Muy buenas lector. En este post verás como utilizar y sacar el máximo partido de KeePassXC, el que para mi es, a día de hoy, el mejor gestor de contraseñas que puedes utilizar en Linux.
Si sigues estas lineas, aprenderás todo lo que necesitas para, en primer lugar, poner a punto KeePassXC (esto es, crear tu primera base de datos y rellenarla con las diferentes entradas), en segundo lugar, establecer una política de seguridad y backups acorde a tus necesidades, y, por último, utilizar la aplicación en tu día a día.
Tabla de contenidos:
- KeePassXC. El gestor de contraseñas definitivo
- Como instalar KeePassXC
- Primeros pasos. Crear base de datos, grupos y entradas
- Política de seguridad y backups para almacenar la base de datos
- Como utilizar KeePassXC
KeePassXC. El Gestor de Contraseñas Definitivo
KeePassXC es un gestor de contraseñas local, de código abierto y multiplataforma, que nace como fork de KeePassX (que a su vez ya empieza como un port de KeePass para Linux).
Aunque es cierto que muchas distribuciones ya incorporen alguna herramienta que haga la función de gestor de contraseñas, como es el caso de GNOME Keyring y Seahorse (herramientas nativas del entorno de escritorio GNOME), KeePassXC se presenta como una opción bastante más completa a nivel de características y usabilidad, y el hecho de ser multiplataforma también juega un plus importante.
Como Instalar KeePassXC
Tienes varias maneras de instalar KeePassXC en tu sistema. En Ubuntu, por ejemplo, puedes instalar la versión que se encuentra disponible en los repositorios de paquetes, pero también tienes la posibilidad de instalarlo como Snap, que siempre estará en una versión más nueva.
Personalmente, a mi siempre me gusta obtener el software a través de los repositorios de paquetes, pero tiene la desventaja de que suele ir unas versiones por detrás de la versión más reciente, y tampoco suele actualizarse a lo largo del ciclo de vida de tu distribución. En Ubuntu 18.04 LTS, por ejemplo, la versión de los repositorios es la 2.3.1, y probablemente no variará. Si optas por ella, puedes instalarla fácilmente echando mano de apt:
sudo apt install keepassxc
Si lo prefieres, también puedes optar por el paquete que se distribuye a través de la tienda de Snaps. En este caso la ventaja es generalmente podrás optar siempre por la ultima versión disponible, que actualmente es la 2.4.3. Para instalar el paquete debes utilizar el siguiente comando:
sudo snap install keepassxc
Para este post he probado de instalar ambas y la verdad es que no he notado grandes diferencias, más allá de que la versión disponible a través de los repositorios se integra visualmente un poco mejor que el Snap. Aún así, las diferencias son menores, y al ser una aplicación desarrollada en Qt la integración en el escritorio GNOME nunca será tan buena como en KDE Plasma.
Primeros Pasos. Crear Base de Datos, Grupos y Entradas
Ahora que ya dispones de KeePassXC, vamos a ver los primeros pasos que debes realizar para la puesta a punto. Para ello, voy a suponer que partimos de cero, y por lo tanto, que sera necesario empezar desde el principio, desde la creación de la base de datos como tal, hasta la introducción de las diferentes entradas para tus múltiples cuentas.
Crea tu Primera Base de Datos
Una vez inicies KeePassXC, lo primero que verás en la pantalla de bienvenida son las opciones de Crear una nueva base de datos (si empiezas de cero), o bien la de Abrir una base de datos existente, a partir de un fichero kdbx, el formato propio de KeePass. Como opciones adicionales también están la de poder Importar de KeePass 1 o Importar de CSV.
Veamos brevemente en que casos debes utilizar cada una de las diferentes opciones que ves arriba.
- Crear una base de datos nueva es la opción que debes utilizar si es la primera vez que utilizas un gestor de contraseñas. En este caso se crea una base de datos vacía, en la que posteriormente deberás ir introduciendo las diferentes entradas de forma manual.
- Crear una base de datos existente es por si ya utilizas o utilizabas KeePassXC (o, en el caso de Windows, KeePass en su versión 2.X), y simplemente quieres abrir la base de datos que ya tienes en un nuevo dispositivo.
- Importar de KeePass1 es la opción a utilizar si tenias tus passwords almacenadas en una versión de KeePass anterior a la 2, en donde se utilizaba un formato diferente al que se usa en KeePass 2.X, y por tanto también diferente a KeePassXC.
- Importar de CSV es la alternativa que te queda en el caso de que tengas tus contraseñas almacenadas en un software diferente y que no utiliza el formato propio de KeePass (o, por ejemplo, si las tienes en tu navegador, o en tu cuenta de Google).
Dicho todo esto, vamos a explorar el primer de los escenarios, en la que partimos de cero. Así pues, una vez seleccionada la opción de crear una nueva base de datos, te aparecerá una ventana del navegador de archivos de tu escritorio para que indiques el nombre y la ubicación de la misma. De momento, puedes seleccionar tu directorio personal, y el nombre que desees (que debe terminar, eso si, con la extensión kdbx).
Una vez echo esto, te aparecerá una nueva vista en KeePassXC para que indiques las opciones de desbloqueo de la base de datos. La más típica es la de la contraseña maestra, pero también la puedes complementar con un archivo llave, que básicamente es un fichero cualquiera que debes escoger aquí en un principio (como una foto) y que deberás adjuntar, posteriormente, cada vez que quieras desbloquear la base de datos.
En este caso de ejemplo me he limitado a utilizar la opción clásica de contraseña maestra. Aquí es muy importante que selecciones una contraseña muy robusta, puesto que es la llave que dará acceso a todas las contraseñas que irás introduciendo en la base de datos.
Una vez echo esto ya podrás ver la vista principal de KeePassXC, junto con todas las opciones que tienes para operar, y que te describo justo debajo de la imagen.
Como ves, la interfaz principal es relativamente simple. Por un lado tienes el clásico menú superior, donde tienes acceso a todas las opciones de KeePassXC. Justo debajo tienes una cinta de opciones con accesos directos a algunas de las acciones más comunes. Finalmente, está la zona de debajo dividida en dos: a la izquierda puedes ver una vista de la BBDD con todos los grupos y subgrupos que hayas ido creando, y en la vista central se visualizan las diferentes entradas que contenga cada grupo.
Crear Grupos
Aunque podrías empezar a añadir entradas directamente partiendo de la raíz de la base de datos, lo más recomendable es crear grupos para organizar mejor las entradas. Para ello, puedes dirigirte a la opción de Grupos del menú superior, y luego seleccionar Añadir nuevo grupo. Con esto, irás a parar directamente a la ventana de edición de grupos.
Para crear un nuevo grupo únicamente debes indicar su nombre y, como opción, una nota descriptiva para ayudar a identificarlo. Con esto lo tienes todo. Si quieres personalizarlo un poco más, también puedes asociarle un icono característico. Para ello debes dirigirte a la ventana de Icono desde el menú lateral izquierdo.
Una vez aceptado, ya verás el grupo creado, naciendo del directorio raíz, en el espacio de izquierda de la ventana principal. Puedes crear tantos grupos y subgrupos como desees. Para crear un subgrupo únicamente debes asegurarte de tener el cursor sobre el grupo del cual quieres que nazca el nuevo grupo.
En este caso de ejemplo he creado un total de cuatro grupos, tal como puedes ver en la imagen superior. Ten en cuenta que los grupos son una manera de organizar las diferentes entradas, pero dentro de la misma base de datos.
Si lo que quieres es tener una mayor separación por cuestiones de seguridad, de no mantener todas tus contraseñas en el mismo sitio y protegidas por la misma clave maestra, entonces lo que debes estudiar es la creación de múltiples bases de datos con diferentes contraseñas maestras. Pero de eso ya hablaremos un poco más adelante.
Hecho este breve paréntesis, y ahora que ya tienes tus grupos creados en función de las categorías que desees establecer, llega el momento de introducir las diferentes entradas con los usuarios y passwords de inicio de sesión.
Añadir Entradas
Para crear una nueva entrada, primero debes asegurarte de mantener el cursor sobre el grupo adecuado, en el área de la izquierda de la ventana principal. Con esto, simplemente debes marcar el menú Entradas de la barra de menús superior y seleccionar la opción de Añadir nueva entrada. También tienes un icono directo en la cinta de opciones de debajo del menú. Con esto irás a parar a la ventana de edición de entradas que te muestro debajo.
Ahí debes rellenar básicamente el nombre de la entrada que te ayude a identificar la cuenta a la que se refiere, el nombre de usuario que utilizas para el inicio de sesión, la contraseña, y la URL de inicio de sesión (opcional). Luego, como añadido, puedes fijar una fecha de vigencia, si quieres que la propia herramienta te «obligue» a cambiar de contraseña, pasada la fecha límite establecida.
Para escoger la contraseña también puedes ayudarte del generador de contraseñas de la aplicación, accesible mediante el icono en forma de dado negro, que se encuentra al lado de la caja de Repetir la contraseña.
Como, a fin de cuentas, la única clave que debes recordar tu es la contraseña maestra para el desbloqueo de la base de datos, no es mala idea que, para lo que son las diferentes entradas de inicio de sesión, dejes que el propio sistema se encargue de generar una password bien robusta y olvidarte del tema.
Como ves, tienes la opción de especificar tanto la longitud que debe tener, como el tipo el caracteres (mayúsculas, minúsculas, números y símbolos). No te recomiendo que marques la opción de ASCII Extendido, puesto que muchos servicios es muy probable que no acepten este tipo de caracteres.
Una vez echo esto, ya solo queda aceptar. Con esto, regresarás de nuevo a la ventana principal. Ahí ya verás la entrada que acabas de crear, dentro del grupo en cuestión. Ahora solo toca repetir el proceso para todas las demás entradas, y listo.
Hecho esto, en la ventana principal ya tendrás accesibles todas las entradas, repartidas en sus grupos correspondientes. Desde aquí tienes igualmente la opción de editar una entrada. Para ello, solamente debes situar el cursor encima de la misma, y seleccionando la opción de Editar entrada.
Aparte de distribuir las contraseñas en grupos, también tienes la opción de separarlas a nivel de base de datos. Esto es una buena idea si quieres mantener más compartimentados diferentes grupos de entradas.
Crear una Base de Datos Adicional
Desde la misma ventana anterior, puedes generar una nueva base de datos dirigiéndote en la opción de menú Base de datos, y seleccionando la opción de. El proceso es exactamente el mismo que en el caso anterior.
Cuándo la tengas creada, la verás igualmente en la misma ventana inicial, pero en una pestaña diferente respecto de la primera que hemos creado. A partir de ahí, puedes trabajar con ambas de forma totalmente independiente.
Política de Seguridad y Backups para Almacenar la Base de Datos
Ahora que ya has creado y rellenado tu base de datos, es el momento de considerar uno de los puntos más importantes relacionados con cualquier gestor de contraseñas, y es el de decidir la ubicación del fichero de la base de datos, y la de sus copias de seguridad.
Y es que aquí debes considerar una serie de riesgos, tanto relativos a la imposibilidad de acceder al mismo, como a la posibilidad de que caiga en malas manos. Con esto en mente, es con lo que debes diseñar y ejecutar una política enfocada a minimizar las posibles consecuencias negativas derivados de estos riesgos.
En primer lugar tenemos el riesgo de perder el acceso al fichero de la base de datos, que se puede dar generalmente por un error en el disco duro. Esto nos obliga si o si a mantener, como mínimo, una copia de seguridad del mismo en una ubicación diferente, ya sea en un disco duro externo, en otro ordenador, etc.
Y si añadimos ya el riesgo de incendio o robo en tu hogar, ya deberíamos hablar de guardar tu copia en una ubicación física diferente, o bien en tu cuenta de Google, Apple, Dropbox, u otros. Y con esto enlazamos en el riesgo de que el fichero caiga en manos ajenas.
Siguiendo con lo que venía diciendo (u aunque asumiremos que el fichero esta protegido con una contraseña suficientemente robusta), siempre existirá el riesgo de que el fichero caiga en malas manos. Aquí la clave es mantener la copia en un lugar poco accesible a terceros, o incluso que ni siquiera se conecte a Internet.
Como Utilizar KeePassXC
Visto todo lo anterior, ahora ya solo queda utilizar KeePassXC en tu día a día. Aquí no hay mucho que contar, ya que las opciones son suficientemente intuitivas, por lo que solo se me ocurre destacar la parte de bloqueo y desbloqueo de la base de datos, y el hecho de copiar la información de las entradas en el portapapeles.
Bloquear y Desbloquear la Base de Datos
Para acceder a todos los usuarios y contraseñas que tengas almacenados en KeePassXC, lo primero que debes hacer es desbloquear la base de datos donde las tengas almacenadas, utilizando tu contraseña maestra. Para ello, puedes acceder tu mismo al directorio donde tengas almacenado el fichero cifrado con la BBDD (la ubicación la debes decidir tu mismo, teniendo en cuenta lo que hemos comentado en el apartado anterior, sobre la política de seguridad y backups).
Otra opción es abrir directamente KeePassXC, y localizar el fichero de la base de datos desde ahí. Esta es la opción que me parece más práctica, ya que KeePassXC recuerda automáticamente las direcciones de los ficheros utilizados con más frecuencia.
En cualquier caso, al abrir el fichero automáticamente se te aparecerá la ventana de desbloqueo, donde deberás introducir la contraseña maestra que hayas definido al principio de la creación de la base de datos.
Con esto ya accederás directamente a la ventana principal de KeePassXC, donde podrás visualizar las diferentes entradas que hayas creado previamente.
Copiar Contraseñas en el Portapapeles
Una vez estando ya en KeePassXC, con tu base de datos abierta, ya tienes acceso a las diferentes entradas que has ido creando, con la información de la URL de acceso a la cuenta en cuestión, el nombre de usuario contraseña asociados en cada caso.
La forma más útil para copiar la información en el portapapeles (que luego pegaras en el sitio en el que deseas acceder) es haciendo doble clic sobre el propio atributo. Esta característica funciona tanto para la URL de acceso, como para el nombre de usuario y la contraseña.
Es decir, haciendo doble clic sobre la URL de una entrada concreta, se abrira automáticamente la pagina web asociada en el navegador predeterminado de tu sistema. Luego, si haces clic sobre el nombre de usuario, este se copiara en el portapapeles, para que puedas pegarlo seguidamente en el dialogo de acceso, y lo mismo ocurre con el caso de la password.
Como ves, rápido, sencillo e intuitivo.
ComputerNewAge 
¡Gran artículo!
Nosotros hemos utilizado el gestor de contraseñas KeePassXC y nos parece muy útil. KeePassXC es uno de los mejores gestores de contraseñas Linux. Existen varias formas de instalar KeePassXC y también varias formas de gestionar las bases de datos. Este gestor también permite desbloquear y bloquear bases de datos, con una contraseña maestra. Si necesitas un gestor de contraseñas ¡Este es el tuyo!
Me gustaMe gusta
Buenas tardes.
Preocupado por la seguridad de mis contraseñas he seguido sus instrucciones para instalar KeePassXC y comenzar a utilizarlo. Teniendo en cuenta que la mayor parte de las contraseñas lo son para páginas web, permítame que le pregunte qué ventaja aporta este programa frente al uso de una contraseña maestra en Firefox, pues con ésta, al entrar en la web de que se trate, no tengo que abrir ningún otro programa, en este caso sería KeePassXC, ni copiar usuario ni contraseña. Gracias por adelantado y un saludo.
Me gustaMe gusta
Hola Gerardo,
Personalmente no conozco a fondo el gestor de contraseñas que utiliza Firefox, ni su grado de seguridad. De todos modos, y a nivel general, a mi nunca me ha gustado utilizar la utilidad del propio navegador, por el hecho de estar atado a un unico browser, además de que se trata de una aplicación mucho más expuesta a posibles ataques.
Los gestores de contraseñas tienen la ventaja de que pueden prestar su utilidad en cualquier navegador y/o plataforma, suelen disponer de más carcterísticas (generador de contraseñas unicas, opciones de compartición, etc.), además de que tienes mucha variedad de elección en cuanto a si quieres un almacenamiento puramente local (como es el caso de KeePassXC), o más basado en la cloud (como es el caso de Bitwarden, que también es Open Source, y se integra sin ningún problema con los principales navegadores web).
Me gustaMe gusta