Revisión del paso de protones

Proton Pass es el nuevo administrador de contraseñas de Proton Technologies, que es seguro y cubre lo básico, con un nivel gratuito muy sólido y suscripciones económicas, pero aún tiene que implementar una gama completa de funciones avanzadas.

Introducción

Proton Technologies es bien conocida por su correo electrónico seguro y sus servicios Proton VPN.

La empresa se ha diversificado hacia el calendario y el almacenamiento seguros, a los que ahora se ha sumado Proton Pass, un nuevo competidor en el mundo de la gestión de contraseñas en línea.

Lanzado en junio de 2023, es realmente muy nuevo. Me gustan, uso y recomiendo varios servicios de Proton. Veamos si Proton Pass está listo para unirse a nuestro catálogo de los mejores administradores de contraseñas en una fase tan temprana de su desarrollo.

Precios

El nivel básico de Proton Pass, al igual que el resto de servicios de la compañía, es gratuito. Para eso, puede almacenar y sincronizar una cantidad ilimitada de contraseñas en una cantidad ilimitada de dispositivos.

Además, obtienes 10 alias de correo electrónico gratuitos proporcionados por la empresa de anonimato en línea SimpleLogin, propiedad de Proton. El uso de un alias diferente para diferentes servicios en línea hace que sea más difícil que se utilicen ataques de relleno de credenciales en su contra si se viola un servicio en el que se registró, y también hace que sea más obvio cuando un proveedor de servicios vende sus datos personales a los especialistas en marketing.

En este momento, puede obtener una suscripción independiente a Proton Pass Plus por 12 €/12 dólares (alrededor de £10) al año, y Proton le garantizará ese precio durante toda la vida de su suscripción. Si la compañía tiene algo de sentido común, mantendrá esa tarifa de suscripción para todos, lo que la hará competitiva con los niveles pagos muy económicos de Bitwarden.

También puedes suscribirte por $4,99/€4,99 (alrededor de £4) al mes, pero eso realmente no tiene sentido para un administrador de contraseñas, incluso si la tarifa anual no fuera tan competitiva. Los suscriptores existentes de Proton Unlimited, que pagan alrededor de £100 al año por el acceso combinado a todos los servicios de Proton, encontrarán Proton Pass ya incluido en su suscripción.

Los usuarios que pagan obtienen una serie de funciones adicionales, en particular una cantidad ilimitada de alias de correo electrónico, un autenticador 2FA integrado y 20 bóvedas de contraseñas diferentes.

Características

• Fácil de usar y claramente diseñado
• Solo se puede acceder a través de complementos del navegador y aplicaciones móviles.
• Actualmente carece de bóveda web, historial de contraseñas y uso compartido de contraseñas.

Proton Pass le permite generar, guardar e ingresar contraseñas automáticamente, especialmente en la web. Lo hace muy bien, ofreciendo la habitual atención al detalle de Proton Technologies en lo que respecta a la seguridad.

Las bases de datos de contraseñas son de conocimiento cero y sus datos cifrados se almacenan exclusivamente en los servidores propios de Proton en Suiza y Alemania. Proton Pass utiliza una clave de usuario para cifrar todo, creada utilizando un hash bcrypt de su contraseña maestra junto con una venta de cuenta. Luego se utiliza para cifrar una clave de bóveda de 32 bytes. Cada elemento que genera también recibe una clave aleatoria, que luego se cifra (junto con los datos del elemento) utilizando AES-GCM de 256 bits.

También hay formularios para almacenar notas y tarjetas de pago cifradas, y para crear y guardar alias y contraseñas de correo electrónico adicionales. Esto está menos desarrollado que los formularios de amplia gama que se ofrecen como 1Password y Dashlane, y no incluye imágenes u otros archivos adjuntos, pero cubre lo básico. Los suscriptores de pago también pueden agregar generadores de claves TOTP (bajo su propio riesgo, ya que esto significa que su segundo factor y contraseña ahora están en el mismo lugar) y todos pueden agregar campos personalizados y notas a las entradas según sea necesario, cuyo contenido se puede ocultar si así lo desea. .

Actualmente se puede acceder al administrador de contraseñas a través de complementos de navegador para Firefox y para navegadores basados ​​en Chromium, incluidos Chrome, Brave y Edge. Los usuarios de macOS deben tener en cuenta que Safari no es compatible actualmente. También existen aplicaciones móviles para iOS y Android. Puede descargar directamente un APK de Android desde Proton, lo que lo convierte en una buena opción para quienes utilizan bifurcaciones de Android sin Google. No hay aplicaciones de escritorio en este momento, aunque los usuarios de Mac que ejecutan PC basadas en Apple Silicon tienen la opción de instalar la aplicación iOS. Proton dice que actualmente se encuentra en la hoja de ruta una aplicación de escritorio multiplataforma.

Lo más inusual es que tampoco hay una aplicación web. Si bien casi todos los demás administradores de contraseñas basados ​​en servicios le brindan la opción de acceder a sus contraseñas desde una bóveda web, esto todavía está en la lista de tareas pendientes de Proton, y se espera que llegue más adelante en 2023. Compartir contraseñas tampoco es una función actualmente, pero sí Su lanzamiento está previsto para “los próximos meses” y Proton ya ha detallado cómo se protegerán las bóvedas compartidas. Aunque Proton Pass puede avisarte cuando has modificado una entrada, actualmente no hay un historial de versiones para las contraseñas, lo cual es un poco aterrador si accidentalmente cambias una contraseña en la aplicación.

Su contraseña maestra se maneja de manera un poco diferente a otros servicios de administración de contraseñas. Si bien, por ejemplo, NordPass y el administrador de contraseñas de Norton tienen contraseñas separadas para su cuenta y para desbloquear sus contraseñas, Proton asume que ha seguido sus instrucciones para establecer una contraseña maestra segura en su cuenta de Proton y no requiere una segunda código de inicio de sesión o desbloqueo para sus contraseñas. Todas las cuentas de Proton funcionan sin conocimiento, por lo que debes asegurarte de no perder ni olvidar tu contraseña. La configuración de autenticación multifactor (MFA) también se aplica a toda la cuenta: puede usar una aplicación de autenticación móvil o una clave de seguridad U2F o FIDO2, como Yubikey, para esto.

Esto tiene sentido y es menos irritante que los servicios rivales que requieren que inicies sesión dos veces, pero realmente debes tomarte en serio la creación y la higiene de la contraseña de tu cuenta Proton. Por extensión, esto significa que todas las opciones de recuperación de su cuenta y 2FA están vinculadas a su cuenta de Proton, en lugar de solo a su base de datos de contraseñas. Estos incluyen el acceso de emergencia a la cuenta y la recuperación a través de un correo electrónico o número de teléfono designado, o una frase de contraseña o un archivo que se puede entregar a otra persona. Es menos elegante que un contacto de emergencia designado o un sistema de manija de hombre muerto, pero puede ser efectivo si está bien preparado.

Aunque no puede establecer una frase de contraseña dedicada, opcionalmente puede configurar un código de bloqueo para Proton Pass. Una vez habilitado, esto le permite bloquear manualmente las extensiones y aplicaciones, y también se le pedirá que vuelva a ingresarlos cuando cierre y vuelva a abrir su navegador o la aplicación Proton Pass. De forma predeterminada, su sesión también se bloquea después de 15 minutos de inactividad, pero puede configurarlo en un rango de otros períodos, desde 30 segundos hasta una hora. Puede desactivarlo por completo, pero bloquearlo de forma predeterminada es un comportamiento predeterminado fuerte que recomiendo seguir.

Los usuarios de dispositivos móviles también pueden utilizar datos biométricos, como escaneos de huellas dactilares, para desbloquear sus datos, pero esta no es una opción de alta seguridad. Su bóveda de contraseñas se almacena en caché localmente tanto en las aplicaciones móviles como en las extensiones del navegador, pero si configura un PIN, no podrá abrir una extensión del navegador en la que haya cerrado sesión a menos que tenga una conexión a Internet activa. Sin embargo, la aplicación móvil le brinda acceso sin conexión a sus contraseñas, incluso con un PIN habilitado.

Proton ha publicado el código fuente para los clientes móviles, pero aún no ha publicado el código fuente completo en la línea de los esfuerzos de Bitwarden y KeePass.