo…” escogemos como tipo de almacenamiento “Dropbox” (la primera de las dos opciones de Dropbox que ofrece):

Screenshot_2014-10-06-18-45-09

Screenshot_2014-10-06-18-45-16

A partir de este punto, las opciones son ya muy familiares al haberlas visto en Windows. Seleccionamos como tipo de llave maestra “Sólo la contraseña” y, personalmente, recomiendo desactivar el desbloqueo rápido (permitiría abrir el almacén con un código de 3 posiciones). La contraseña maestra que debemos introducir es la misma que hemos definido en el segundo paso de este artículo, en Windows.

Screenshot_2014-10-06-18-46-22

A partir de este momento y con lo que sabemos, ya podemos explorar el programa esperando encontrar de forma intuitiva las mismas opciones, o casi, que en KeePass para Windows. Mención especial merece el candado de la pantalla principal, con el cual bloquearemos el almacén de credenciales y volveremos a la pantalla donde la aplicación nos pide la contraseña. De esa forma los cambios se guardarán y el fichero volverá su estado cifrado, quedando las contraseñas completamente protegidas.

Screenshot_2014-10-06-18-46-36

Para terminar el artículo, si nos metemos en “Internet” encontramos nuestra entrada de Dropbox:

Screenshot_2014-10-06-18-46-50

Al pinchar sobre ella podemos escoger copiar la contraseña al portapapeles o verla, o usar las opciones en forma de notificaciones tan convenientes que incluye la aplicación de cara a pegarla en las aplicaciones correspondientes. También incluye un método de entrada seguro (un teclado), por si sospechamos de que alguna aplicación maliciosa pueda estar registrando el contenido que pasa por el portapapeles.

_20141006_184905

IMG_20141006_184750

Recomendaciones finales

Mis consejos son familiarizarse con las opciones de estas dos aplicaciones, KeePass y KeePass2Android, usando las entradas de ejemplo y alguna otra cosa, antes de lanzarnos a cambiar todas nuestras contraseñas. Tras ello, haced una lista por orden de urgencia, de forma que cambiéis primero aquellas contraseñas de los servicios más importantes primero.

Igualmente, os recomiendo borrar las contraseñas guardadas en los navegadores de Internet, y sólo instalar aplicaciones móviles desde Google Play, y de fuentes fiables.

La ayuda de KeePass para Windows no está traducida, así que paciencia y mucho experimentar. Si tenéis alguna duda, dejad un comentario y os ayudaré en lo que pueda.

Nota: la imagen de cabecera que acompaña a este artículo pertenece al usuario de Flickr Dev.Arka, quien la publica bajo una licencia Creative Commons con ciertos derechos reservados (atribución, no modificación).

 

 

8 comentarios en “Genera y mantén tus contraseñas seguras con KeePass y KeePass2Android

  1. He seguido tus pasos al pie de la letra, pero no consigo desbloquear la base desde KeePass2Android.
    Le pongo la contraseña maestra (con la que abro KeePass2) y me dice The composite key is invalid.
    Por supuesto, me he asegurado de que la que tecleo es la correcta.
    Gracias por tu ayuda

    1. ¡Hola!

      En este caso sólo se me ocurre que hayas podido generar en el ordenador, con KeePass2, una clave compuesta que dependa de la contraseña maestra y algo más: un fichero de clave adicional, la identidad en Windows o en el sistema operativo de turno,… por eso se refiere a ella como “composite key”. KeePass2 ofrece muchas posibilidades al respecto, muy poco documentadas. Asegúrate de que tu clave sólamente dependa de la password que has tecleado, puesto que si no la compartición a través de Dropbox se complicaría y también tendrías que compartir esos recursos criptográficos adicionales para proder abrir la base de datos en el teléfono.

      Saludos y suerte

      1. Hola, Gabriel.
        Efectivamente tenía habilitada la identificación con fichero de clave. Al escoger esta forma de identificación también en KeePass2Android, se ha desbloqueado la base sin problemas.
        He cambiado la forma de identificación en KeePass2 a sólo la contraseña maestra, pero aún no se ha sincronizado y en KP2A sigo teniendo que usar el fichero. Supongo que será cuestión de tiempo.
        Muchas gracias por tu rápida respuesta.
        Un saludo.

        1. ¡De nada! Para agilizar esa sincronización puedes forzarla en KeePass2Android con una opción que aparece en el menú “de los tres puntos de arriba a la derecha”, que así de memoria es algo como “Sincronizar Base de Datos”.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *