¿Existen recomendaciones sobre cómo utilizar una contraseña de forma segura?

5

Siento un impulso general hacia las cajas fuertes de contraseñas (en la nube / local). Ahora que la gente tiende a usar más y más esas tecnologías, busqué las mejores prácticas o los avisos formales en las cajas de seguridad de contraseñas, pero no encontré nada valioso.

¿Hay algo publicado sobre eso? Me refiero a más recomendaciones que "usar una contraseña maestra segura y no perderla".

Mi contraseña segura, por ejemplo, me permite usar mi inicio de sesión de Windows como medio de autenticación. También puede bloquearse después de una cierta cantidad de inactividad o cuando se desconecta de su máquina, se inicia el salvapantallas, etc. Todas esas características intercambian seguridad con comodidad.

Si tengo una contraseña de ~ 40 caracteres y descifrar la base de datos tarda 2 segundos, podría molestarme haciendo esto 10 veces al día.

KeePass, por ejemplo, sugiere que cifres el archivo de contraseñas varias veces para aumentar el tiempo de trabajo, pero un usuario normal que cambie a una contraseña segura probablemente no entenderá el impacto de eso. Incluso si un usuario así pudiera buscar en Google que todavía necesitaría diferenciar entre hacer hashing algo varias veces y cifrarlo, etc.

    
pregunta Samuel 14.02.2017 - 08:46
fuente

1 respuesta

5

Las cajas fuertes de contraseñas deben usarse como bóvedas de seguridad, lo que significa que no deben confiar en ninguna otra capa para la autenticación o protección. Así que usar AD para acceder a ellos no es recomendable. ¿Qué pasa si se compromete su credencial de AD? Aparte de eso, aquí están mis directrices:

  1. Utilice una caja fuerte que sea de código abierto conocido o de un proveedor conocido y de buena reputación
  2. Use una frase de contraseña para la autenticación que no se usa en ninguna otra parte
  3. Asegúrese de que el cifrado se aplique a todo el archivo seguro y que sea al menos AES 256
  4. Evite las cajas fuertes en la nube si es posible (donde la caja fuerte se proporciona como un servicio en la nube, incluso si está cifrada con una clave que generan para usted). Hay demasiado riesgo con estos nuevos servicios. Pero está bien almacenar su archivo de claves en la nube siempre que el software de su cliente lo cifre / descifre (es por eso que el llavero de Apple también está bien)
  5. Si está tratando de hacer esto para múltiples usuarios en una empresa (por ejemplo, para contraseñas de root / admin), use una solución de bóveda empresarial como Cyber Ark, no un software seguro para contraseñas; Luego, también asegúrese de habilitar la autenticación multifactor que todos proporcionan (para evitar el problema de compromiso de AD anterior).
respondido por el JimBo 04.10.2017 - 23:20
fuente

Lea otras preguntas en las etiquetas