Considere una computadora con solo 1 usuario, pero 3 contraseñas:
- 1 para Full Disk Encryption (FDE)
- 1 para una cuenta de usuario sin derechos administrativos, que sería la cuenta que el usuario usa todos los días
- 1 para una cuenta de usuario administrador, que solo se usaría cuando los programas requieran privilegios elevados
Estaba pensando en una computadora Windows con Bitlocker, pero la pregunta también podría aplicarse a otras soluciones FDE (por ejemplo, TrueCrypt / VeraCrypt), o incluso otros sistemas operativos (Linux, macOS, ...).
Por supuesto, usar 3 contraseñas diferentes sería ideal en términos de seguridad.
Sin embargo, usar un administrador de contraseñas no es realmente posible para estas contraseñas.
Entonces, ¿cuáles son las implicaciones de seguridad de usar la misma contraseña para estos 3 casos de uso ?
Puedo pensar en el siguiente riesgo: la contraseña de FDE normalmente es bastante segura contra los keyloggers de software (creo), sin embargo, la contraseña de la cuenta de usuario y la contraseña de la cuenta de administrador no lo son.
¿Hay otros riesgos?
Alternativamente, si usa 2 contraseñas diferentes, ¿cuál debería ser diferente de las otras 2?
Yo diría que el que se usa para FDE debería ser diferente. Parece aceptable tener la misma contraseña para la cuenta de usuario y la cuenta de administrador (siempre que solo haya 1 usuario), de la misma manera sudo solicita la contraseña del usuario (y no una contraseña de root) en Linux sistemas.