¿El usuario promedio realmente necesita un administrador de contraseñas?

Sí.

El usuario promedio debe usar contraseñas largas aleatorias para cada sitio. Las contraseñas no deben repetirse, las contraseñas no deben seguir un patrón discernible. El compromiso de cualquier contraseña (por ejemplo, el inicio de sesión de Adobe o LinkedIn) no debe permitir que el atacante pueda adivinar sus otras contraseñas. Estos requisitos hacen que recordar las contraseñas sea casi imposible. Pero esa no es la razón principal por la que debes usar un administrador de contraseñas.

La razón principal es que lo protege de manera confiable contra ataques de phishing. Un administrador de contraseñas integrado en el navegador solo completará una contraseña específica del sitio si realmente está visitando el sitio correcto. Por lo tanto, no escribirá accidentalmente su contraseña de Paypal.com en www.paypal.com.us.cgi-bin.webscr.xzy.ru. Esto es doblemente cierto para los usuarios promedio , quienes, en promedio, confían en la familiaridad general de un sitio para determinar si es legítimo o no (una heurística terriblemente ineficaz). Ya que no conoce su contraseña, no puede escribirla. En cambio, solo se llenará automáticamente si está en el sitio auténtico.

Use un administrador de contraseñas integrado en el navegador, no lo roben. Literalmente es así de simple. El phishing es una amenaza mucho más frecuente y grave que la divulgación de contraseñas, de todos modos.

Hay un pensamiento interesante en los laboratorios de investigación de Microosft que respalda su enfoque. enlace por ejemplo.

Señalan que no todas las cuentas seguras con contraseña son iguales. Los categorizan como:

• cuentas "no importa" (puertas desbloqueadas).
• cuentas de baja consecuencia (puertas de jardín cerradas).
• cuentas de consecuencia media (puerta de entrada bloqueada).
• cuentas de alta consecuencia (puertas de bóveda de banco).
• cuentas ultra-sensibles (las puertas blindadas que nos gusta imaginar están en NORAD).

y señale que es una pérdida de esfuerzo hacer que las contraseñas en las cuentas de "no importa" sean tan sólidas como las de las cuentas de alto impacto. Si no te importa una cuenta, ¿por qué no deberías usar "contraseña" como contraseña?

Estoy de acuerdo con ellos, pero sigo usando un administrador de contraseñas y tengo contraseñas seguras únicas para todo, por la sencilla razón de que no quiero pasar el tiempo averiguando qué valor pongo en cada cuenta. Con mi administrador de contraseñas, simplemente subo todo a la fuerza y me olvido.

Por lo tanto, recomendaría un administrador de contraseñas al usuario promedio, porque es la forma más fácil de hacer que usen contraseñas seguras.

Otros han señalado los beneficios para la seguridad, solo me centraré en la conveniencia y los inconvenientes.

Si utilizas tu administrador de contraseñas para todo lo que hago yo, guarda en lugares donde no se puede acceder al administrador, quedas condicionado a usar su conveniencia.

Los diferentes sitios tienen políticas diferentes, por lo que a veces ni siquiera es posible dejar la puerta abierta, debe escribir con mayúscula la primera letra, o cualquier derivación rápida de su contraseña de uso en todas partes.

Hay muchas veces en las que no podía recordar si había usado la contraseña incorrecta o si necesitaba poner algo en mayúscula o si estaba usando el nombre de usuario o el correo electrónico incorrectos.

Los mejores administradores de contraseñas recuerdan esto, incluso si borras la memoria caché del navegador. Esto tiene el beneficio de seguridad adicional de vencer los intentos de phishing cuando utiliza los complementos que registran sus credenciales en un dominio, como lo hace LastPass.

Sin embargo, no siempre es tan conveniente como cuando se usa un navegador de escritorio, LastPass para iPhone no se integra con Safari, pero es en sí mismo un navegador y se puede usar para copiar la contraseña en el portapapeles.

Para ser justos, por el otro lado, si no sabe cuáles son sus contraseñas y no tiene acceso a su administrador, no está iniciando sesión en nada.

Sí, la mayoría de los administradores de contraseñas le impiden hacer cosas como colocar su contraseña en el sitio incorrecto.

El pensamiento tradicional de cambiar las contraseñas de manera regular realmente se aplica a los sitios donde el actor malintencionado querría abandonar o hacer cosas en silencio con su cuenta. Cosas como sitios de redes sociales o correo electrónico. En esos momentos es bueno cambiar regularmente su contraseña. Esto hace que sea más difícil recordar las contraseñas y, por lo tanto, otro beneficio de un Administrador de contraseñas.

De Schneier: "La razón principal para otorgar una credencial de autenticación, no solo una contraseña, sino cualquier credencial de autenticación, es una fecha de vencimiento para limitar la cantidad de tiempo que una credencial perdida, robada o falsificada puede ser utilizada por otra persona. Si una tarjeta de membresía expira después de un año, si alguien roba esa tarjeta, como mucho puede obtener un año de beneficios. Después de eso, es inútil. "

Los sitios que la gente parece preocuparse más por las contraseñas, como la banca u otros sitios financieros, en realidad son menos importantes para cambiar con frecuencia con tanta frecuencia. Un actor malintencionado que obtiene esta contraseña la usará y usted lo notará (si no lo nota, tiene problemas mucho más grandes que las contraseñas).

Dicho todo esto, sí, los administradores de contraseñas son excelentes para los usuarios promedio, pero aún más importante es recordar que las contraseñas son una forma muy insegura de proteger sus datos. supervise sus cuentas, restrinja el acceso a sus cuentas desde lugares desconocidos y supervise sus cuentas (sí, lo repetiré una y otra vez).

¿Puedo darte un ejemplo de cómo podría explotarte?

Uno de los foros (las frutas que cuelgan más abajo) tiene sus datos de usuario filtrados, ahora tengo su nombre, dirección de correo electrónico, contraseña y posiblemente pueda resolver algunos de sus hábitos de navegación.

Supongamos que no tengo su contraseña en texto sin formato, por lo que le envío un correo electrónico informándole que su cuenta se ha visto comprometida. Vaya a ALFAR0ME0F0RUM.COM que le ofrece la página de "cambio de contraseña" como espera. Puso una variante de su contraseña normal, ahora tengo una variante de su contraseña normal en texto plano. Ahora puedo descifrar fácilmente tu contraseña original, ahora tengo 2 de tus contraseñas recicladas.

Ahora supongamos que usó una cuenta de correo no principal para AlfaRomeoForum.com que usa las contraseñas recicladas. Ahora puedo ver todos los servicios en los que te registraste con esa dirección de correo electrónico y puedo adivinar las contraseñas.

Has comprado algo usando esta dirección de correo electrónico, ahora sé qué compraste y cuándo.

Vaya, aquí hay un servicio que tiene su dirección de correo electrónico principal (inicié sesión y es un nombre de usuario / contraseña y ha cambiado la dirección de correo electrónico en algún momento)

Ahora puedo telefonearlo y hacerle algunas preguntas de seguridad debido a que hay un problema con su pedido. Configuró la cuenta hace mucho tiempo que no puede recordar que no se hicieron preguntas de seguridad al configurar la cuenta de esa tienda.

Supongamos que tienes un iPhone, ahora puedo telefonearlos para obtener una contraseña temporal, puedo responder las preguntas de seguridad porque me las contaste. Ahora tengo acceso a su iMessage, que también es su mensaje de texto.

Solicito un restablecimiento de la contraseña de su proveedor de correo electrónico principal, que necesita un PIN que SMS envía a su teléfono. Ahora tengo acceso a su correo electrónico y puedo enrutarlo como hice con el otro.

Actualmente no puedo pensar en cómo comprometer su cuenta bancaria, ¿pero ahora puede ver cómo un solo agujero en la seguridad puede abrir todo? incluso si utilizaste tu correo electrónico principal para la cuenta original que estaba comprometida, aún podría haber ido a la caza de tus cuentas, simplemente hubieran sido más difíciles de encontrar.

Si piensa que la gente no haría esto, consulte aquí