¿Los administradores de contraseñas en línea son seguros?

29

¿Se pueden usar los administradores de contraseñas en línea para almacenar y administrar contraseñas? Me refiero desde el punto de vista de la seguridad. Entiendo que esos sistemas pueden ser diferentes y algunos merecen más confianza que los otros, pero me refiero a la idea general de servicio público para almacenar contraseñas personales. ¿Es viable en su esencia?

Hace aproximadamente un año me inscribí en uno de estos servicios ( Passpack ). Parece confiable y profesional, pero todavía tengo miedo de comenzar a usarlo realmente y de cargar mis numerosas contraseñas allí. Y no es porque no esté dispuesto a actualizar a una cuenta pagada; Solo soy muy cuidadoso y dudo. ¿Estoy equivocado?

    
pregunta rem 13.11.2010 - 13:14
fuente

6 respuestas

21

Si está preguntando en teoría , ¿se puede construir un sistema de este tipo de forma segura?
Mi respuesta sería sí, absolutamente, pero no es un trabajo trivial, y muy probablemente se haría mal (dependiendo de quién lo diseñó y construyó).

Si está preguntando acerca de los servicios existentes , aunque no estoy familiarizado con el que mencionó, en general no conozco ningún sistema bueno, confiable y seguro para esto.

Si está preguntando, ¿cómo puedo saber si un sistema específico es seguro y confiable? , bueno, no puede.
A menos que usted (o un experto en el que confíe, y sea lo suficientemente competente en la tecnología dada) haya realizado una revisión exhaustiva del código, una prueba de penetración y otras revisiones de seguridad. Y despliegue periódico y exámenes del servidor. Y así sucesivamente ...

Y no, obtener una certificación de terceros como HackerSafe (ni siquiera PCI: DSS) es no lo suficientemente bueno, no es para que usted confíe las claves a sus datos más confidenciales. (A menos que sea un servicio que sepa lo suficientemente bien como para confiar ).

    
respondido por el AviD 14.11.2010 - 02:54
fuente
21

Recomendaría cambiar a Keepass o KeepassX para Linux y coloque todas sus contraseñas en la base de datos keepass cifrada, (bloqueada con una contraseña o archivo de clave) y luego coloque el archivo de la base de datos en la nube como S3 desde Amazon Web Services o Dropbox. Al hacer esto ... tiene un archivo de base de datos portátil que se puede descargar a cualquier computadora desde la nube y que solo el software keepass puede abrir con su clave / contraseña de descifrado.

    
respondido por el Eric Warriner 13.11.2010 - 14:05
fuente
10

En mi opinión, usar un servicio como passpack podría agregar otro "timbre débil" a tu cadena.

Sus contraseñas son seguras, tanto paranoico como usted acerca de ellas (piense en todas las mejores prácticas de contraseñas), usar un servicio como passpack hace que sus contraseñas sean también como todo el servicio de passpack ( ¿Están sus servidores seguros? ¿El front-end? Y así sucesivamente ...)

Debe evaluar cuál de estos aspectos de seguridad considera más seguros y en cuáles confía más. ¿Sus políticas de contraseña son seguras y confiables más que la seguridad de una aplicación de administrador de contraseña aleatoria? Si es así, entonces este servicio puede no ser para usted.

    
respondido por el gbr 13.11.2010 - 14:04
fuente
9

Estoy usando lastpass.com durante bastante tiempo. Las contraseñas se cifran con AES de 256 bits con contraseña maestra como clave. El proceso de descifrado comienza en su navegador. Aunque las contraseñas están cifradas, la obtención de la contraseña del servidor se realiza a través de SSL, lo que hace que el cifrado sea doble. Tienen 2 centros de datos y un servidor de respaldo que está una vez más encriptado. Si le asustan los keyloggers (deben estar en computadoras públicas), hay un teclado virtual en el sitio para iniciar sesión con la contraseña maestra. Las contraseñas de una sola vez también son opciones.

También, está compartiendo cuentas con otros usuarios sin darles su contraseña. Verifíquelo.

No estoy trabajando para lastpass.com, solo estoy satisfecho :).

    
respondido por el vvucetic 18.11.2010 - 23:07
fuente
6

Algunos puntos a considerar.

¿Cuáles son las alternativas? IMHO utilizando un administrador de contraseñas en línea es menos riesgoso que lo siguiente

  • usando la misma contraseña para todos tus cuentas
  • utilizando una hoja de cálculo estática que no está cifrada para almacenar sus contraseñas

Colaboración. ¿Debes compartir las contraseñas?

  • Los administradores de contraseñas en línea están diseñados para facilitar el intercambio de contraseñas, si comparte las contraseñas, debe poder actualizarlas fácilmente y asegurarse de que todos vean la última versión de inmediato.

Por otra parte, Kneepass es una buena solución, el problema es que está asumiendo más responsabilidad por las copias de seguridad, etc., aunque a pesar de que su código abierto no garantiza que no haya vulnerabilidades en el código.

    
respondido por el Mark McDonagh 27.06.2011 - 18:14
fuente
1

No consideraría almacenar mi contraseña en línea. Al menos no puedo confiar tanto en ellos.

Si está interesado, roboform para Windows (lo usó hace bastante tiempo), es bueno, y su característica más nueva también viene con la sincronización en línea. Keepassx para Linux también es una buena herramienta.

    
respondido por el Novice User 24.04.2012 - 18:23
fuente

Lea otras preguntas en las etiquetas