Las personas que usan administradores de contraseñas en línea tienen mucho que ver con la integridad de la aplicación. ¿Cuáles son las posibilidades de que otros tengan acceso a las contraseñas almacenadas?
Los delincuentes digitales están tan preocupados por el retorno de la inversión (ROI) como cualquier gran empresa. Es por eso que atacan a los centros de procesamiento de tarjetas de crédito en lugar de recopilar la información de la cuenta de una tarjeta de crédito a la vez. También es la razón por la que están más interesados en descifrar a los administradores de contraseñas en línea en lugar de robar contraseñas individuales.
Recientemente, ha llegado a nuestra atención que alguien más (el gobierno de los EE.UU.) parece estar interesado en las contraseñas, lo que hace que las personas que utilizan los administradores de contraseñas en línea hagan una pregunta importante, ¿quién, aparte de la persona que posee la cuenta del administrador de contraseñas, conoce la contraseña maestra? O, lo que es más importante, ¿es posible que alguien que no sea el propietario de la cuenta acceda a las contraseñas almacenadas en los administradores de contraseñas en línea?
Cómo descifrar los administradores de contraseñas
Para ser honesto, me he preguntado lo mismo: ¿qué tan difícil es conseguir las contraseñas protegidas por una de estas aplicaciones? Para averiguarlo, hablé con Jacob Williams, un científico forense y probador de penetración. Si alguien puede entrar en un administrador de contraseñas, Jake puede.
Le pregunté específicamente a Jake sobre las contraseñas de maestro y sincronización, ya que la obtención de estas contraseñas parece ser la forma más sencilla (recordar el retorno de la inversión del tipo malo) de descifrar las aplicaciones:
«Incluso si las contraseñas están encriptadas en reposo, deben usar encriptación reversible. Esto significa que un hacker con acceso a la máquina de la víctima podría potencialmente robar la base de datos/archivos de copia de seguridad, e irse con las contraseñas. Por supuesto, con una contraseña maestra, eso es menos problemático
.
«La sincronización es otra cosa completamente distinta. Miré algunas preguntas frecuentes y no vi ninguna garantía de que las contraseñas sincronizadas estén encriptadas. Sin embargo, apuesto a que sólo sincronizan la copia de la base de datos de contraseñas encriptadas en cada máquina. Parece que la contraseña maestra es la clave utilizada para encriptar los datos. En ese sentido, es bueno para ellos. Eso es lo que deberían hacer».
Suena como si hubiera una forma de entrar para los chicos malos, aunque difícil.
Qué es legal
También me preguntaba qué es lo que pueden solicitar legalmente las agencias gubernamentales. Para averiguarlo, le pedí a Tyler Pitchford, mi amigo abogado, su opinión. Esto es lo que él tenía que decir:
«El concepto general es el mismo que el clásico debate de cerradura/llave. Si la contraseña de acceso está escrita, pueden solicitar una copia, si la contraseña de acceso está en su mente, necesitan una excepción a la Quinta Enmienda tal como la doctrina de la conclusión perdida.
«En cuanto a los programas de gestión de contraseñas, suponiendo que haya una causa probable o un derecho de citación, el gobierno puede solicitar la base de datos de contraseñas e intentar romperla; o como se mencionó anteriormente, solicitar una copia física de la contraseña, si existe, o forzar su divulgación si tienen a mano una excepción.
«Si la base de datos de contraseñas se almacena en un servidor remoto, es probable que se pueda citar y si los usuarios emplean un cifrado débil o almacenan el master, puede que no tengan suerte.»
Lo que dicen los desarrolladores
Con los aspectos de «allanamiento de morada y legales» bajo control, es hora de ver lo que los desarrolladores tienen que decir sobre sus productos. En lugar de que cada vendedor ensalce las virtudes de su tecnología, parecía mejor preguntar a cada uno de ellos lo que piensan los usuarios: «Si el gobierno te ordena que entregues las contraseñas de alguien, ¿es posible?
Agilebits
El primero es Agilebits, con 1Password como versión de su gestor de contraseñas en línea. Le pregunté a Jeff Goldberg, jefe de defensa de Agilebits contra las artes oscuras (gran título) «La pregunta». Su respuesta:
«Nunca tenemos la oportunidad de ver ni sus datos ni su contraseña maestra. De hecho, ni siquiera tenemos la oportunidad de ver cómo o si usas 1Password. Así que la respuesta corta a su pregunta es, no, no es posible para nosotros obtener su base de datos de contraseñas, ni es posible para nosotros descifrarla incluso si logramos obtenerla.
”
LastPass
El siguiente paso es LastPass, un popular gestor de contraseñas en línea. Erin Styles, Vicepresidenta de Marketing respondió «La Pregunta», e incluyó un comentario de Joe Siegrist, CEO de LastPass:
«En palabras de Joe:’No podemos darles lo que no tenemos'». Por lo tanto, para responder a su pregunta, no hay nada que podamos hacer para obtener las contraseñas de alguien. Si el gobierno nos lo ordenara, entregaríamos un montón de datos encriptados que podrían intentar usar la fuerza bruta. Como todo el mundo sabe, con una contraseña maestra fuerte, la fuerza bruta sería virtualmente imposible».
mSeven
Pasando a mSeven, mSecure es el gestor de contraseñas de la empresa. Ray Marshall, CEO y presidente de mSeven respondió a «La Pregunta» de esta manera:
«Es una gran pregunta. No tenemos acceso a ninguno de los datos de nuestros usuarios, y no podemos descifrarlos incluso si lo tuviéramos, ya que no tenemos su contraseña. mSecure almacena todos los datos localmente y los cifra con la contraseña del usuario. Para disgusto de los usuarios, si olvidan su contraseña de mSecure, ni siquiera nosotros podemos recuperarla».
Sistemas Siber
El último es Siber Systems con su gestor de contraseñas – Roboform. Vadim Maslov, CEO y fundador de Siber Systems, respondió «La Pregunta»:
«Realmente no podemos abrir la contraseña de los usuarios (base de datos de contraseñas) sin conocer la contraseña maestra. Además, RoboForm no tiene puertas traseras. Si utiliza contraseñas maestras largas y aleatorias, sus contraseñas serán difíciles de descifrar (computacionalmente. No significa que la NSA no pueda hacerlo, ya que hemos oído que puede que le arrojen mucha potencia computacional».
Ese último comentario me llamó la atención, después de haber leído este artículo de Wired que cita al Director de Inteligencia Nacional James Clapper: «Estamos invirtiendo en capacidades criptoanalíticas revolucionarias para derrotar a la criptografía adversaria y explotar el tráfico de Internet.»
Incluso antes de esto, se ha hablado de un avance sustancial de la NSA en las capacidades criptoanalíticas. Con eso en mente, le hice a Vadim unas cuantas preguntas más.
Kassner: Vadim, ¿alguna agencia del gobierno te contactó?
Maslov: Nunca recibimos ninguna comunicación legal de NSA o FISA o de cualquier otra persona que solicite la divulgación de los datos de los usuarios.
Kassner: ¿Y si el gobierno te ordena que les permitas espiar el intercambio de identificaciones? ¿Funcionará eso?
Maslov: Para responder a su pregunta, no hay que fisgonear en la contraseña maestra, ya que nunca se envía a un servidor. Sólo se envía un hash de la contraseña de RoboForm Everywhere, por lo que se puede espiar en principio. Por otra parte, se envía sólo a través de SSL, por lo que esto tendría que hacerse en algún lugar del servidor. Bueno, incluso Google y Yahoo tuvieron que liberar sales (hashes) de contraseñas a la NSA, si crees a la prensa.
Reflexiones finales
Mientras trabajaba en esta pieza, me di cuenta de que estoy introduciendo más preguntas que dando respuestas. Usar administradores de contraseñas en línea aparentemente significa confiar en el desarrollador de la aplicación, esperando que el retorno de la inversión no sea suficiente para interesar a los malos, y mantenerse fuera de las listas de las agencias gubernamentales.
Hay buenas noticias: Jake, mi experto en allanamiento, ha decidido echar un vistazo a los administradores de contraseñas en línea, así que estad atentos.