La noticia difundida por la Oficina Federal de Seguridad de la Información (BSI) el 21 de enero de 2014 dio un buen susto a bastantes internautas: al analizar redes de bots, los investigadores y las autoridades dieron con unos 16 millones de cuentas de usuario comprometidas. Esta usurpación de identidad es tanto más amenazadora cuanto que muchos usuarios utilizan los mismos datos -en este caso el nombre de usuario en forma de dirección de correo electrónico y una contraseña- para varios servicios al mismo tiempo. Al menos esto se puede cambiar fácilmente, por ejemplo, con la ayuda de KeePass. Te mostramos cómo.
Ya sean cuentas de correo y web, foros y sitios de compras o los propios programas: Todos requieren contraseñas que no podemos recordar cuantos más hay. ¿Tiene usted también un papel amarillento debajo del portátil en el que están anotadas las contraseñas? ¿Las guarda el navegador? Ninguna de las dos es segura, y además el navegador no puede almacenar todas las contraseñas. Hemos echado un vistazo a la herramienta de código abierto KeePass, que almacena todas las contraseñas y datos de acceso de forma encriptada y ofrece un generador de contraseñas y una base de datos.
Índice de contenidos
Las diferencias
KeePass está disponible en dos ediciones: «Classic Edition Version 1.x» y «Professional Edition Version 2.x».
Laversión 1.x funciona en sistemas Windows con GDI+ (ya incluido desde XP) y contiene menos características que la versión 2.x: no soporta Unicode, no es posible abrir una base de datos vía URL, ni tampoco la sincronización. Tampoco dispone de papelera de reciclaje, falta el sistema de activación y la versión sólo imprime en forma de tabla. No obstante, sigue desarrollándose.
La versión 2. x funciona en sistemas Windows con NET Framework 2.0 o superior (ya incluido a partir de Vista) y también en otros sistemas operativos como Linux, Mac OS X, BSD, etc. Es posible abrir bases de datos mediante URL y sincronizaciones, la versión imprime tabularmente y en modo detallado, también está disponible un sistema de activación para automatizar los flujos de trabajo.
Como aplicaciones portátiles, ambas versiones no necesitan instalación, son programas de código abierto, compatibles con plug-ins y pueden adaptarse mediante archivos de idioma. Como algoritmo de cifrado de la base de datos se utiliza Rijndael (también llamado AES) de 256 bits; las contraseñas se almacenan con SHA-256.
Nota: La versión instaladora requiere derechos de instalación local, que la versión portátil no necesita.
Puede ver una lista detallada de las dos versiones en la comparación de ediciones.
Nos interesa especialmente la versión 2, ya que también contiene varias funciones interesantes.
La instalación
Después de descargar y descomprimir la versión portátil y el archivo de idioma alemán en una carpeta especialmente creada en la memoria USB o en el disco duro, incluye el archivo de idioma alemán. Si has elegido la versión instaladora, descomprime el archivo de idioma en el directorio del programa KeePass.
En el menú «Ver» en «Cambiar idioma…» encontrarás el archivo de idioma alemán, que seleccionas. Luego reinicia KeePass para aplicar los cambios.
KeePass tiene una interfaz de usuario sencilla y sin florituras. Todo sigue pareciendo bastante vacío, pero eso cambiará.
Crear base de datos
Para trabajar con KeePass, primero tienes que crear una base de datos. Utiliza «Archivo» – «Nuevo…» para crear un archivo de base de datos (*.kdbx), al que darás un nombre, en la carpeta de la memoria USB o del disco duro. En nuestro ejemplo, se trata de «NewDatabase.kdbx» en la subcarpeta «KeePass Password Safe 2.24».
Después de «Guardar» aparecerá una nueva ventana«Crear clave maestra compuesta«.
En el campo situado junto a «Contraseña maestra», introduzca una contraseña para su nueva base de datos. Esta es la única contraseña que realmente tendrá que recordar.
Un clic en el botón con los tres puntos muestra de nuevo su contraseña en texto plano. Puedes ver la calidad de la contraseña por las barras de colores que hay debajo: rojo es insuficiente, verde es buena.
Archivo de claves/proveedor es responsable de la protección adicional – aquí puede crear un archivo de claves (*.key). Este archivo se genera automáticamente y se guarda en una ubicación de su elección. Si lo guarda, por ejemplo, en una memoria USB, sólo se podrá acceder a los datos si la memoria USB está conectada al ordenador. A continuación, la llave debe abrirse con la contraseña principal.
En ese caso, lacuenta de usuario de Windows sólo funciona con la clave de usuario de Windows y la contraseña principal. Esta opción está vinculada a un PC.
Cuál de las tres opciones utilice individualmente o en combinación depende de usted. También es una cuestión de la seguridad deseada.
Nosotros sólo optamos por la «contraseña principal».
Después de «OK» se abrirá la configuración de la base de datos, que usted debe echar un vistazo – pero no es necesario cambiarlos, ya que son óptimas.
Su nueva base de datos ya está creada. Recibirá dos entradas de ejemplo que puede eliminar sin problemas.
En «Archivo» – «Salir» se te preguntará si se deben guardar los cambios. Después de «Guardar» KeePass se cierra con la configuración recién creada. KeePass ahora sólo se puede abrir con su contraseña principal. Puedes crear más bases de datos, pero entonces debes elegir un nombre significativo y no «NewDatabase».kdbx como hicimos nosotros.
Las opciones de KeePass
En «Extras – Opciones» hay 5 pestañas.
La pestaña«Seguridad» es especialmente para cuando no estás trabajando solo en el PC. Por ejemplo, si estás distraído, KeePass bloquea el escritorio de sí mismo después de xx segundos.
En la pestaña Política, puedes bloquear o permitir funciones. Si sólo trabajas con la base de datos, permite (casi) todas las opciones. Sobre el tema de la impresión
La pestaña deinterfaz tiene 4 encabezados: [Ventana principal] – [Lista de entradas] – [Búsqueda rápida (barra de herramientas)] – [Avanzado].
Las entradas se explican por sí mismas. Por ejemplo, decidimos activar la primera opción en «Ventana principal». Rápidamente la ventana se cierra con el botón de cierre (Minimizar, Maximizar, Cerrar) y tendría que volver a entrar con su contraseña principal. Si la opción«El botón de cierre [X] minimiza la ventana principal en lugar de cerrar la aplicación» está activada, esto no puede ocurrirle. Entonces sólo podrá cerrar la aplicación a través de «Archivo – Salir».
En la pestañaIntegración, puedes establecer atajos de teclado para Auto-Type o hacer que KeePass se inicie con Windows. Puedes asociar archivos KDBX con KeePass utilizando el botón «Crear asociación» (si tienes varios archivos KDBX). A continuación, puedes abrir archivos *.kdbx con KeePass haciendo doble clic.
El botón URL Schema Overrides
El botónAnulaciones de esquema URL muestra comandos de línea de comandos. Si, por ejemplo, quieres abrir los enlaces web de KeePass con Firefox en lugar de Internet Explorer por defecto, entonces las marcas correspondientes en «http» y «https» se pueden establecer aquí. También puedes cambiar esto más tarde para cada entrada individualmente.
El valor predeterminado aquí es la opción«ssh» – cmd://PuTTY.exe -ssh {USERNAME}@{URL:RMVSCM}. Se trata del establecimiento automático de una conexión SSH (Secure Shell) con Putty (cliente Telnet/SSH). En esta lista, las normas no pueden modificarse mediante «Editar». Sólo puede definir sus propios comandos, definidos por el usuario, haciendo clic en el botón «Añadir».
La conexión SSH estándar está estructurada de la siguiente manera:
[CMD_comando][ruta de archivo][tipo de conexión][nombre de usuario]@[protocolo o URL][contraseña].
El comando tiene el siguiente aspecto
cmd://»{APPDIR}putty.exe» -ssh {USERNAME}@{URL:RMVSCM} -pw {PASSWORD}
Explicación:
- ssh – prefijo que está bajo esquema en la ventana principal de KeePass (conexión SSH).
- cmd:// – El comando se ejecuta en la línea de comandos de Windows en segundo plano.
- «{APPDIR}putty.exe» – Ruta completa del archivo putty.exe a ejecutar (siempre entre comillas ya que la ruta puede contener espacios). La variable {APPDIR} sustituye aquí a la ruta.
- -ssh {USERNAME}@{URL:RMVSCM} – Cadena para establecer una conexión SSH con transferencia del nombre de usuario @ ruta SSH completa : entrada no visible en el esquema – {URL:SCM} = entrada visible en el esquema
- -pw {PASSWORD} – transferencia de la contraseña cifrada
También puede utilizarlo para ejecutar sus propios programas definidos por el usuario, siempre que estos programas también acepten argumentos de línea de comandos. Posteriormente podrá ejecutar comandos adicionales con las entradas a través de Auto-Type. Más información sobre AutoUrls.
La pestaña «Avanzado
La pestaña tiene 5 títulos, pero también se explican por sí mismos. Hemos activado la entrada «Guardar automáticamente al cerrar/bloquear la base de datos». De esta manera, después de «Archivo – Salir», todos los cambios se guardan automáticamente sin preguntar de nuevo.
Crear entradas de acceso
En la ventana principal de KeePass en el menú «Editar», selecciona «Añadir entrada» y cambia a la pestaña «Entrada».
En «Título» introduce el nombre de, por ejemplo, un sitio web, en«Nombre deusuario» introduce el nombre de inicio de sesión del sitio. Elimine las contraseñas predeterminadas e introduzca su contraseña de acceso al sitio web. Aquí puedes ignorar la calidad de la contraseña. Para que KeePass vaya directamente a la página de inicio de sesión del proveedor, abre el sitio web de inicio de sesión en el navegador y copia la dirección en KeePass en«URL«. En «Comentarios» puedes dejar una nota o crear una fecha de caducidad («Válido hasta»), en la pestaña «Avanzado» añade archivos adjuntos (por ejemplo, correo electrónico, CGC, PDF, etc.). A continuación, haz clic en «Aceptar». Repite el proceso con todos tus datos de Internet.
Organizar las rúbricas
Después de «OK» las nuevas entradas son visibles en la ventana principal de KeePass bajo «NewDatabase». Para guardar los cambios en la base de datos, haga clic en «Archivo – Salir». A continuación se le preguntará si desea guardar los cambios. Sólo después de la confirmación se guardarán las nuevas entradas en la base de datos. Nota: Si ha activado la opción«Guardar automáticamente al cerrar/bloquear la base de datos» en las opciones «Avanzadas», como hemos hecho nosotros, los cambios se guardan automáticamente después de «Archivo – Salir».
Ahora tienes varios grupos disponibles en KeePass – Internet, eMail, Homebanking, etc. – y puedes mover la nueva entrada de la sección «NuevaBaseDeDatos» a otra sección usando arrastrar y soltar.
Puede añadir grupos, eliminar grupos o editar grupos haciendo clic en el grupo de la derecha.
Si creas un nuevo grupo, éste quedará subordinado. Simplemente arrastra el grupo recién creado con el ratón y muévelo a la sección «NuevaBaseDeDatos» para que el nuevo grupo ya no esté en la subcarpeta. Ahora puede hacer clic en el nuevo grupo a la derecha y hacer clic en «Reordenar». A continuación, podrá elegir entre «Agrupar al principio», «Agrupar una línea más arriba», «Agrupar una línea más abajo», etc.
Cómo funciona Auto-Type
Una prueba rápida: cierra todas las aplicaciones excepto KeePass. Abre un editor de texto (Bloc de notas, Wordpad), haz clic en una entrada de la ventana principal de KeePass a la derecha y, a continuación, selecciona«Ejecutar Auto-Type» en el menú contextual. ¿Has prestado atención?
KeePass escribió el nombre de usuario {USERNAME} y la contraseña {PASSWORD} en el archivo de texto. KeePass separó los datos con un tabulador {TAB} y completó la transferencia con la tecla [Intro] {ENTRAR}. Auto-Type funciona de la misma manera para los campos de inicio de sesión en su navegador – {USERNAME}{TAB}{PASSWORD}{ENTER}
Iniciar sesión correctamente con Auto-Type
La herramienta puede llamar a la página de inicio de sesión de un servicio web directamente desde la entrada de la base de datos. La función Auto-Type puede insertar automáticamente el nombre de usuario y la contraseña en una ventana de inicio de sesión y reconoce de la ventana de inicio de sesión abierta qué datos de acceso deben tomarse de la base de datos. Auto-Type también reconoce el botón de inicio de sesión.
Para una mejor visualización, haga clic en la entrada «Mostrar vista de entrada» del menú «Ver» para que aparezca una marca, y de nuevo en la entrada «Disposición de la ventana» del menú «Ver». Seleccione «Una encima de la otra» o «Una al lado de la otra», según prefiera.
Si has seleccionado «Uno al lado del otro», verás información sobre el grupo, título, nombre de usuario, contraseña, URL, fecha de creación y fecha de modificación en el área inferior de la ventana de KeePass. En la ventana principal de KeePass, selecciona la entrada con la que quieres iniciar sesión. Haz clic en esta entrada a la derecha y en «URL» haz clic en «Abrir» o «Abrir con» tu navegador, se abrirá la página de inicio de sesión. Si has configurado la vista de las entradas como «una encima de otra» o «una al lado de la otra» para verlas mejor, también puedes abrir la página de inicio de sesión desde ahí. Si vuelves a hacer clic con el botón derecho del ratón en la entrada y esta vez vas a«Ejecutar escritura automática«, podrás ver cómo KeePass inserta el nombre de usuario y la contraseña en los campos de entrada e inicia sesión.
Pero si la ventana de inicio de sesión en el sitio web tiene algunas casillas de verificación o campos similares en medio que tienes que «saltar» para llegar al botón de inicio de sesión, puedes elegir una secuencia diferente para esa entrada de contraseña. Como ya sabemos, la predeterminada es {USERNAME}{TAB}{PASSWORD}{ENTER}, que no debe cambiarse porque la entrada afecta a todas las demás.
En la pestaña Auto-Type de la entrada de contraseña problemática, haz clic en «Añadir» y marca«Usar secuencia de teclas personalizada«. Añade las TABs.
Ejemplos: {USERNAME}{TAB}{PASSWORD}{TAB}{ENTER} o
{NOMBREDEUSUARIO}{TAB}{CONTRASEÑA}{TAB}{ENTRAR}
Simplemente haga clic en el campo después de {PASSWORD} y escriba {TAB} sin una línea en blanco o barra espaciadora, luego haga clic en el botón «OK».
Cada {TAB} corresponde a un campo de entrada de la página web que debe omitirse. También puede ir después de {USERNAME}.
Ofuscación automática de dos canales
En la pestaña Auto-Type, hay otra opción interesante:«Two-channel Auto-Type obfuscation» para una protección aún mayor.
El propósito de esta opción es confundir a los keyloggers posiblemente instalados. KeePass no copia la contraseña en texto plano en la caché para luego pegarla en el campo de contraseña, sino que simula una pulsación de tecla [Ctrl]+[c] para luego enviar una [Ctrl]+[v] al campo de contraseña. Además, guarda varios saltos de ida y vuelta mediante las teclas de dirección para causar más confusión. El posible keylogger sólo puede registrar estos comandos [Ctrl] y, por tanto, no ver la contraseña en texto plano. Tienes que activar esta opción para cada entrada de contraseña individualmente. El mensaje de advertencia que aparece cada vez que se hace clic en la opción se puede confirmar con seguridad. La opción sólo funciona con campos de inicio de sesión sencillos, como los que se utilizan en los navegadores.
Comandos Auto-Type
En la pestaña Auto-Type de la entrada de contraseña, botón «Añadir», puede ver y editar la secuencia de teclado exacta. Hay campos estándar como {Title}, {UserName}, {Password}, {URL} y {Notes}.
Si hace clic en {Título}, se visualiza primero el «Título» en lugar de la URL y se comprueba, por ejemplo, si el título en el navegador web coincide con el {Título} introducido – por ejemplo {google}. Esta función ayuda si tienes dos direcciones de correo electrónico en el mismo portal de correo electrónico. Siempre que KeePass se esté ejecutando en segundo plano, si tienes más de una cuenta de Google, aparecerá una ventana de selección en la página de inicio de sesión cuando hagas [Ctrl]+[Alt]+[a]. La combinación de teclas se almacena en las opciones de la base de datos, pestaña «Integración». Por supuesto, ambas cuentas de Google deben estar creadas en KeePass.
Además, hay teclas especiales como {TAB} y {ENTER} o marcadores de posición como {GROUP}, {URL:SCM} o {DELAY 1000} (espera un segundo), algunas de las cuales te resultarán familiares. El botón «URL scheme overrides» también contiene estos parámetros.
Inicio de programas con solicitud de contraseña
También existe la posibilidad de iniciar un programa en lugar de una URL, si se juntan aquí los parámetros adecuados. Como se mencionó anteriormente, el comando:
cmd://PuTTY.exe -ssh {USERNAME}@{URL:RMVSCM}
También puede establecer una conexión de escritorio remoto:
cmd://mstsc.exe /v:192.168.1.211 /w:1280 /h:1024
Ventana de tipo automático: 192.168.1.211 – Escritorio remoto*.
La función Auto-Type también puede utilizarse para automatizar el acceso a una unidad cifrada.
Seleccione la unidad que requiere una contraseña. Ir a KeePass y crear una entrada, abra la ficha Auto-Type y haga clic en «Añadir».
En la «Ventana de destino», seleccione la unidad y marque«Seleccionar secuencia de claves personalizada«. Elimine {USERNAME} y {TAB} si SOLO se le pide la contraseña. Si se le pide el nombre de usuario Y la contraseña para la unidad cifrada, elimine SÓLO {TAB}.
La función Auto-Type es muy completa, al igual que el botón URL Schema Overrides. Para más información, consulte Función Auto-Type (Auto-Type-Window).
Generador de contraseñas
En la ventana principal de KeePass, en el menú Herramientas, encontrarás el Generador de contraseñas (Generar contraseña, Generar lista de contraseñas) para ayudarte a crear una nueva contraseña.
En «Configuración» puedes elegir en Perfil que las nuevas contraseñas generadas se apliquen a las nuevas entradas. Aquí puedes establecer la longitud y complejidad de la nueva contraseña o dejarla como está. Una contraseña segura debe ser lo más larga posible (al menos 20 caracteres) y estar formada por un conjunto de caracteres (letras mayúsculas y minúsculas, números). Puedes aumentar la aleatoriedad de la cadena de contraseñas generando datos aleatorios adicionales. Para ello, activa la opción «Recoger entropía adicional».
Después de «OK» la contraseña ya está en la ventana principal de KeePass para la próxima nueva entrada.
Esto es práctico si usted tiene que registrarse en una nueva plataforma. A continuación, sólo necesita un nombre de usuario allí – usted ya tiene la contraseña.
También se pueden generar entradas de contraseña individuales, por ejemplo, si la contraseña ha caducado.
El sistema de activación
El sistema facilita los flujos de trabajo, por ejemplo, puede iniciar siempre la sincronización o la exportación al guardar la base de datos.
Ejemplo: Cada vez que se sale de KeePass y se guarda la base de datos, se debe crear un archivo de exportación actualizado de la base de datos.
El sistema de activación se encuentra en la ventana principal de KeePass en el menú Herramientas. Hay que marcar la opción «Sistema de activación activado». Haga clic en «Añadir», aparece la primera pestaña «Propiedades» de cuatro. En «Nombre», introduzca el evento, las dos opciones «Activado» e «Inicialmente encendido» ya deben incluir las marcas.
Cambie a la pestaña «Eventos» y haga clic en «Añadir». En «Evento» seleccione«Archivo de base de datos guardado«.
Campo Archivo/URL – Comparación = Es igual (set)
Campo Archivo/URL – Filtro = dejar vacío
[OK]
Puede omitir la pestaña «Condiciones» y pasar a la pestaña «Acciones».
Allí haga clic en «Añadir» y seleccione en «Acción» –«Exportar base de datos activa«.
En el campo Archivo/URL, debe introducir la ruta donde se almacenará el archivo de exportación. Cree previamente una carpeta, por ejemplo Exportar en C: – copie el «NeueDatenbank.kdbx» en esta carpeta.
En el campo Formato de archivo, escribe KeePass KDBX (2.x).
[OK] – [Finalizar] – [OK]
Puedes leer lo que significan cada uno de los eventos en «Activadores».
Recuperación de la base de datos KeePass a través de Internet
Aunque se hace referencia al almacén de contraseñas como una «base de datos», esto no es cierto. Las bases de datos tienen un servidor con acceso de escritura, permisos y derechos para leer/modificar registros. Ahora no vemos esto de forma tan limitada.
Si tienes tu propia página de inicio o servidor, puedes subir la base de datos kdbx y acceder a ella desde allí. Luego abre KeePass, selecciona Archivo – Abrir – «Abrir URL». En el primer campo «URL», introduce la dirección completa de tu página de inicio o servidor FTP incluyendo la ruta del directorio y el nombre del archivo KDBX.
Introduzca el usuario y la contraseña y confirme con «OK». Por último, introduce tu clave maestra en la ventana «Introducir clave maestra». Se abrirá la base de datos de acceso KeePass.
Alternativa
Sincronizaciones adicionales son posibles con plugins como KeeCloud o KeePassSync (bajo «Backup & Synchronisation & IO») para Amazon S3, Dropbox, DigitalBucket.
Si tienes Dropbox, puedes simplemente poner la base de datos en la carpeta de Dropbox con una contraseña suficiente y luego iniciarla en Android o iOs, por ejemplo, desde la carpeta de Dropbox con programas adecuados. Debe conocer la contraseña principal.
El complemento de navegador FireFTP transfiere su archivo KDBX a un directorio de su servidor FTP.
Sobre el tema *Impresión
Hay 2 opciones para la impresora en las opciones de KeePass en la pestaña de políticas:
«Permitir la impresión de listas de entrada» y«No requerir laentradade la clave maestra actual antes de imprimir«.
En la ventana principal de KeePass a través de «Archivo – Imprimir» puedes hacer que se impriman TODAS las entradas con clave sin clave maestra. Ya en la vista previa se muestra todo y en la pestaña «Diseño» puedes seguir eligiendo si imprimir en modo tabular o detallado. Por defecto, la «Contraseña» está activada, la «URL» no contiene ninguna marca – aunque pensamos que, en todo caso, la «URL» debería recibir una marca y no la «Contraseña». No debería permitirse hacerlo todo, aunque esté trabajando solo en la base de datos, por precaución.
Fuente de la imagen: KeePass