Uso del administrador de contraseñas junto con una contraseña recordada

Navega tus respuestas
3

Deseaba hacer la transición a un administrador de contraseñas por un tiempo. He leído e investigado, por lo que conozco todos los beneficios de usar un administrador de contraseñas en lugar de usar las mismas 3 contraseñas en todos los sitios. Una cosa que todavía me asusta es "poner todos mis huevos en una canasta". Sin embargo, es poco probable que, si mi bóveda de contraseñas se ve comprometida, entonces prácticamente todas mis cuentas son pirateadas. La probabilidad de eso es pequeña (LastPass fue pirateado y la fuerza bruta del atacante abrió mi bóveda), pero el impacto es enorme. Esta ha sido la razón principal que me ha impedido usar un administrador de contraseñas.

¿Qué sucede si uso un administrador de contraseñas junto con una contraseña que solo está en mi cabeza? Así que la contraseña real para mi cuenta es de 2 partes, la primera desde el administrador de contraseñas y la segunda desde mi cabeza, concatenadas juntas. La segunda parte sería algo que es común a todas las cuentas, pero que no está escrito / almacenado en ninguna parte.

el único inconveniente que puedo ver es que la autocompletar de la contraseña no funcionará, pero la contraseña completa de mis cuentas nunca se almacena en ningún lado.

¿Es este un esquema mejor? Obtengo el beneficio de una contraseña compleja sin reutilización, e incluso una bóveda de contraseña dañada no revelará mis contraseñas reales.

    
pregunta Jack W 09.02.2018 - 01:42
fuente

3 respuestas

2

Su esquema parece inconveniente hasta el punto de que la OMI no merece la pena que yo me sometería.

Confío en los administradores de contraseñas lo suficiente (LastPass) para proteger las contraseñas. Todos los datos que almacenan en la nube están cifrados, solo se descifran localmente en su navegador.

En cualquier caso, me preocuparía por el problema mayor de que no todos los sitios web siguen las mejores prácticas para la administración / hash de contraseñas, por lo que no basta con tener solo la contraseña, sin importar qué tan bien protegida esté.

Mi recomendación es que el administrador de contraseñas se encargue de las contraseñas, pero asegúrate de habilitar autenticación de segundo factor (2FA) para sitios importantes.

Si un sitio no admite 2FA de algún tipo, espero que no sea un sitio importante ... asegúrese de que no almacene su tarjeta de crédito o información confidencial sobre usted.

    
respondido por el HTLee 09.02.2018 - 04:11
fuente
0

Si le preocupan los ataques automáticos (por ejemplo, una violación a gran escala, con los bots que intentan iniciar sesión en un montón de cuentas diferentes), esta puede ser una buena estrategia. El solo hecho de agregar una sola letra a todas las contraseñas detendría a un robot tonto, y si no es lo suficientemente interesante, nadie se molestaría en investigar por qué no funciona. Personalmente, me parece inconveniente, pero es más una preferencia personal.

Por otra parte, si está preocupado por un ataque dirigido, no estoy tan convencido de que sea una buena idea. Puede suponer que al menos una de sus contraseñas se filtrará, por lo que un atacante podría descubrir su patrón. Cambiar todas las contraseñas cada vez que se filtra una de ellas rápidamente se vuelve inviable.

Entonces, en vez de eso, tal vez debería tomar la contraseña de bit adicional que debe memorizar y agregarla a su contraseña maestra. ¡Eso podría evitar que su bóveda se rompa en primer lugar!

    
respondido por el Anders 09.02.2018 - 10:23
fuente
0

Ciertos administradores de contraseñas (es decir, KeePass) le permiten autenticarse utilizando una combinación de contraseña maestra y un archivo de clave (que puede guardar en un USB) que es básicamente una versión alternativa de 2FA.
Este método está completamente desconectado ya que el archivo de contraseña se almacena en su disco. Si no confía en el almacenamiento de terceros de su archivo de contraseña (como una aplicación en línea como LastPass), puede optar por esto.

    
respondido por el jonna_983 09.02.2018 - 11:54
fuente

Lea otras preguntas en las etiquetas

TLS / SSL a través de USB usando OpenSSL [cerrado] ¿Cuál es el riesgo principal de permitir que los servicios inicien sesión como NT AUTHORITY \ SYSTEM?