Contraseñas para las diferentes cuentas de correo, para tu cuenta de mensajería, para unas cuantas webs, foros y demás… Mejor organizarlas con Password Store.

Un gestor de contraseñas debería ser efectivo y simple y mejor si sigue la filosofía de Unix. Con Password Manager o pass, cada contraseña reside en un archivo cifrado mediante tu clave gpg. Y además puedes llevar un registro de cambios mediante git.

El nombre de ese archivo es el título de la web, correo o servicio que quieres requiere esa contraseña y que tu escoges. Todos esos archivos pueden organizarse en diferentes carpetas ordenadas jerárquicamente. Pueden ser copiadas de un equipo a otro, y gestionarlas facilmente desde la línea de comandos.

Asumo que tienes GPG instalado, y que has generado ya una clave GPG. Será con esa con clave con la que esos archivos que contienen las contraseñas se cifrarán. Y que podrás ver y consultar introduciendo tu contraseña de GPG.

Con pass la gestión de contraseñas es muy fácil, al instalarlo y configurarlo por primera vez, se creará un archivo oculto en tu /home llamado .password-store. Y mediante pass tendrás un montón de comandos muy intuitivos para añadir, editar, generar, borrar y rescatar contraseñas.

También es capaz de copiar la contraseña que necesitas al portapapeles, donde después de 45 segundos desaparecerá. Y como he dicho también se puede integrar con git, con lo que eso supone.

Una vez instalado en nuestra distribución de GNU/Linux (deberemos buscar el paquete password-store o pass, veamos cómo empezar a utilizarlo.

Lo primero que deberemos hacer es inicializar el depósito de contraseñas, para ello escribiré en mi línea de comandos:

pass init "victorhck"

Donde victorhck es el ID de mi clave GPG, hecho eso me dice:
mkdir: created directory '/home/victorhck/.password-store/'Password store initialized for victorhckgpg: enabled debug flags: memstatgpg: keydb: handles=0 locks=0 parse=0 get=0gpg: build=0 update=0 insert=0 delete=0gpg: reset=0 found=0 not=0 cache=0 not=0gpg: kid_not_found_cache: count=0 peak=0 flushes=0gpg: sig_cache: total=0 cached=0 good=0 bad=0gpg: random usage: poolsize=600 mixed=0 polls=0/0 added=0/0outmix=0 getlvl1=0/0 getlvl2=0/0gpg: secmem usage: 0/65536 bytes in 0 blocks
Creado el directorio donde se van a guardar las contraseñas, puedo empezar a introducirlas mediante

pass insert Correo/openmailbox</code><code>Enter password for Correo/openmailbox</code><code>:</code><code>

Introducimos la contraseña que tenemos establecida en ese servicio y nos pedirá que confirmemos la contraseña.

Hecho eso se creará una carpeta llamada Correo y dentro un archivo llamado openmailbox que contendrá la contraseña que hemos metido. Ese archivo estará cifrado con nuestra clave GPG.

Podemos añadir otra contraseña para otra cuenta de correo u otro servicio:

pass insert Web/quitter.no</code><code>Enter password for </code><code>Web/quitter.no:

En esta ocasión se creará la carpeta Web y dentro el archivo quitter.no. Podremos crear más archivos donde guardar las contraseñas de foros, o sitios que visitemos a menudo.

Mediante el comando pass sin más opciones se mostrarán las carpetas y archivos que contienen de una forma bastante visual:
victorhck@Geeko:~> passPassword Store├── Correo│ ├── protonmail│ └── opnmbx└── Web└── forosuse.org
También podremos generar nuevas contraseñas para reemplazar las antiguas, o para nuevos servicios en los que nos registremos mediante el comando:

pass generate Web/miblog 15The generated password to Web/miblog is:$(-QF&Q=IN2nFBx

Genera una contraseña utilizando el paquete pwgen en este caso de 15 caracteres aleatorios. También podremos especificarle si no deseamos que contenga símbolos.

También podremos hacer que las copie en el portapapeles listas para pegarlas al acceder al sitio que queremos, en vez de mostrarlas en la pantalla. Desaparecerán del portapapeles después de 45 segundos.

Pero no sólo de contraseñas se alimentan los sitios que visitamos. Por eso con pass también podremos almacenar no sólo una palabra, si no muchas líneas que contengan información adicional.

Para ello al introducir la contraseña mediante pass insert deberemos además añadir -m o –multiline. Podremos escribir todo aquello que queramos y finalizar con Ctrl+D

pass es muy intuitivo y permite un montón de cosas que a poco que uses la línea de comandos te sonará (pass rm, pass mv) También permite autocompletado mediante la tecla Tabulador (que gran invento), y más gemas escondidas que te invito a descubrir.

Para quienes no les guste eso de la línea de comandos, están de enhorabuena. Existen un montón de clientes con interfaz gráfica que hará su uso quizás más sencillo (si eso es posible). Y complementos para el navegador.

Si utilizas otros sistemas de gestión de contraseñas pero este te ha convencido, también tienes disponible un montón de herramientas para realizar la migración de un sistema a otro.

Pass tiene un licencia de software libre y está disponible en los repositorios de todas las distribuciones más utilizadas (Debian, Arch, openSUSE, Gentoo, Ubuntu)

Si quieres conocer más te remito a la página original del proyecto y a su página man donde encontrarás toda la documentación oficial:

• https://www.passwordstore.org/
• https://git.zx2c4.com/password-store/about/

————————————————–

Ao utilizar password-store como xestor de contrasinais nos teus dispositivos é posible que por calquera razón precises mudar a chave GPG que utilizaches no momento da instalación. Xa sexa para non utilizar a mesma que tes para o correo persoal, a chave do traballo ou simplemente para utilizar unha chave que non subiches a ningún repositorio público e queres manter só localmente.

Chave para password-store

Imos xerar nova chave co único propósito de utilizala con pass

O manual de password-store dinos que debemos proceder iniciando a password-store coa nova chave.

E resulta que é así de simple, non explica nada máis, porén xurde a dúbida de "qué pasa se me equivoco e perdo o acceso a TODOS os meus contrasinais?" Sería un #epicfail.

Creamos a nova chave

$ gpg --full-generate-key

que nos pregunta as características que desexamos para a chave, eu deixei as opcións RSA, 4096 e "non caduca".

Pídenos un "nome real", que para o caso sérvenos passwordstore, así é doada de identificar.

Tamén solicita asociar un enderezo de correo electrónico. Escribe o que queiras, pass@home.user vai ben. Esto ten utilidade para que os teus contactos localicen a chave pública nos servidores. Como non vas a usar a chave para o correo nin subila a internet podes escribir o que queiras.

Finalmente mostra o ID da chave creada

Escolleu este ID de usuario:
    «passwordstore <pass@home.user>»

e un comentario (optativo): para cifrar os contrasinais

Pide agora un contrasinal: escollemos a nosa frase de paso, que será a que pida cada vez que se solicite un contrasinal a non ser que a almacenamos na carteira de contasinais que utilice o teu sistema operativo.

Créase a chave e o seu certificado de revogación por se fose preciso (informa de onde está e o seu id).

Xa temos a chave que utilizaremos para cifrar os contrasinais.

Comprobámolo con

$ gpg --list-keys

ahí debería aparecer a nova chave passwordstore cos datos que a identifican

---

Cambiar a chave de password-store

Respalda os datos!!

primeiro respaldo do cifrado actual, que nunca se sabe 😛 . Imos ao directorio de traballo de pass e

$ cp -r .password-store/ .passwordstore_backup/

no directorio onde está a password-store tamén temos un ficheiro co id da chave que estamos a utilizar actualmente

$ cat .password-store/.gpg-id 

móstranos un id tipo XXXXXXXX hexadecimal.

Entón, seguindo as instruccións, "iniciamos" a password-store co novo "id"

If the specified gpg-id is different from the key used in any existing files, these files will be reencrypted to use the new id.

que será o noso caso.

$ pass init

$ pass init XXXXXXXX

sendo XXXXXXXX o id da nova chave que acabamos de crear

pide o contrasinal da chave que queremos cambiar (a antiga, para descifrar os datos) e comeza a cifrar novamente todos os contrasinais utilizando a chave passwordstore.

agora

$ cat .password-store/.gpg-id

debería mostrar o valor XXXXXXXX da nova chave creada, e se pedimos un contrasinal con pass, a frase de paso que pide debería ser a da nova chave.

Sincroniza os outros equipos

Se temos a variable de PATH no binario de "pass" establecido a un directorio sincronizado con algún servidor externo (nexcloud por exemplo), entón este cambio afectará aos outros equipos onde estás a utilizar esos contrasinais.

Debes "exportar" a chave recén creada e impórtala de xeito seguro (por exemplo cifrándoa con GPG, copiándoa a un pincho usb ou enviandoa por correo).

No meu caso fíxeno utilizando OpenKeyChain no móbil. Fas unha copia de seguridade da chave (que estará cifrada) e "expórtala" a nextcloud. Así será enviada ao servidor nextcloud e estará dispoñible nos outros equipos para importala.

Vas ao equipo de escritorio e descífrala e impórtala ao sistema con

gpg --decrypt backup_yyyy-mm-dd.sec.pgp | gpg --import

pídeche a frase de paso da chave para importala ao chaveiro.

Unha vez no sistema, os contrasinais xa estarán actualizados a nova chave (se se sincronizou co servidor) e o ficheiro .gpg-id dentro do directorio .password-store tamén estará modificado indicando que debe utilizar a nova chave.

Manual GPG gnupg.org/documentation/manual…