Gestor de contraseñas: Definición e importancia para su seguridad
Se repite constantemente que hay que usar contraseñas diferentes, largas y complejas para cada cuenta en línea. Pero en la realidad, gestionar una multitud de contraseñas diferentes y complejas no es realmente posible. Un gestor de contraseñas está diseñado para resolver este problema almacenando, generando y organizando sus contraseñas de forma segura. En lugar de tener que memorizar cada contraseña, solo necesita recordar una única contraseña. Es la que llamamos «contraseña maestra». Esta permite acceder a todas sus demás contraseñas.
La importancia de un gestor de contraseñas reside principalmente en la seguridad reforzada que ofrece. Al utilizar contraseñas fuertes y únicas para cada cuenta, reduce considerablemente los riesgos de pirateo. Además de eso (¡y eso ya es genial!), un gestor de contraseñas facilita la gestión diaria de sus accesos rellenando automáticamente sus credenciales al conectarse, lo que le ahorra un tiempo valioso y minimiza los errores de escritura.
Por qué elegir Vaultwarden: Ventajas frente a otros gestores
Como habrá adivinado, ¡hoy les voy a presentar Vaultwarden! En realidad, Vaultwarden es un derivado de código abierto de Bitwarden, diseñado para ofrecer una solución autoalojada. Basándose en el código de Bitwarden, Vaultwarden permite a los usuarios controlar plenamente sus datos sensibles sin depender de un servicio de terceros.
Entre los numerosos gestores de contraseñas disponibles en el mercado, Vaultwarden se distingue por una serie de ventajas que lo convierten en la solución perfecta para las personas preocupadas por su seguridad. En primer lugar, Vaultwarden es una solución de código abierto, lo que significa que su código fuente es accesible para todos. Esta transparencia permite que sea auditado por la comunidad, a diferencia de los gestores de contraseñas comerciales cuya calidad del código fuente no siempre se conoce. Esta característica asegura una mejor fiabilidad y una seguridad reforzada, ya que las vulnerabilidades pueden ser identificadas y corregidas más rápidamente.
Otra gran ventaja de Vaultwarden es su capacidad de ser autoalojado. A diferencia de los gestores de contraseñas comerciales que almacenan sus datos en sus propios servidores, Vaultwarden le permite alojar sus contraseñas localmente o en un servidor de su elección. Esto le ofrece un control total sobre sus datos, reduciendo así los riesgos de violación de datos por parte de terceros y aumentando la confidencialidad de su información personal y profesional.
Por último, hay un complemento disponible para Home Assistant, que le permite integrarlo de forma extremadamente sencilla. Gracias a esta compatibilidad, Vaultwarden se convierte en una extensión natural de su sistema domótico.
En cuanto al coste, Vaultwarden se posiciona como una alternativa económica en comparación con soluciones de pago como LastPass o Dashlane. De hecho, ¡Vaultwarden es gratuito! Sé que algunos pensarán «si es gratis, seguramente es peor». Pues bien, no es necesariamente cierto. El mejor ejemplo es LastPass, uno de los gestores líderes mundiales. En 2022 sufrió un pirateo muy importante que expuso las contraseñas cifradas de los usuarios, así como su información personal no cifrada.
Instalación de Vaultwarden con Home Assistant
Antes de nada, sepa que el acceso a Home Assistant con un nombre de dominio es obligatorio para seguir este artículo. Siempre he mostrado Cloudflared, así que es lo que utilizaremos. Para quienes usen Nginx Proxy Manager, será fácilmente adaptable. En cualquier caso, Cloudflared (o Nginx Proxy Manager) ya debe estar configurado.
Para esto, nada más sencillo: hay un complemento para ello.
Diríjase a Ajustes > Complementos > Tienda de complementos, luego en la sección Home Assistant Community Add-ons debería encontrar Vaultwarden (Bitwarden). Haga clic en él y pulse «Instalar».
Antes de ejecutarlo, vaya a su configuración (pestaña Configuración). Aquí vamos a desactivar la opción SSL, ya que será gestionada automáticamente por Cloudflared. Luego, en la sección de red, anote el puerto en el que puede acceder a la interfaz de Vaultwarden, generalmente será el 7277.
Configurar Cloudflared para acceder a Vaultwarden
Para acceder a nuestro gestor de contraseñas, debemos indicar a Cloudflared que utilice un nuevo subdominio que redirigirá hacia nuestro puerto 7277, utilizado por Vaultwarden.
Para ello, vaya a Ajustes > Complementos > Cloudflared. Luego, en la pestaña Configuración encontrará una sección Hosts adicionales. Aquí un ejemplo de configuración a introducir:
Para más detalles, junto a hostname introducirá un nuevo subdominio, que puede ser el que desee.
Junto a service será el nombre de host (hostname) de su instancia Home Assistant seguido del puerto de Vaultwarden. Lo más frecuente es «homeassistant». Para conocer su nombre de host, vaya a Ajustes > Sistema > Red. El primer campo corresponderá al nombre de host.
Una vez hecho, puede guardar y reiniciar Cloudflared.
Iniciar Vaultwarden y acceder a la administración
Vuelva al complemento Vaultwarden, inícielo y haga clic en la pestaña Registro en la parte superior. Debería ver algo parecido a esto:
Como puede ver, tenemos un token TEMPORAL, aquí «jNhKtXrmFh0A5MVHZFJ0iV8RCRcj8F7m27T9MwTQf02co6sfHL0s9QCrsCvuKNN7». Cópielo y acceda a vaultwarden.SU_DOMINIO.es (cambie según lo que haya configurado en Cloudflared).
Se le pedirá el «admin token». Pegue el código que acaba de copiar.
Como acabo de decirle, el token de acceso es temporal, y tiene un mensaje que se lo recuerda en la parte superior (en inglés, sí, lo siento...). En realidad, para estar seguro hay que generar una contraseña cifrada en Argon2 con ciertos parámetros específicos. Para los más principiantes puede ser un poco delicado, ¡así que este artículo está aquí para simplificarle la tarea! 🤓
Puede usar el generador justo debajo para introducir una contraseña que será convertida a Argon2. ¡ATENCIÓN! Esta contraseña debe ser particularmente fuerte y deberá recordarla. Permite acceder a la administración de su Vaultwarden. Introduzca su contraseña y copie el hash que se generará.
Générateur de Hash Argon2id
Bien. Ahora en la administración de Vaultwarden haga clic en «General settings» y encontrará abajo «Admin token/Argon2 PHC», es ahí donde debe pegar el hash obtenido. Una vez pegado su hash, puede hacer clic en «Save» en la parte inferior. Puede desconectarse y volver a conectarse (con la contraseña introducida en el generador anterior) para verificar que todo funciona correctamente.
Verificar los diagnósticos de Vaultwarden
Antes de ir más lejos, diríjase a la pestaña Diagnostics de la administración. Debería ver varios indicadores en verde, pero probablemente también algunos en rojo, especialmente en Domain Configuration. Es normal: Vaultwarden cree que está en localhost cuando en realidad está usando su nombre de dominio personal.
Para corregirlo, vaya a Settings > General Settings e introduzca su nombre de dominio completo en el campo previsto para ello (por ejemplo https://vaultwarden.SU_DOMINIO.es). Haga clic en «Save» y luego vuelva a Diagnostics: todo debería estar en verde ahora.
Si no utiliza Cloudflared y el indicador IP header sigue en rojo, vaya a Settings > Advanced Settings y reemplace el valor del campo Client IP Header por CF-Connecting-IP (sin espacio al principio). Esto permite a Cloudflare transmitir correctamente la dirección IP real de los visitantes. Haga clic en «Save» y verifique de nuevo que todo está en verde.
Configurar el envío de correos electrónicos (SMTP vía Gmail)
El envío de correos electrónicos es un paso importante, especialmente para la recuperación de cuenta en caso de pérdida de contraseña o para activar la autenticación de doble factor por correo electrónico. Para esto, Vaultwarden necesita un servidor SMTP.
La buena noticia es que puede usar Gmail gratuitamente para ello. Sin embargo, le aconsejo crear una cuenta de Google dedicada en lugar de usar su cuenta personal, ya que usar la misma cuenta para envío y recepción a veces causa problemas.
Estos son los pasos a seguir:
1. Activar la verificación en dos pasos en la cuenta de Google
Vaya a los ajustes de seguridad de su cuenta de Google y active la verificación en dos pasos. Es un requisito absolutamente necesario para continuar.
2. Crear una contraseña de aplicación
Una vez activada la verificación en dos pasos, acceda a la página de contraseñas de aplicación. Para acceder directamente, reemplace el final de la URL en Opciones de inicio de sesión por AppPasswords. Dé un nombre a su aplicación (por ejemplo «Vaultwarden») y haga clic en «Crear». Se generará una contraseña: cópiela inmediatamente.
3. Configurar SMTP en Vaultwarden
Vuelva a la administración de Vaultwarden, sección Settings > SMTP Email Settings, y rellene los campos de la siguiente manera:
Haga clic en «Save» en la parte inferior de la página. Luego puede probar el envío introduciendo una dirección de correo electrónico en el campo de prueba y haciendo clic en «Send test e-mail». Si recibe el correo, ¡todo está correctamente configurado!
Activar la autenticación de doble factor por correo electrónico
Ahora que el envío de correos electrónicos funciona, puede activar la 2FA por correo electrónico para sus usuarios. Vaya a Settings > Email 2FA Settings y active la opción. Por defecto, se enviará un código de 6 caracteres por correo electrónico con una expiración de 600 segundos y un máximo de 3 intentos. Estos valores son adecuados en la mayoría de los casos, simplemente haga clic en «Save».
Configurar las llaves YubiKey
Si no conoce las llaves YubiKey, le recomiendo realmente que se informe sobre ellas. Concretamente, es una llave física que se conecta al ordenador y sobre la cual hay que pulsar para validar una conexión. Aunque alguien conozca su contraseña, sin esta llave en su posesión, no podrá acceder a su cuenta. Por lo tanto, comprenderá el enorme interés con un gestor de contraseñas: si alguien consigue su contraseña maestra pero no tiene esta llave, no podrá acceder a su bóveda.
Para configurar las llaves YubiKey en Vaultwarden, primero hay que obtener una clave API desde el sitio web de Yubico. Vaya a la página dedicada (enlace en la descripción del vídeo), introduzca su dirección de correo electrónico, acepte los términos y condiciones, luego inserte su llave en el ordenador y pulse sobre ella. Obtendrá un Client ID y una Secret Key.
En la administración de Vaultwarden, vaya a Settings > YubiKey Settings e introduzca el Client ID y la Secret Key obtenidos. Deje el servidor por defecto. Haga clic en «Save».
Recuperar la administración tras desactivarla
Si ha desactivado la administración eliminando el admin token y desea reactivarla (por ejemplo, para añadir un nuevo usuario cuando los registros están cerrados), este es el procedimiento. Requiere acceso por línea de comandos a través del terminal SSH de Home Assistant.
1. Instalar el terminal SSH
Si aún no lo ha hecho, instale el complemento Advanced SSH & Web Terminal desde la tienda de complementos. En la pestaña Info, desactive el modo protegido (una alerta le advertirá de que es una operación sensible), luego reinicie el complemento.
2. Acceder al contenedor Docker de Vaultwarden
Abra el terminal y liste los contenedores Docker:
Busque el contenedor cuyo nombre contenga «bitwarden» (Vaultwarden siendo un derivado de Bitwarden). Copie su nombre y entre en el contenedor:
3. Modificar el archivo de configuración
Diríjase al directorio de datos e instale el editor de texto Nano:
Luego abra el archivo de configuración:
Baje hasta el final del archivo y añada, antes de la última llave de cierre, la siguiente línea:
No olvide la coma al final de la línea anterior. Guarde con CTRL+X, luego Y, luego Enter.
4. Reiniciar y verificar
Vuelva a Home Assistant y reinicie el complemento Vaultwarden. Acceda de nuevo a vaultwarden.SU_DOMINIO.es/admin: debería poder conectarse con la contraseña correspondiente a su hash Argon2.
Importante: una vez terminada la operación, recuerde reactivar el modo protegido en el complemento Advanced SSH & Web Terminal y reiniciarlo.
Crear una cuenta de usuario
Ahora que Vaultwarden está completamente configurado, es hora de crear su primera cuenta de usuario. Verifique primero que los registros están permitidos en Settings > General Settings (la opción «Allow new signups» debe estar marcada).
Acceda a su URL de Vaultwarden (sin el /admin) y haga clic en «Crear cuenta». Introduzca su dirección de correo electrónico, su nombre y, sobre todo, su contraseña principal (la famosa contraseña maestra). Esta contraseña es crucial: es la que protege el acceso a toda su bóveda. Elíjala larga, compleja y única.
Si otros miembros de su familia desean usar Vaultwarden, es el momento de crear también sus cuentas.
Desactivar los registros y asegurar la instalación
Una vez creadas todas las cuentas, le recomiendo encarecidamente:
1. Desactivar los nuevos registros: en la administración, General Settings, desmarque «Allow new signups». Sin esto, cualquier persona que encuentre su URL podría crear una cuenta y usar su servicio.
2. Desactivar la administración: aún en General Settings, elimine completamente el contenido del campo Admin token y haga clic en «Save». Nadie más podrá acceder al espacio de administración (excepto mediante el procedimiento de recuperación visto anteriormente).
Reinicie Vaultwarden para que los cambios surtan efecto. Si intenta acceder a /admin, verá un mensaje indicando que la administración está desactivada. Y si alguien intenta crear una cuenta, recibirá un error indicando que los registros están desactivados.
Conectarse y verificar su correo electrónico
Conéctese ahora a Vaultwarden con su cuenta recién creada. Un mensaje le pedirá que verifique su dirección de correo electrónico. Haga clic en «Enviar correo de verificación», abra el correo recibido y haga clic en el botón de verificación. Vuelva a conectarse y finalmente accederá a su bóveda.
Si ya utilizaba otro gestor de contraseñas, puede importar sus datos directamente desde la interfaz web de Vaultwarden siguiendo el procedimiento de importación propuesto.
Instalar y configurar la extensión del navegador
Para disfrutar plenamente de Vaultwarden en el día a día, instale la extensión Bitwarden disponible en Chrome, Firefox, Edge y otros navegadores. Una vez instalada, fíjela en su barra de herramientas para acceder fácilmente.
Al primer inicio de la extensión, en lugar de «Iniciando sesión en bitwarden.com», haga clic y elija «Autoalojado». En el campo URL del servidor, introduzca la URL de su servicio Vaultwarden (por ejemplo https://vaultwarden.SU_DOMINIO.es) y guarde.
Luego conéctese con su dirección de correo electrónico y su contraseña principal. Si ha configurado una llave YubiKey, se le pedirá que la toque para validar la conexión.
Si es el único usuario de su sesión, puede ir a Ajustes > Seguridad de la cuenta en la extensión y modificar el tiempo de expiración de la bóveda para evitar tener que reconectarse cada vez que cierra el navegador.
Las aplicaciones móviles de Bitwarden también están disponibles en Android y iPhone. Funcionan exactamente de la misma manera que la extensión del navegador, lo que le permite tener sus contraseñas en absolutamente todos sus dispositivos.
Activar la autenticación de doble factor en su cuenta
Antes de empezar a usar su bóveda en el día a día, tómese el tiempo de asegurar su cuenta. Vaya a Ajustes > Seguridad > Inicio de sesión en dos pasos.
Activar la llave YubiKey: haga clic en «Gestionar» junto a la opción Llave de seguridad OTP YubiKey, introduzca su contraseña principal, luego haga clic en un campo vacío, inserte su llave y pulse sobre ella. Puede registrar hasta 5 llaves YubiKey por cuenta. Le recomiendo tener al menos 2, por si pierde la primera.
Activar la verificación por correo electrónico: también puede activar la autenticación de doble factor por correo electrónico. Introduzca su contraseña principal, valide el envío del código por correo electrónico e introduzca el código recibido. Así tendrá al menos dos tipos de autenticación de doble factor activados en su cuenta.
Uso diario de Vaultwarden
En la práctica, Vaultwarden funciona realmente muy bien en el día a día. Estas son las principales funcionalidades que utilizará:
Guardado automático de contraseñas
Cuando se conecte a un sitio web, Vaultwarden le propondrá automáticamente guardar la contraseña. Simplemente haga clic en «Guardar» y el sitio se añadirá a su bóveda.
Autocompletado
La próxima vez que visite ese mismo sitio, Vaultwarden le propondrá rellenar automáticamente los campos de conexión. Un solo clic y estará conectado.
Generador de contraseñas
Al registrarse en un nuevo sitio, utilice el generador integrado de la extensión. Recuerde marcar los caracteres especiales y elegir una longitud suficiente. Copie y pegue la contraseña generada y Vaultwarden le propondrá guardarla automáticamente.
Gestión de la autenticación de doble factor (TOTP)
Vaultwarden también es capaz de gestionar la autenticación de doble factor por aplicación (TOTP). Cuando un sitio le propone activar la 2FA, recupere el código (a menudo haciendo clic en «No puedo escanear el código QR») e introdúzcalo en su entrada de Vaultwarden, en el campo «Clave Authenticator TOTP». Se generará automáticamente un código de verificación.
La ventaja es que cuando utiliza el autocompletado para conectarse a un sitio, Vaultwarden copia automáticamente el código TOTP en su portapapeles. Solo tiene que pegarlo cuando el sitio se lo pida.
Modificar la información de un identificador
A veces Vaultwarden guarda el nombre de usuario en lugar del correo electrónico como identificador de conexión, o viceversa. No se preocupe: haga clic en la entrada en cuestión y luego en «Modificar» para corregir el nombre de usuario.
Tarjetas de pago
Además de sus contraseñas, puede guardar sus tarjetas de pago en Vaultwarden para evitar tener que volver a introducirlas en cada compra en línea.
Identidades (formularios)
Las identidades permiten almacenar su información personal (nombre, apellido, dirección, etc.) para rellenar automáticamente los formularios de registro o de entrega. Para usarlas, haga clic derecho en la página, luego Bitwarden > Autocompletado de identidad y seleccione la identidad configurada.
Almacenar los códigos de respaldo
Cuando activa la autenticación de doble factor en un sitio, este generalmente le proporciona códigos de respaldo. Estos códigos le permiten recuperar el acceso a su cuenta en caso de pérdida de su método de 2FA. Recuerde almacenarlos en Vaultwarden, ya sea en las notas de la entrada correspondiente o en campos ocultos personalizados para mayor seguridad.
achetez le bon model de clé . il faut acheter la Yubico 5 NFC ou 5c nfc à 69 € et non Yubico - Security Key C NFC à 38€40 .
et ainsi eviter de chercher pendant des heures pourquoi ca ne fonctionne pas ! merci gemini