¿Usas un gestor de contraseñas? ¿No? Pues muy mal. En el Internet actual las contraseñas son una cruz con la que hay que cargar y hasta que algo cambie, los gestores de contraseñas son la mejor herramienta para hacer lo que su nombre indica y alguna cosas más, como rellenar formularios o almacenar texto cifrado. Y de todos, LastPass es el más popular.

Hoy, sin embargo, hablamos de bitwarden, un clon Open Source de LastPass de reciente lanzamiento que te puede interesar conocer. Al igual que LastPass, bitwarden funciona como servicio en la nube radicado en Estados Unidos mediante aplicaciones para móviles (Android, iOS) y extensiones para los principales navegadores web (Firefox, Chrome, Opera, Edge), con el aliciente de cifrar su base de datos con una frase maestra que solo conoce el usuario y que, en teoría, nunca se transmite al servidor.

Dejando otros detalles a un lado, la gran diferencia entre bitwarden y LastPass es que el primero se basa prácticamente por entero en software Open Source, del almacenamiento en los clientes móviles a las extensiones para navegadores web, la página web, desde donde también se puede acceder a las contraseñas, y las API que utiliza. Este es un plus innegable, pues el código abierto siempre aporta una mayor seguridad y transparencia. Más información en GitHub.

Con respecto a su seguridad, bitwarden cifra la base de datos con AES-256 con hash salteado y PBKDF2 SHA-256; y en cuanto a la infraestructura de servidor, recae en Microsoft Azure, por lo que, insiste el desarrollador de bitwarden, los mejores expertos están al cargo del asunto. En este punto es importante leer con detenimiento la página de ayuda, donde además de ofrecer guías de inicio (para importar las contraseñas desde LastPass, Chrome o 1Password) hay una pequeña FAQ que responderá a las preguntas que te estás haciendo ahora mismo.

Por ejemplo, ¿qué pasa si bitwarden recibe un ataque? ¿Están tus contraseñas a salvo? Este tema, desafortundamente, es intrincado y merece una reflexión que no cabe en esta entrada, así que me tengo que conformar con recordar aquello de que, conectado a Internet, no puedes dar nada por seguro. Advierto también que no he probado bitwarden, así que actúa bajo tu propia responsabilidad. Pero no temas, es un proyecto fidedigno y bastante atractivo de asentarse.

A modo de curiosidad, bitwarden intentó financiarse en Kickstarter, pero no lo consiguió. Aun así, continúa.

Por cierto, la referencia constante ha sido LastPass por razones evidentes, pero, en esencia, gestor de contraseñas en la nube abierto ya está Encryptr (también Enpass, muy completo, pero no es Open Source). Y para quienes siguen sin querer saber nada de la nube, la trinidad gnulinuxera de la gestión de contraseñas se mantiene inmutable y bien actualizada.