it-swarm-es.tech

Seguridad de los administradores de contraseñas solo del navegador

Hay administradores de contraseñas como KeePass que almacenan todas las contraseñas en un contenedor cifrado en la máquina local. Tendría que copiar este contenedor a otras máquinas para poder tener mis contraseñas allí también.

Luego están los administradores de contraseñas que son esencialmente como KeePass pero almacenan el contenedor de contraseñas en línea.

Y luego están los generadores de contraseñas algorítmicas que, basándose en una contraseña maestra, crean la contraseña para el sitio web actualmente visitado sobre la marcha. Ejemplos de tales administradores de contraseñas en línea son SupergenPass y PWDHash . Todo lo que necesito llevar conmigo es un pequeño marcador (que se sincroniza en todos los navegadores) y la contraseña maestra en mi cabeza.

¿Cuáles son las ventajas o los inconvenientes, en términos de seguridad, cuando se utilizan los administradores de contraseñas en línea de la tercera categoría? ¿Existe un administrador de contraseñas en línea que aborde estos inconvenientes y brinde las ventajas?

12
akira

Personalmente, me gusta el administrador alojado un poco mejor siempre que la seguridad se implemente correctamente. Tome LastPass, por ejemplo (mi favorito), no almacenan una versión sin hash de su contraseña maestra, por lo que sin descifrar deliberadamente sus contraseñas, incluso el host del sitio no puede acceder a su información. Por supuesto, esto es tan bueno como su confianza en el tercero, que es donde entran en juego las preocupaciones de seguridad. En pocas palabras, siempre y cuando no guarden una copia sin hash de su contraseña, no me importa usar los administradores de contraseñas alojados.

5
Brad Gardner

Actualización 2018

He aprendido mucho en los 8 años desde que originalmente escribí esta respuesta. Lo que una vez pensé que era una contraseña segura realmente no era tan segura . Hoy uso 1Password con contraseñas generadas al estilo "diceword". Todavía sin conexión y por las mismas razones, pero más seguro que mi algoritmo mental basado en el nombre de dominio. Las únicas contraseñas que necesito recordar más son la de iniciar sesión en mi computadora y la que abre mi bóveda 1Password, las cuales se anotan en la bóveda 1Password de mi esposa en caso de que algo me suceda. Todo lo demás está a solo unas pocas teclas de distancia.

El uso de un administrador de contraseñas alojado significa que sus contraseñas se almacenan en algún lugar de la nube, y en algún lugar cercano a eso (en el código que las crea/edita/usa) hay instrucciones explícitas sobre cómo descifrarlas. Si el sitio se viera comprometido, no sería difícil acceder a miles de cuentas.

Por esa razón, desconfío de los administradores de contraseñas en línea. Personalmente, uso una solución que inventé para mí: tengo un algoritmo que es lo suficientemente simple como para ejecutarlo en mi cabeza, que genera una contraseña segura (mayúsculas y minúsculas, números y caracteres especiales) basada en el nombre de dominio y mi nombre de usuario elegido.

Además, trato de usar oAuth y OpenId siempre que sea posible, para tener menos contraseñas para recordar y puedo estar más seguro de que los sitios que HACEN tengo mi contraseña (por ejemplo, Facebook y mi proveedor de OpenId) la están protegiendo correctamente (salt + hash, etc.).

Si tuviera que usar una utilidad de almacenamiento de contraseña de algún tipo, probablemente iría con KeePass y almacenaría el archivo encriptado en Dropbox para sincronizarlo entre computadoras.

1
Adam Tuttle

Bueno, todos se implementan de manera diferente, algunos son más seguros y otros menos.

Por ejemplo, yo uso Clipperz .

La forma en que Clipperz funciona es que encripta/desencripta un blob encriptado que el servidor almacena en javascript . Esto significa que si su blob llega a un pirata informático malvado, no podrá descifrarlo (si decide una contraseña razonable)

El código es de código abierto, algo que me llena de confianza porque puedo auditarlo.

LastPass utiliza el mismo enfoque, por lo que es bastante seguro.

Sería menos probable que use cosas como https://www.pwdhash.com/ porque significa que si quiero cambiar mi contraseña maestra tendré que cambiarla en todos los sitios. Además, es menos seguro, ya que si las personas conocen las reglas que uso para crear la contraseña, pueden forzar mi contraseña maestra.

1
Sam Saffron