Hoy necesitas recordar muchas contraseñas. Necesita una contraseña para iniciar sesión en la red Windows , su cuenta de correo electrónico, la contraseña FTP de su sitio web, contraseñas en línea (como la cuenta de miembro del sitio web), etc. etc. etc. La lista es interminable. Además, debes utilizar contraseñas diferentes para cada cuenta. Porque si usas solo una contraseña en todas partes y alguien obtiene esta contraseña, tienes un problema... Un problema grave. El ladrón tendría acceso a su cuenta de correo electrónico, sitio web, etc. No imaginable.

KeePass es un administrador de contraseñas que le ayuda a administrar sus contraseñas de forma segura. Puede colocar todas sus contraseñas en una base de datos, que está bloqueada con una clave maestra o un archivo de clave. Así que sólo tienes que recordar una única contraseña maestra o seleccionar el archivo clave para desbloquear toda la base de datos. Las bases de datos se cifran utilizando los mejores y más seguros algoritmos de cifrado conocidos actualmente (AES y Twofish). Para más información.

Fuerte seguridad

• KeePass admite el Estándar de cifrado avanzado (AES, Rijndael) y el algoritmo Twofish para cifrar sus bases de datos de contraseñas. Ambos cifrados se consideran muy seguros. AES, por ejemplo, entró en vigor como estándar del gobierno federal de EE. UU. y está aprobado por la Agencia de Seguridad Nacional (NSA) para información ultrasecreta.

• Se cifra toda la base de datos, no sólo los campos de contraseña. Entonces, sus nombres de usuario, notas, etc. también están cifrados.

• SHA-256 se utiliza como hash de contraseña. SHA-256 es una función hash unidireccional criptográficamente segura de 256 bits. Su contraseña maestra se codifica mediante este algoritmo y su salida se utiliza como clave para los algoritmos de cifrado.

• A diferencia de muchos otros algoritmos hash, todavía no se conocen ataques contra SHA-256.

• Protección contra ataques de diccionario y de adivinanzas: al transformar la clave maestra final con mucha frecuencia, los ataques de diccionario y de adivinanzas pueden volverse más difíciles.

• Protección de contraseñas en memoria: sus contraseñas se cifran mientras KeePass se está ejecutando, por lo que incluso cuando el sistema operativo almacena en caché el proceso de KeePass en el disco, esto no revelará sus contraseñas de todos modos.

• Flujos en memoria protegidos: al cargar el formato XML interno, las contraseñas se cifran mediante una clave de sesión.

• Controles de edición de contraseñas de seguridad mejorada: KeePass es el primer administrador de contraseñas que presenta controles de edición de contraseñas de seguridad mejorada. Ninguno de los espías de control de edición de contraseñas disponibles funciona contra estos controles. Las contraseñas ingresadas en esos controles ni siquiera son visibles en la memoria de proceso de KeePass.

• El cuadro de diálogo de clave maestra se puede mostrar en un escritorio seguro, en el que casi ningún registrador de teclas funciona. Auto-Type también puede protegerse contra keyloggers.

Cifrado de base de datos

Los archivos de la base de datos KeePass están cifrados. KeePass cifra la base de datos completa, es decir, no sólo sus contraseñas. Los nombres de usuario, notas, etc. también están cifrados.

Las bases de datos se cifran utilizando uno de los siguientes cifrados de bloque:

Cifrar	Tamaño de bloque	Tamaño clave
Estándar de cifrado avanzado (AES/Rijndael)	128 bits	256 bits
dos peces	128 bits	256 bits

Estos algoritmos son bien conocidos, analizados exhaustivamente y considerados muy seguros. AES, por ejemplo, entró en vigor como estándar del gobierno federal de EE. UU. y está aprobado por la Agencia de Seguridad Nacional (NSA) para información ultrasecreta.

Los cifrados en bloque se utilizan en el modo de cifrado en bloque CBC (encadenamiento de bloques de cifrado). En el modo CBC, los patrones de texto plano están ocultos.

Para ambos algoritmos, se genera aleatoriamente un vector de inicialización (IV) de 128 bits cada vez que se guarda la base de datos. Esto permite cifrar varias bases de datos utilizando la misma clave sin que se revelen patrones observables.

Hash y derivación de claves

Para generar la clave de 256 bits para los cifrados de bloque, se utiliza el algoritmo Hash seguro SHA-256. Este algoritmo comprime la clave de usuario proporcionada por el usuario (que consta de una contraseña y/o un archivo de clave) en una clave de tamaño fijo de 256 bits. Esta transformación es unidireccional, es decir, computacionalmente no es factible invertir la función hash o encontrar un segundo mensaje que se comprima en el mismo hash.

Derivación clave:

Si solo se usa una contraseña (es decir, no hay un archivo de clave), la contraseña más un salt aleatorio de 128 bits se procesan usando SHA-256 para formar la clave final (pero tenga en cuenta que hay algo de preprocesamiento: Protección contra ataques de diccionario). La sal aleatoria previene ataques que se basan en hashes precalculados.

Cuando se utiliza tanto la contraseña como el archivo de clave, la clave final se deriva de la siguiente manera: SHA-256(SHA-256(contraseña), contenido del archivo de clave), es decir, el hash de la contraseña maestra se concatena con los bytes del archivo de clave y la cadena de bytes resultante se vuelve a aplicar hash con SHA-256. Si el archivo de clave no contiene exactamente 32 bytes (256 bits), también se procesan con SHA-256 para formar una clave de 256 bits. La fórmula anterior cambia a: SHA-256(SHA-256(contraseña), SHA-256(contenido del archivo clave)).

Generación de números aleatorios

KeePass necesita generar varios bytes aleatorios (para el IV, la clave maestra, etc.). Para esto, se utilizan varias fuentes pseudoaleatorias: recuento de ticks actual, contador de rendimiento, fecha/hora del sistema, posición del cursor del mouse, estado de la memoria (memoria virtual libre, etc.), ventana activa, propietario del portapapeles, varios ID de procesos y subprocesos, varios identificadores de ventanas (ventana activa, escritorio, ...), pila de mensajes de ventanas, estado del montón de procesos, información de inicio de procesos y varias estructuras de información del sistema. Además, KeePass utiliza bytes aleatorios proporcionados por el CSP RNG predeterminado del sistema.

Estos datos pseudoaleatorios se recopilan en un grupo aleatorio. Para generar 16 bytes aleatorios, el grupo tiene un hash (SHA-256) con un contador. El contador aumenta después de 16 bytes generados. De esta manera, se pueden producir de manera eficiente tantos bytes aleatorios seguros como sea necesario.

Protección contra ataques de diccionario

KeePass admite protección contra adivinanzas y ataques de diccionario.

Realmente no se pueden prevenir estos ataques: nada impide que un atacante simplemente pruebe todas las claves posibles y observe si la base de datos se descifra. Pero lo que podemos hacer (y KeePass lo hace) es hacerlo más difícil: agregando un factor de trabajo constante a la inicialización de la clave, podemos hacerlos tan difíciles como queramos.

Para generar la clave final de 256 bits que se usa para el cifrado de bloque, KeePass primero codifica la contraseña del usuario usando SHA-256, cifra el resultado N veces usando el algoritmo del Estándar de cifrado avanzado (AES) (llamado rondas de transformación de claves a partir de ahora) y luego vuelve a cifrarlo usando SHA-256. Para AES, se utiliza una clave aleatoria de 256 bits, que se almacena en el archivo de la base de datos. Como las transformaciones AES no son precalculables (la clave es aleatoria), un atacante también debe realizar todos los cifrados; de lo contrario, no podrá intentar ver si la clave actual es correcta.

Un atacante ahora necesita mucho más tiempo para probar una clave. Si sólo puede probar unas pocas claves por segundo, un ataque de diccionario ya no será práctico. N es un factor de trabajo, sólo indirectamente un factor de tiempo. Una supercomputadora puede probar una clave mucho más rápido que una PC estándar, pero de todos modos probar una clave con N rondas de transformación llevará N veces más que probar una clave sin rondas de transformación en la súper computadora.

De forma predeterminada, KeePass establece N en 6000 rondas de cifrado (se refiere a cifrados completos; N no tiene nada que ver con las rondas de cifrado internas de AES). Este número se ha elegido para proporcionar compatibilidad con versiones de dispositivos portátiles (los procesadores de PocketPC son más lentos, por lo que el cálculo de la clave lleva más tiempo).

Si está utilizando KeePass solo en PC, se recomienda encarecidamente aumentar la cantidad de rondas de transformación de claves. Puede cambiar el número en el cuadro de diálogo de opciones de la base de datos. A la derecha del campo de las rondas, encontrarás un botón. Al hacer clic en este botón, KeePass calcula el número de rondas que genera un retraso de 1 segundo. Esperar 1 segundo al abrir la base de datos no es un problema, pero para un atacante, por supuesto que sí lo es. Pero el número se puede establecer libremente en el número que usted elija; El botón sólo debería darle una idea aproximada de cuántas rondas se pueden calcular en 1 segundo en su computadora.

Esta característica de protección sólo es útil para contraseñas maestras; Los archivos clave son aleatorios de todos modos, no es necesario transformar el contenido del archivo clave. Adivinar el contenido del archivo clave es igualmente difícil que un ataque de fuerza bruta a la clave final.

KeePass utiliza subprocesos múltiples para calcular las transformaciones (la clave maestra se divide en dos partes de 128 bits, que es el tamaño del bloque AES). En procesadores de doble/multinúcleo, el cálculo puede ser dos veces más rápido que en un procesador de un solo núcleo.

En Windows Vista y superior, KeePass puede usar la API CNG/BCrypt de Windows para las transformaciones de claves, que es aproximadamente un 50% más rápido que el código de transformación de claves integrado de KeePass.

Protección de la memoria de proceso

Mientras KeePass se está ejecutando, los datos confidenciales (como el hash de la clave maestra y las contraseñas de entrada) se almacenan de forma cifrada en la memoria del proceso. Esto significa que incluso si volcara la memoria del proceso KeePass al disco, no podría encontrar ningún dato confidencial.

Además, KeePass borra toda la memoria crítica para la seguridad cuando ya no es necesaria, es decir, sobrescribe estas áreas de memoria antes de liberarlas (esto se aplica a toda la memoria crítica para la seguridad, no sólo a los campos de contraseña).

KeePass utiliza Windows DPAPI para cifrar en memoria los datos confidenciales. Con DPAPI, la clave para el cifrado en memoria se almacena en un área de memoria segura y no intercambiable administrada por Windows . DPAPI está disponible en Windows 2000 y superior. KeePass siempre usa DPAPI cuando está disponible; de forma predeterminada, el uso de DPAPI está habilitado; si está deshabilitado, KeePass utiliza el algoritmo de cifrado ARC4 con una clave aleatoria; tenga en cuenta que esto es menos seguro que DPAPI, principalmente no porque ARC4 criptográficamente no sea tan fuerte, sino porque la clave para el cifrado en memoria también se almacena en la memoria de proceso intercambiable; De manera similar, KeePass recurre a cifrar la memoria del proceso usando Salsa20, si DPAPI no está disponible). En sistemas tipo Unix, KeePass usa Salsa20, porque Mono no proporciona ningún método eficaz de protección de la memoria.

Para algunas operaciones, KeePass debe hacer que los datos confidenciales estén disponibles sin cifrar en la memoria del proceso. Por ejemplo, para mostrar una contraseña en el control de vista de lista estándar proporcionado por Windows , KeePass debe pasar el contenido de la celda (la contraseña) como una cadena sin cifrar (a menos que esté habilitado ocultar usando asteriscos). Las operaciones que dan como resultado datos no cifrados en la memoria del proceso incluyen, entre otras: mostrar datos (no asteriscos) en controles estándar, buscar datos, reemplazar marcadores de posición (durante la escritura automática, arrastrar y soltar, copiar al portapapeles,...) y calcular estimaciones de calidad de contraseñas.

Ingrese la clave maestra en Secure Desktop (protección contra keyloggers)

Nota: KeePass fue uno de los primeros (tal vez incluso el primero) administrador de contraseñas que permite ingresar la clave maestra en un escritorio diferente/seguro.

KeePass tiene una opción (en 'Herramientas' -> 'Opciones' -> pestaña 'Seguridad') para mostrar el cuadro de diálogo de la clave maestra en un escritorio diferente/seguro (compatible con Windows = 2000), similar al Control de cuentas de usuario (UAC) Windows . Casi ningún registrador de teclas funciona en un escritorio seguro.

La opción está desactivada de forma predeterminada por motivos de compatibilidad.

Bloquear el espacio de trabajo

Al bloquear el espacio de trabajo, KeePass cierra el archivo de la base de datos y solo recuerda su ruta.

Esto proporciona máxima seguridad: desbloquear el espacio de trabajo es tan difícil como abrir el archivo de la base de datos de forma normal. Además, evita la pérdida de datos (la computadora puede fallar mientras KeePass está bloqueado, sin dañar la base de datos).

Ver/Editar archivos adjuntos

KeePass tiene un visor/editor interno para archivos adjuntos.

El visor/editor interno trabaja con los datos de la memoria principal. No extrae ni almacena los datos en el disco.

Al intentar abrir un archivo adjunto que el visor/editor interno no puede manejar (por ejemplo, un archivo PDF), KeePass extrae el archivo adjunto a un archivo temporal (cifrado con EFS) y lo abre usando la aplicación predeterminada asociada con este tipo de archivo. Después de terminar de ver/editar, el usuario puede elegir entre importar o descartar cualquier cambio realizado en el archivo temporal. En cualquier caso, KeePass posteriormente elimina de forma segura el archivo temporal (incluso lo sobrescribe).

Autopruebas

Cada vez que inicia KeePass, el programa realiza una autoprueba rápida para ver si los cifrados de bloque y los algoritmos hash funcionan correctamente y pasan sus vectores de prueba. Si uno de los algoritmos no pasa sus vectores de prueba, KeePass muestra un cuadro de mensaje de excepción de seguridad.

Software espía especializado

Esta sección da respuestas a preguntas como las siguientes:

• ¿Cifrar el archivo de configuración aumentaría la seguridad al evitar cambios por parte de un programa malicioso?

• ¿Cifrar la aplicación (archivo ejecutable, eventualmente junto con el archivo de configuración) aumentaría la seguridad al evitar cambios por parte de un programa malicioso?

• ¿Una opción para evitar que se carguen complementos aumentaría la seguridad?

• ¿Almacenar las opciones de seguridad en la base de datos (para anular la configuración de la instancia de KeePass) aumentaría la seguridad?

• ¿Bloquear la ventana principal de tal manera que sólo se permita el tipo automático aumentaría la seguridad?

La respuesta a todas estas preguntas es: no. Agregar cualquiera de estas funciones no aumentaría la seguridad.

Todas las funciones de seguridad de KeePass protegen contra amenazas genéricas como registradores de pulsaciones de teclas, monitores de portapapeles, monitores de control de contraseñas, etc. (y contra ataques no en tiempo de ejecución a la base de datos, analizadores de volcado de memoria, ...). Sin embargo, en todas las preguntas anteriores asumimos que hay un programa de software espía ejecutándose en el sistema y que está especializado en atacar KeePass.

En esta situación, las mejores funciones de seguridad fallarán. Esta es la ley número 1 de las 10 leyes inmutables de seguridad: "Si un tipo malo puede persuadirte para que ejecutes su programa en tu computadora, ya no es tu computadora".

Por ejemplo, considere el siguiente software espía muy simple especializado para KeePass: una aplicación que espera a que se inicie KeePass, luego oculta la aplicación iniciada e imita al propio KeePass. Todas las interacciones (como ingresar una contraseña para descifrar la configuración, etc.) se pueden simular. La única forma de descubrir este software espía es utilizar un programa que el software espía no conoce o no puede manipular (escritorio seguro); en cualquier caso no puede ser KeePass.

Para proteger su PC, recomendamos utilizar un software antivirus y una herramienta como Heimdal Pro que mantiene actualizado el software crítico para la seguridad y presenta una protección mejorada contra malware. Utilice un firewall adecuado, ejecute únicamente software de fuentes confiables, no abra archivos adjuntos de correo electrónico desconocidos, etc.

Múltiples claves de usuario

• Una contraseña maestra descifra la base de datos completa.

• Alternativamente, puede utilizar archivos clave. Los archivos de claves brindan mayor seguridad que las contraseñas maestras en la mayoría de los casos. Sólo tiene que llevar consigo el archivo de clave, por ejemplo en un disquete, en una memoria USB o grabarlo en un CD. Por supuesto, entonces no deberías perder este disco.

• Para mayor seguridad, puede combinar los dos métodos anteriores: la base de datos requiere el archivo de clave y la contraseña para poder desbloquearse. Incluso si pierde su archivo clave, la base de datos permanecerá segura.

• Además, puede bloquear la base de datos en la cuenta de usuario actual Windows . La base de datos sólo podrá ser abierta por la misma persona que la creó.

Portátil y no requiere instalación, accesibilidad

• KeePass es portátil: se puede llevar en una memoria USB y se ejecuta en sistemas Windows sin necesidad de instalación.

• KeePass no almacena nada en su sistema. El programa no crea ninguna clave de registro nueva y no crea ningún archivo de inicialización (INI) en su directorio Windows . Eliminar el directorio KeePass no deja rastro de KeePass en su sistema.

• KeePass requiere Microsoft-.NET Framework (que se puede descargar de forma gratuita en el sitio web de Microsoft) o Mono. Windows Vista y superiores ya incluyen el marco .NET; para Windows 98 / ME / 2000 / XP necesita instalarlo, si aún no está instalado. Con Mono, KeePass también se ejecuta en Linux, Mac OS X, BSD, etc.

• Accesibilidad: KeePass presenta una opción avanzada que optimiza explícitamente la interfaz de usuario para lectores de pantalla.

Exportar a archivos TXT, HTML, XML y CSV

• La lista de contraseñas se puede exportar a varios formatos como TXT, HTML, XML y CSV.

• La salida XML se puede utilizar fácilmente en otras aplicaciones.

• La salida HTML utiliza hojas de estilos en cascada (CSS) para dar formato a la tabla, de modo que pueda cambiar fácilmente el diseño.

• La salida CSV es totalmente compatible con la mayoría de las otras cajas fuertes de contraseñas como el Guardián de contraseñas comercial de código cerrado y el Agente de contraseñas de código cerrado. Además, los archivos CSV se pueden importar mediante aplicaciones de hojas de cálculo como Excel de Microsoft o Calc de OpenOffice.

• Muchos otros formatos de archivos son compatibles a través de los complementos de KeePass.

Importar desde muchos formatos de archivo

• KeePass utiliza el formato de exportación CSV común de varias cajas fuertes de contraseñas como Password Keeper y Password Agent. Las exportaciones de estos programas se pueden importar fácilmente a sus bases de datos KeePass.

• KeePass puede analizar e importar salidas TXT de CodeWalletPro, una caja fuerte comercial de contraseña de código cerrado.

• KeePass puede importar archivos TXT creados por Password Safe v2 de Bruce Schneier.

• Desde el primer momento, KeePass admite la importación de más de 35 formatos.

• Muchos otros formatos de archivos son compatibles a través de los complementos de KeePass.

Fácil transferencia de bases de datos

• Una base de datos de contraseñas consta de un solo archivo que se puede transferir fácilmente de una computadora a otra.

Soporte de grupos de contraseñas

• Puede crear, modificar y eliminar grupos, en los que se pueden ordenar las contraseñas.

• Los grupos se pueden organizar como un árbol, de modo que un grupo puede tener subgrupos, esos subgrupos pueden tener subgrupos ellos mismos, etc.

Campos de tiempo y archivos adjuntos de entrada

• KeePass admite campos de tiempo: hora de creación, hora de la última modificación, hora del último acceso y hora de vencimiento.

• Puede adjuntar archivos a las entradas de contraseña (útil para almacenar archivos de firma PGP en KeePass, por ejemplo).

• KeePass tiene un potente visor/editor interno para archivos de texto, imágenes y documentos. ¡Ni siquiera necesita exportar archivos adjuntos para verlos/editarlos!

Escritura automática, tecla rápida de escritura automática global y arrastrar y soltar

• KeePass puede minimizarse y escribir la información de la entrada actualmente seleccionada en cuadros de diálogo, formularios web, etc. Por supuesto, la secuencia de escritura es 100% personalizable por el usuario; lea el archivo de documentación para obtener más información.

• KeePass presenta una tecla de acceso rápido global de escritura automática. Cuando KeePass se ejecuta en segundo plano (con la base de datos abierta) y presiona la tecla de acceso rápido, busca la entrada correcta y ejecuta su secuencia de escritura automática.

• Todos los campos, título, nombre de usuario, contraseña, URL y notas se pueden arrastrar y soltar en otras windows .

Manejo intuitivo y seguro del portapapeles Windows

• Simplemente haga doble clic en cualquier campo de la lista de entradas para copiar su valor al portapapeles Windows .

• Borrado cronometrado del portapapeles: KeePass puede borrar el portapapeles automáticamente algún tiempo después de haber copiado una de sus contraseñas en él.

Buscar y ordenar

• Puede buscar entradas específicas en las bases de datos.

• Para ordenar un grupo de contraseñas, simplemente haga clic en uno de los encabezados de columna en la lista de contraseñas; puede ordenar por cualquier columna.

Soporte multilingüe

• KeePass se puede traducir a otros idiomas muy fácilmente.

• ¡Más de 30 idiomas diferentes están disponibles!

Generador de contraseñas aleatorias seguras

• KeePass puede generar contraseñas aleatorias seguras para usted.

• Puede definir los posibles caracteres de salida del generador (número de caracteres y tipo).

• Siembra aleatoria a través de la entrada del usuario: movimiento del ratón y entrada aleatoria del teclado.

Arquitectura de complementos

• Otras personas pueden escribir complementos para KeePass.

• Los complementos pueden ampliar la funcionalidad de KeePass, como proporcionar métodos adicionales de importación/exportación para otros formatos de archivo.