Los gestores de contraseñas han hecho más seguro para las pequeñas y medianas empresas (PyMEs) el uso de contraseñas para el control de acceso al eliminar las malas prácticas de gestión de contraseñas. Este hecho no ha pasado desapercibido para los atacantes, que se han dirigido activamente a los gestores de contraseñas para comprometer la seguridad.
LastPass ha sido objeto de un intenso escrutinio mediático, lo que hace comprensible el diálogo más amplio sobre los gestores de contraseñas. Evaluar alternativas es una diligencia debida, porque las contraseñas son vitales para el control de acceso y las PyMEs depositan una confianza significativa en las soluciones de seguridad. Este artículo describe las diferencias entre JumpCloud Password Manager y LastPass. También examina cómo el enfoque holístico de JumpCloud para el control de acceso no sólo protege las contraseñas, sino que también lo extiende a las identidades y a la confidencialidad, integridad y garantía de los activos de TI.
JumpCloud gestiona el acceso y las identidades
LastPass y JumpCloud son soluciones fundamentalmente diferentes. JumpCloud es una plataforma de directorio abierto que unifica las capacidades de gestión de identidad, acceso y dispositivos, independientemente del método de autenticación subyacente o del ecosistema de dispositivos. JumpCloud autentica a los usuarios tanto si utilizan biometría, certificados digitales, contraseñas o claves SSH.
La plataforma trata las identidades como el nuevo perímetro, y la gestión de contraseñas es uno de sus elementos. El Secure, Frictionless Access™ resulta fundamental para las organizaciones de TI, y por eso JumpCloud garantiza que cada recurso cuente con la mejor manera de conectarse a él. Por ejemplo:
- Los servidores utilizan claves SSH, que son más seguras que las contraseñas.
- Los certificados sin contraseña pueden proteger el acceso WiFi RADIUS
- Las aplicaciones web utilizan SAML y OIDC para la autenticación
- Reglas de acceso condicional para la gestión de accesos privilegiados
JumpCloud Password Manager es un complemento integrado en la plataforma que añade seguridad y comodidad adicionales en torno a las contraseñas. El potencial de reutilización de contraseñas o contraseñas débiles sigue siendo un riesgo para la seguridad de las organizaciones de cualquier tamaño. La arquitectura del Gestor de Contraseñas está descentralizada, lo que supone un cambio con respecto a otros gestores de contraseñas. Es una diferencia significativa.
¿Por qué? Porque no se basa en contraseñas maestras que normalmente se consideran un punto débil de las soluciones de gestión de contraseñas basadas en la cloud. Las bóvedas de los clientes se almacenan localmente, y se sincronizan de forma encriptada de extremo a extremo a través de los servidores de JumpCloud. Este enfoque es diferente de cómo funcionan las soluciones de gestión de contraseñas basadas en la cloud, incluyendo LastPass.
LastPass se centra principalmente en la gestión de contraseñas
LastPass es una bóveda para proteger las contraseñas que utiliza para todos sus dispositivos y aplicaciones Web. La función esencial de LastPass es generar y guardar contraseñas. LastPass genera contraseñas mucho más seguras que las que tendría que recordar de otro modo. Las ediciones para equipos y empresas de LastPass se centran en:
- Eliminar la reutilización de contraseñas
- Gestión centralizada de contraseñas
- Proporcionar una cámara acorazada para compartir notas
- Compartir credenciales dentro de la organización a través de grupos
Arquitectura basada en la cloud de LastPass
Los gestores de contraseñas basados en la cloud almacenan las credenciales de inicio de sesión en un repositorio en línea, al que se puede acceder desde cualquier dispositivo con conexión a Internet. Los usuarios pueden acceder a su gestor de contraseñas mediante un navegador web o una aplicación dedicada, y pueden utilizarlo para almacenar y gestionar sus credenciales de inicio de sesión para sus cuentas en línea. Normalmente se requiere una contraseña maestra para administrar la cuenta del gestor de contraseñas. Los usuarios son responsables de crear y gestionar estas contraseñas maestras, lo que puede convertirse en un motivo de preocupación para la ciberseguridad.
Las contraseñas maestras débiles y reutilizadas pueden adivinarse fácilmente, lo que pondría en peligro el almacén de contraseñas de las empresas. La suplantación de identidad de los usuarios finales es otro motivo de preocupación, ya que permite a los piratas informáticos acceder potencialmente al almacén de contraseñas de las empresas, incluso cuando los usuarios utilizan contraseñas seguras y únicas. Esto es muy preocupante, ya que los ataques de phishing siguen aumentando.
El compromiso de la infraestructura de almacenamiento en la cloud de los proveedores de gestión de contraseñas (como se ha publicado en las noticias) puede llevar a que personas malintencionadas descarguen toda la base de datos de los almacenes cifrados de los clientes, lo que da a los hackers una cantidad infinita de tiempo para intentar acceder a los almacenes de los clientes forzando las contraseñas maestras de los usuarios finales (el diseño de arquitecturas híbridas, que se detalla más adelante, reduce significativamente el riesgo de este tipo de compromiso). Es importante señalar que, en este caso, 2FA no ayuda a proteger los depósitos de los clientes.
Pros:
- Cómodas funciones para el usuario final
- Disponible en varios sistemas operativos
- Ofrece funciones empresariales como controles de administración y registros centralizados.
- Posibilidad de compartir contraseñas entre usuarios
Contras:
- La seguridad depende de que los usuarios creen, gestionen y recuerden contraseñas maestras seguras.
- La seguridad depende de que los usuarios finales intenten evitar los ataques de phishing, contra los que es muy difícil protegerse.
- El compromiso de los proveedores de servicios de gestión de contraseñas puede conducir a la filtración masiva de los archivos cifrados de los clientes.
- LastPass no tiene la capacidad de gestionar identidades ampliamente disponibles. Las integraciones con directorios de terceros y LDAP, así como los informes, solo están disponibles con la edición para empresas.
¿Busca una alternativa a LastPass? Pruebe JumpCloud Password Manager gratis.
Arquitectura descentralizada de JumpCloud
La arquitectura de almacenamiento descentralizada de JumpCloud Password Manager elimina la necesidad de que los usuarios creen, gestionen y recuerden contraseñas maestras. Con JumpCloud Password Manager, las contraseñas se almacenan localmente en los dispositivos de los usuarios y se sincronizan sin problemas de forma cifrada de extremo a extremo entre diferentes dispositivos.
Este enfoque es un híbrido entre una solución de gestión de contraseñas offline y una solución de gestión de contraseñas basada en la cloud. Permite a las organizaciones beneficiarse del mismo nivel de comodidad que proporcionan las soluciones basadas en la cloud y ofrece funciones empresariales sin almacenar bóvedas en la cloud. Tampoco depende de las contraseñas maestras generadas por los usuarios.
Pros:
- Las mismas funciones prácticas y multiplataforma
- Posibilidad de acceder a la cámara acorazada local mediante datos biométricos o un PIN.
- Sin contraseña maestra
- Almacenamiento local de credenciales
- Aplicaciones disponibles en las principales plataformas
- Controles de administración centralizados y visibilidad de la cámara acorazada
- Compartir contraseñas entre usuarios y equipos
- La capacidad de trabajar de forma independiente o integrarse con el servicio de directorio abierto de JumpCloud sin tener que adquirir una SKU premium.
Contras:
- Posibilidad de pérdida de datos en caso de que se pierdan los dispositivos del usuario y no se mantengan correctamente las copias de seguridad generadas automáticamente.
Eligiendo un gestor de contraseñas
Así que, ahora que hemos determinado que los gestores de contraseñas son una parte crítica e importante de una arquitectura general para proporcionar acceso, ¿cómo elegir el adecuado? Este gráfico describe las diferencias importantes entre la arquitectura basada en la cloud de LastPass y la solución descentralizada de JumpCloud Password Manager.
Característica | LastPass | JumpCloud Password Manager |
Almacenamiento de contraseñas | La cloud | Sincronización local y automática cifrada de extremo a extremo en varios dispositivos. |
Método de cifrado | Contraseñas maestras gestionadas por el usuario | Sin contraseñas maestras |
Controles de administración centralizados | Sí | Sí |
Visibilidad administrativa centralizada | Sí | Sí |
Capacidad multi-inquilino | Limitado | Sí |
Integración nativa con Cloud Directory, Single Sign-on (SSO) y MFA | No | Sí, JumpCloud Password Manager forma parte de la plataforma JumpCloud Open Directory y permite a los administradores de TI gestionar de forma centralizada el acceso a través de diferentes tipos de métodos de autenticación. |
Proteja sus identidades con JumpCloud
Los gestores de contraseñas desempeñan un papel importante, pero sólo resuelven una parte del problema de controlar el acceso de forma segura. No todas las soluciones funcionan de la misma manera y las contraseñas maestras pueden ser un punto débil de la seguridad. Los gestores de contraseñas puntuales no suelen gestionar el acceso a través de todos los métodos de autenticación. Una plataforma de directorio es necesaria para el “SSO a todo”, pero no todos los servicios de directorio proporcionan una gestión unificada de identidades, accesos y dispositivos.
Puede iniciar una prueba gratuita de la plataforma de directorio abierto JumpCloud en cualquier momento. JumpCloud for MSPs extiende su acceso sin fisuras a los recursos a sus clientes. JumpCloud Password Manager puede utilizarse como solución independiente o con la plataforma JumpCloud completa, lo que hace posible que las PyMEs adopten más de JumpCloud cuando estén preparadas.