Administrador de contraseñas y recuperación de cuenta

3

Me gustaría comenzar a usar un administrador de contraseñas, pero no estoy seguro de cómo manejar la recuperación de la cuenta.

No soy un criminal o un agente secreto, por lo que si pierdo mi contraseña maestra (o mi segundo factor de autenticación, como una unidad de memoria Yubikey, o mi propio dedo pulgar), no quiero que mis datos sean irrecuperables ( y con "mis datos", me refiero a "mi derecho de acceso a todas mis cuentas para las que utilicé mi administrador de contraseñas para almacenar contraseñas potencialmente automáticas y olvidables": puedo perder el acceso a mi administrador de contraseñas, si puedo restablecerlo y recupere el acceso a todas mis cuentas por separado con cada una de las opciones de recuperación de sus cuentas).

Supongamos que no utilizo la recuperación de la bóveda del administrador de contraseñas, porque todas están cerradas de forma insegura o poco práctica cuando están disponibles.

La única manera de poder recuperar cualquier cuenta en cualquier situación (teléfono, computadora y contraseña en una hoja de papel perdida o tomada por otra persona, por ejemplo) es usando la recuperación de cuenta de una dirección de correo electrónico, ya que solo requiere un acceso a Internet y una contraseña, pero simplemente mueve el problema a otra parte.

Por ejemplo, podría usar una dirección de correo electrónico de recuperación única para todas las cuentas de un proveedor orientado a la seguridad como ProtonMail, y usarla solo para la recuperación de la cuenta para hacerla menos visible a los posibles atacantes.

Pero aún es otra contraseña para recordar (con la contraseña maestra) y otro punto de entrada, y si uso el administrador de contraseñas para almacenar esta nueva contraseña pero pierdo la contraseña maestra, la dirección de recuperación se vuelve inútil.

La única solución en la que puedo pensar es usar una persona de confianza (como mi esposa) para almacenar en su administrador de contraseñas la contraseña de mi dirección de recuperación y nunca cambiarla (a menos que su contraseña maestra esté comprometida, por ejemplo), y podría haz lo mismo por los suyos. De esa manera, es poco probable que ambos perdamos acceso a nuestros respectivos administradores de contraseñas.

Entonces, mi pregunta es: ¿Cuál es la mejor estrategia para el administrador de contraseñas y la recuperación de la cuenta?

¿Los administradores de contraseñas son más seguros que mis propuestas para la recuperación de la bóveda? ¿Hay mejores alternativas?

P.S. : Cuando digo "recuperación de la bóveda del administrador de contraseñas", me refiero a "medios del administrador de contraseñas para recuperar mi bóveda o mi contraseña maestra", y cuando digo "recuperación de cuenta", me refiero a "medios del proveedor de la cuenta para recuperar mi cuenta o mi contraseña que He almacenado en mi administrador de contraseñas ", por ejemplo, medios de recuperación de cuenta específicos de Facebook.

    
pregunta CidTori 15.04.2018 - 15:01
fuente

3 respuestas

1

Creo que estás confundido acerca de cómo funcionan los administradores de contraseñas. Mencionas que usas una opción de recuperación de correo electrónico, eso no es posible con ningún administrador de contraseñas serio. Un servicio de administración de contraseñas no conoce su contraseña maestra, por lo que no pueden devolvérsela en un correo electrónico. Es simplemente imposible.

Algunos administradores de contraseñas admiten el acceso de emergencia (por ejemplo: acceso de emergencia de LastPass ) que les da a otros usuarios retrasados acceso a su bóveda. Esto le permite darle acceso a alguien a su bóveda después de que no haya iniciado sesión durante algunos días. Tenga en cuenta que esto puede no incluir la recuperación de la contraseña maestra (LastPass no admite la recuperación de contraseñas), pero le da acceso al contenido de la bóveda. Con este método de recuperación, puede almacenar su contraseña maestra en su bóveda y confiar en la persona de confianza y el acceso de emergencia demorado para recuperar la contraseña maestra.

La estrategia de recuperación de emergencia es similar a usar la bóveda de otra persona para almacenar su contraseña, pero agrega un retraso. Esto tiene sus pros y sus contras. Si necesita la contraseña rápidamente, el retraso es una molestia. Pero si la bóveda de contraseñas de la otra persona está comprometida de alguna manera, el retraso le da tiempo para revocar el acceso de emergencia antes de que la suya también se vea comprometida.

Si desea usar el papel como copia de seguridad de su contraseña maestra, guárdelo en un lugar seguro, como una caja de seguridad. Si bien eso no proporciona acceso instantáneo, reduce la posibilidad de que un atacante vea el papel casi a cero.

La solución más fácil es, por supuesto, no olvidar su contraseña maestra. Personalmente, escribo mi contraseña maestra cuando la cambio, la llevo conmigo por unos días, luego la desecho de forma segura (considerar fuego) una vez que la haya memorizado. Nunca lo he olvidado (aunque tengo una configuración de recuperación de emergencia).

    
respondido por el Neil Smithline 15.04.2018 - 16:14
fuente
1

Estoy usando una bóveda de contraseñas durante años y nunca he olvidado la contraseña maestra. Las amenazas que considero son:

  • piratería de mis cuentas web: el administrador de contraseñas ofrece una generación de contraseñas aleatoria fácil
  • bóveda robada: la bóveda de contraseñas solo se instala en los dispositivos locales (mi teléfono, el teléfono de mi esposa y nuestra PC, y nunca se envía en la red = > solo se puede robar si uno de los dispositivos también lo está. Tengo planeado cambiar todas las contraseñas lo antes posible si esto sucediera
  • bóveda dañada: como existe en 3 dispositivos diferentes, espero que los 3 no se rompan al mismo tiempo, y que yo pueda restaurar una copia rota de una buena
  • pérdida de la contraseña maestra: espero que mi esposa y yo no la olvidemos al mismo tiempo. El inconveniente es que rara vez lo cambio. Lo ideal sería escribirlo en un papel almacenado en una caja de seguridad física, pero considero que el riesgo no vale la pena.

Los riesgos que acepto:

  • Debo confiar en mi esposa ...
  • la contraseña maestra no es tan segura y no se cambia con frecuencia, pero un pirata informático primero debe robar un dispositivo físico, y he planeado cambiar todas las contraseñas contenidas si eso sucediera
  • la sincronización entre las 3 bóvedas es manual: sé que debo hacerlo siempre que se agregue o cambie una contraseña
  • si un malvado logra robar uno de los dispositivos que contienen la bóveda, espero que lo note y pueda cambiar todas las contraseñas antes de que pueda romper la contraseña maestra

Las amenazas que ni siquiera se mitigan:

  • el ataque con manguera de goma . En mi humilde opinión es probablemente el mayor riesgo en términos de consecuencias si no es así, pero sigue siendo el más difícil de prevenir
  • ataques internos en los sitios (banco). Debo confiar en los sitios que uso.

No pretendo que esta sea la mejor solución, es solo una posible, y una que se ajuste a mis necesidades.

    
respondido por el Serge Ballesta 17.04.2018 - 11:42
fuente
0

Fundamentalmente, no quiere que todas sus contraseñas dependan de una sola contraseña, ¡que podría olvidar! y eso es una precaución razonable. Apostaría a que más personas han perdido el acceso a los administradores de contraseñas debido a las contraseñas perdidas que a los "piratas informáticos".

Su solución de compartir con su esposa resolvería este problema, ya que ambos actúan como copias de seguridad entre sí, pero también lo exponen a una nueva amenaza. Si alguien hackeara el último paso de tu esposa, también conseguirían el tuyo. Todavía creo que la solución es práctica, pero no la llamaría "la mejor".

Se vuelve un poco más complicado cuando hablamos de MFA. Porque las contraseñas por sí solas no son suficientes si ha perdido su token / código MFA.

Usando LastPass como ejemplo, su MasterPassword se usa para cifrar todas sus contraseñas. Sin él, no podría recuperar sus contraseñas; sin embargo, su código MFA NO se usa para el cifrado, solo para la autenticación. Por lo tanto, una pérdida del token / código de MFA aún sería recuperable, generalmente a través del restablecimiento del correo electrónico.

Si su correo electrónico principal tiene AMF, entonces puede ver en qué tipo de agujero de conejo vamos a entrar aquí. Si está en GMail, probablemente después de un largo recorrido con un empleado de Google, recibirá su correo, lo que le permitirá recuperar el acceso a LastPass (no las contraseñas en LastPass, solo el acceso a el blob encriptado que almacena). Después de hacer esto, puede obtener su contraseña de la cuenta de su esposa y, de pronto, volverá a la normalidad, pero este proceso puede llevar días (quizás semanas).

Mi recomendación es almacenar su MasterPassword y algunos códigos de respaldo físicamente en algún lugar (desconectados de Internet). Ya sea en una hoja de papel o en un ThumbDrive que use específicamente para este propósito. Para ser claros, las contraseñas y los códigos deben mantenerse separados unos de otros, ya que se utilizan para diferentes situaciones. Y un ladrón que robó accidentalmente uno no pudo obtener acceso a su cuenta.

Esa 'cosa' física puede guardarse en un lugar que usted y su esposa conozcan, ya sea en una caja fuerte, en un cajón cerrado en su casa, incluso en un pedazo de papel que oculta en la enciclopedia británica (porque yo Aún no he encontrado un ladrón que haya robado uno de esos).

En el caso de que se pierda la contraseña, la buscará en el papel o la unidad con la contraseña de último paso. En el caso de que se pierda un teléfono (con su token de MFA), simplemente buscará los códigos de respaldo de MFA (porque aún recuerda su contraseña).

En el caso de que te prohíba el cielo, mueres en un accidente aéreo, donde se pierden tanto la contraseña como los tokens, tus seres queridos pueden acercarse a ambos y reactivar tu cuenta (siempre que les indiques dónde están son).

Por supuesto, siempre existe la posibilidad de que alguien entre a su casa y robe 'tanto' la contraseña como los tokens y obtenga acceso a su cuenta. Para mí, esto es un riesgo razonable: la otra cara es recordar su contraseña y solo escribir sus tokens de respaldo.

    
respondido por el keithRozario 16.04.2018 - 06:29
fuente