¿Cuál es una buena forma práctica (y sana) de administrar todas sus contraseñas para sitios en línea?

Lo que hago es lo siguiente:

• Escribo las contraseñas.

Muchas personas se estremecerán, gritarán, me maldecirán y dirán que esto está mal y que nunca se debe hacer, pero esto es una afirmación demasiado simplista. Los detalles importan. Aquí están los detalles:

• Guardo las contraseñas en un archivo de texto.

• Cuando salgo de mi casa y debo acceder a mis contraseñas, traigo un netbook. Esa computadora tiene algunas características específicas:

  1. Se ejecuta Ubuntu (una distribución de Linux).
  2. No se configura ningún espacio de intercambio. Lo que está "en la RAM" es realmente "en la RAM física" y nunca llega al almacenamiento permanente.
  3. El directorio /tmp es un tmpfs , es decir, los archivos en ese directorio solo están en la RAM (y eso es RAM física, ver más arriba).
  4. Siempre apago la máquina; Nunca lo puse en "modo de suspensión".

  Bajo estas condiciones, tengo una garantía razonable de que si escribo un archivo en /tmp , lo leo, apago la computadora, entonces el contenido del archivo no será accesible para ningún malhechor que robe la máquina.

• Mi archivo lleno de contraseñas está cifrado simétricamente con GnuPG , con una frase de contraseña grande, gorda y fuerte ( esa frase de contraseña , la guardo en mi cerebro).

• Cuando debo usar una contraseña, descifro el archivo en el directorio /tmp y lo borro inmediatamente después; y cuando ya no necesito usar la computadora, la apago, como es mi costumbre.

Bajo estas condiciones, mis contraseñas son razonablemente seguras. Esto no es perfecto: si mi computadora es pirateada en silencio y el atacante puede observar todo lo que hago durante mucho tiempo, obtendrá mis contraseñas, pero las obtendría de todas formas en estas condiciones, aunque solo fuera con algún código malicioso. el navegador web en sí (independientemente de cómo administre sus contraseñas, el código del navegador web las obtiene en algún momento, ya que debe enviarlas a los servidores que las soliciten). Afirmo que mi método es mucho más seguro que la alternativa común, que es reutilizar contraseñas en varios sitios. ¡No reutilice contraseñas!

(En la práctica, rara vez tengo que acceder a mi archivo de contraseñas, porque recuerdo las contraseñas que escribo a menudo, y las que no escribo a menudo, bueno, las escribo rara vez, por definición).

Use un administrador de contraseñas como KeePass .

Haz que genere automáticamente una contraseña diferente para cada cuenta que poseas. Esto asegura que sus contraseñas sean mucho más complejas y mucho más diferentes de lo que un cerebro humano podría manejar. También tiene la ventaja de que ni siquiera conoce sus contraseñas, lo que lo protege de muchos ataques de ingeniería social.

¿Pero qué pasa si tienes varios dispositivos? Cualquier administrador de contraseñas sensato requerirá una contraseña maestra para toda su base de datos de contraseñas y la cifrará fuertemente con una clave derivada de ella. Eso significa que su archivo de contraseña se guardará para publicar siempre que su contraseña maestra sea lo suficientemente segura. Eso significa que incluso podría usar los servidores de la nube que son propiedad de otra persona (como dropbox.com) para sincronizar su archivo de contraseña entre sus dispositivos.

Lastpass combina la administración de contraseñas con la sincronización en línea, pero debido a algunos problemas de seguridad que tuvieron en el pasado soy un poco reacio a recomendarlos (aunque es muy probable que ninguno de ellos haya filtrado las contraseñas de los usuarios de texto simple).

Si busca una solución fuera de línea, puede utilizar Off The Grid de Steve Gibson. Es un cifrado basado en papel que le permite convertir un nombre de dominio en una contraseña. Esto le brinda mucha seguridad, ya que no requiere confiar en ninguna fuente de terceros. Sé que mencionó que puede olvidarlo, pero es fácil de guardar en una billetera.

Lo básico es tomar una tabla de caracteres de 26x26. Esta tabla sigue reglas similares a Sudoku (solo uno de cada carácter en cada fila y columna). Esto comienza con mucha entropía (1400 bits mínimo). Los conceptos básicos de cómo usarlo son bastante fáciles (no me molestaré en volver a escribirlos todos de nuevo). El mayor riesgo es que alguien robe físicamente tu cuadrícula. Incluso entonces hay algunos pasos que puede tomar lentamente (debe ser lo suficientemente largo como para darse cuenta de que alguien lo ha robado). Estos métodos incluyen,

1. Elegir una ubicación de inicio diferente
2. Extracción (puede hacer esto si está pendiente / agregando algo al realizar el cifrado)
3. Al realizar el cifrado (lea la página correspondiente) en lugar de elegir los siguientes dos caracteres. En su lugar, elija tal vez los siguientes tres caracteres, uno a través de uno arriba, dos abajo uno a la izquierda, etc.

Me gusta usar Portal de identidad personal de VeriSign. Funciona automáticamente con una gran cantidad de sitios web importantes y también puede agregar sus propios sitios personalizados. También tiene algún soporte para OpenID. La mejor característica es el inicio de sesión con 1 clic, que le brinda un fragmento de código JavaScript que lo iniciará automáticamente en la página actual.

Creo que la mejor manera de administrar un gran número de contraseñas es almacenando una lista cifrada detrás de una contraseña que ha ingresado en la memoria.

@Tom Leek parece estar haciendo esto de la manera más difícil, la manera más fácil sería usar uno de los programas mencionados por @Matt. La forma fácil puede ser algo menos segura, pero espero que la forma fácil sea lo suficientemente segura para la mayoría de los usuarios. Según el programa que elija, es posible que pueda usar el mismo archivo de lista en diferentes plataformas, incluidos los dispositivos móviles.

La forma en que administra las contraseñas es realmente una pregunta separada de cómo genera las contraseñas, pero si está dispuesto a confiar en una lista, puede tener una contraseña aleatoria única para cada sitio. No habría necesidad de seguir un esquema de generación de contraseñas no aleatorias, no es necesario volver a usar una contraseña nunca, y no hay problema en cambiar una contraseña en cualquier momento. (Pero, para generar contraseñas, recomiendo no usar ninguna contraseña generada por cualquier sitio web. Si desea que se haga mediante programación, ejecute algo local).

Si el cifrado de la lista en sí es seguro, y la contraseña para descifrar la lista es segura, no hay que preocuparse por el acceso no autorizado a la lista encriptada (por ejemplo, almacenándola en Dropbox, perdiendo su teléfono o teniendo su ordenador robado). El inconveniente es que si la contraseña de su lista se ve comprometida, todas las contraseñas de la lista también se verán comprometidas, junto con cualquier otra información almacenada en el archivo. Esto es muy malo si sucede, pero, considerando que la contraseña de la lista nunca debe almacenarse en ningún lugar y nunca debe usarse fuera de una aplicación local, y que otras opciones tienen dificultades para manejar el Decenas a cientos de cuentas que muchas personas tienen, vale la pena considerar el uso de una lista cifrada.

Uso un administrador de contraseñas, que replica mis datos a través de Dropbox y que se integra con la mayoría de los navegadores y aplicaciones que uso. Aparte de algunas contraseñas maestras largas, como la de mi cuenta de correo electrónico, computadora y administrador de contraseñas, simplemente no conozco mis contraseñas. Todos ellos son "basura" aleatoria muy larga, única para cada sitio, y si alguna vez se perdieran, por cualquier razón, usaría la función de recuperación del sitio para establecer una nueva.

Érase una vez, usé diferentes esquemas para crear patrones de contraseña "inteligentes", que fácilmente podría deducir cada vez. Desde la URL, o alguna otra información clave específica del sitio, pero terminó siendo simplemente demasiado para recordar. Cuando necesitaba la misma contraseña en diferentes contextos (como cuando varios sitios relacionados compartían una base de datos de un solo usuario), o si necesitaba reemplazarla, el patrón se llenó de excepciones. Descubrí que simplemente no vale la pena el esfuerzo, ser inteligente.

Esto es lo que hago:

Recuerde solo una frase maestra larga.

Genere contraseñas generadas aleatoriamente para todos los sitios en los que se registre.

Y cifre todos con esa frase maestra en cualquier software que desee que sea compatible con el cifrado. Asegúrese de que sea un software con cifrado sólido como OneNote con AES-256 en modo CBC ( enlace ).

Copie / pegue la contraseña generada aleatoriamente en el sitio / aplicación que necesita para iniciar sesión cuando sea necesario.

De esta manera:

• Un servicio comprometido no expone sus otros servicios. (yahoo, adobe, snapchat, todos han sido comprometidos en el pasado)
• Cero correlación entre las contraseñas entre los servicios, ya que tendemos a memorizar una contraseña de "plantilla" y realizar múltiples variaciones para los sitios.

En 2016, debemos mantener las contraseñas de más de 30, más de 40 sitios. La exposición es demasiado alta, hay casi un 100% de probabilidades de que uno de los sitios en los que se haya registrado se haya visto comprometido, y otra persona tenga su contraseña en algún lugar del mundo ( enlace ).

La única persona que debe saber acerca de su frase maestra es la persona que administra su voluntad.