¿Es bueno el método de generación de contraseñas de MasterPasswords? [duplicar]

3

Acabo de descubrir el proyecto de código abierto MasterPassword . Genera una contraseña por sitio basada en nombre, contraseña maestra, sitio y contador. Por lo tanto, debe conocer su nombre y la contraseña maestra para obtener acceso.

Me gusta la idea detrás de este proyecto. Basado en esta pregunta , creo que esto mejoraría la seguridad, porque existe No hay datos almacenados en la nube.

¿Estoy equivocado? ¿Qué habla en contra?

    
pregunta ReeCube 23.02.2018 - 09:01
fuente

3 respuestas

6

Todas estas soluciones de contraseña "sin estado" tienen la misma estructura general:

  1. Hay una contraseña maestra que memoriza e ingresa en el programa cuando necesita usarla.
  2. El programa obtiene una clave criptográfica maestra de su contraseña maestra.
  3. El programa le solicita un conjunto de metadatos del sitio y de la cuenta que describe cada sitio o servicio que usa.
  4. Usando la clave maestra y los metadatos, el programa usa una función pseudoaleatoria para generar una contraseña del sitio de manera que sea pseudoaleatoria y repetible.

El problema con estos programas es que falsamente se anuncian a sí mismos como más seguros que los administradores de contraseñas encriptadas como KeePass, 1Password o LastPass. En este caso, la página del programa que preguntas dice esto:

  

La contraseña maestra es no un administrador de contraseñas. No almacena las contraseñas de su sitio web. Por lo tanto, no hay riesgo de que pierdas las contraseñas de tu sitio web (o que caigan en las manos equivocadas).

Y luego abajo:

  
  • No necesita preocuparse por la piratería de su sitio web de administración de contraseñas, duplicación de su teléfono, alguien que tome una foto de su libro de contraseñas: la contraseña maestra no almacena secretos.
  •   

Pero una declaración más precisa sería esta:

  • Con un administrador de contraseñas, un atacante debe robar su base de datos cifrada y adivinar su contraseña maestra para recuperar las contraseñas de su sitio.
  • Con su programa, no hay un paso para "robar la base de datos cifrada"; todo lo que un atacante debe hacer es adivinar su contraseña maestra y los metadatos de la cuenta.

Resulta que la razón por la que afirman que son más seguras que un administrador de contraseñas es la razón por la que están menos seguros que un administrador de contraseñas. Ooops.

    
respondido por el Luis Casillas 23.02.2018 - 23:21
fuente
5

De acuerdo con la documentación, en lugar de recordar una contraseña, debe recordar por sitio web: nombre del sitio (¿era .com o .co.uk? ¿puso el TLD al final?), sitio-contador y plantilla de sitio. Eso no es mucho mejor que recordar una contraseña.

No entiendo el propósito del contador del sitio: si se incrementa, su contraseña se rompe cada vez, por lo que este debe ser un valor constante. Si es una constante, no agrega ninguna seguridad. Actualización: como se menciona en un comentario (gracias), podría usarse para actualizar la contraseña de un sitio web cuando sea necesario. El mismo efecto se podría lograr de manera eficiente agregando un dígito al nombre del sitio web (que en teoría es un poco menos seguro), por lo que me parece una ingeniería excesiva.

Este software podría haberse hecho en JavaScript puro. En su lugar, usted proporciona sus credenciales a otra parte. Es de código abierto, por lo que alguien con más tiempo que yo podría comprobar que es legítimo.

    
respondido por el A. Hersean 23.02.2018 - 09:58
fuente
1

Al final, MasterPassword es como un administrador de contraseñas estándar, excepto por los siguientes inconvenientes:

1) no es conveniente realizar un seguimiento de las URL, los contadores del sitio, etc.

2) es menos conocido que las soluciones como 1password, LastPass, etc.

    
respondido por el user196499 23.02.2018 - 20:05
fuente

Lea otras preguntas en las etiquetas