¿Hay un caso de uso que hace que el administrador de contraseñas quede obsoleto?

22

Fondo

Trevor planteó una pregunta sobre la naturaleza y la validez del uso de un administrador de contraseñas, dado el modelo de autenticación actual en la mayoría de los recursos web.

  • Advertencia: esta no es la pregunta ingenua acerca de si los administradores de contraseñas son inseguros en general, Trevor sabe que la pregunta se ha formulado y se ha respondido muchas veces (todo se trata de un riesgo relativo).
  • Advertencia: esta tampoco es la pregunta de rutina del perfil de riesgo relativo entre los administradores de contraseñas y la memorización y la entrada manual solo. Trevor también está familiarizado con esa discusión.

Preguntas

Trevor formuló una pregunta que cuestiona si los administradores de contraseñas están obsoletos en función de la funcionalidad .

Si un usuario puede seleccionar de forma confiable "Olvidé mi contraseña" en la mayoría de los sitios web, y se inicia un restablecimiento de contraseña y se envía un enlace a su bandeja de entrada de correo electrónico, luego < strong> ¿su bandeja de entrada de correo electrónico no tiene la misma funcionalidad de un administrador de contraseñas?

¿Cuál es la ventaja de tratar de recordar una contraseña o de almacenar una contraseña en un administrador si un usuario puede obtener de manera confiable un enlace para restablecer la contraseña cada vez que desee iniciar sesión en el sitio ?

Nota

Esta pregunta no es idéntica a Si incluyo un servicio de Olvidé mi contraseña, ¿para qué usar una contraseña? .

Aunque similar, esta pregunta pretende descubrir qué ventaja relativa (o desventaja) existe cuando el caso de uso se compara con un administrador de contraseñas.

En la otra pregunta, el caso de uso se compara con la memorización de memoria, y no identifica el hecho de que un administrador de contraseñas pueda ser equivalente a simplemente olvidar las contraseñas y usar un inicio de sesión único.

    
pregunta dreftymac 01.05.2015 - 22:02
fuente

6 respuestas

25

Su argumento depende del uso de un servicio basado en web. Si usa su administrador de contraseñas para SFTP, unidades cifradas, aplicaciones de escritorio, etc., entonces no tiene una opción de restablecimiento de autoservicio.

Si queremos continuar el argumento solo para aplicaciones web, aquí hay algunos problemas:

  1. Esto requiere que use una dirección de correo electrónico, que puede no ser práctica (el correo electrónico del trabajo contra el personal no debe estar mezclado) o puede no ser deseado (inquietudes de anonimato, organización, correo electrónico compartido para un club, etc.) . Si utiliza varias direcciones de correo electrónico, esto también reduce el impacto de que una de ellas se vea comprometida.

  2. Esto requiere que el proveedor de servicios requiera una dirección de correo electrónico, no todos los servicios solicitados o que usted proporcione una dirección de correo electrónico.

  3. No estoy seguro de que desee contar con la confiabilidad de un servicio de restablecimiento. Esto puede llevar mucho más tiempo para que el correo electrónico de restablecimiento se realice. El proveedor del servicio puede ( debería ) limitar las solicitudes de este tipo.

  4. Los restablecimientos de contraseñas no están diseñados para este propósito. Un restablecimiento de la contraseña puede ser parte de un análisis integral para poner a la cuenta en una alerta más alta para el monitoreo. La cuenta se acaba de reiniciar, esto es inusual, así que aplique más monitoreo y verificaciones porque el reinicio puede indicar una toma de control de la cuenta. Los restablecimientos de contraseñas generalmente no se consideran la norma .

  5. Para restablecer la contraseña, a menudo hay preguntas desafiantes, por lo que aún deben ingresarse cada vez. Esto es necesario porque no se puede saber que la cuenta de correo electrónico sea segura o esté aislada para el usuario. Dependiendo de a quién le preguntes, esto es como combinar "algo que sabes" (preguntas de desafío) con "algo que tienes" (la cuenta de correo electrónico).

  6. Personalmente preferiría que el atacante tuviera que irrumpir en mi computadora en lugar de encontrar una falla en el sistema de proveedores de correo electrónico, redes internas, etc. Realmente no siento que mi correo electrónico en Internet sea seguro o privado .

  7. Incluso si esto fue súper rápido, en todos los casos y no hubo preguntas desafiantes, todavía es tedioso, requiere cambiar de pestaña, etc. También puede distraerse con sus otros correos electrónicos, las cosas pueden ir accidentalmente a SPAM. Uso un atajo de teclado para auto-escribir, muy rápido y transparente. Mi administrador de contraseñas también borra mi portapapeles.

Al final del día, creo que tengo más control sobre el administrador de contraseñas de mi escritorio, se aplica en muchos más escenarios y es más fácil y más confiable.

    
respondido por el Eric G 01.05.2015 - 23:07
fuente
8

Mi respuesta sería no, no están obsoletas. Tu alcance es demasiado estrecho. Está pensando que todas las contraseñas almacenadas en un administrador de contraseñas se pueden restablecer. No tiene en cuenta:

  • contraseñas para sistemas operativos
  • contraseñas para proteger certificados
  • contraseñas para proteger equipos de red

Estas contraseñas no se pueden "restablecer" con un enlace de restablecimiento simple y requieren una mayor interacción por parte del usuario. Por lo tanto su declaración es falsa.

    
respondido por el Lucas Kauffman 01.05.2015 - 22:14
fuente
4

Creo que estás haciendo la pregunta incorrecta. La pregunta correcta sería, en este día de 100 cuentas diferentes por cada persona (correo electrónico, foros, sitios web, etc.), ¿puede recordar una contraseña diferente para cada una?

No, realmente no puedes. Y, con la prevalencia de hacks que roban la base de datos de contraseñas (encriptadas o no) de un sitio web u otro, la reutilización de contraseñas entre sitios es algo que ya nadie debería hacer. Siempre. Si tiene una memoria eidética y puede recordar una contraseña diferente para cada sitio que visita, entonces por supuesto, elimine un administrador de contraseñas.

No intentes usar solo 2 o 3 contraseñas diferentes en todos los servicios en línea que utilizas, porque te estás abriendo a un mundo de dolor cuando uno de esos sitios tiene una seguridad horrible y accidentalmente da tu contraseña a Los últimos "hackers rusos". Garantizo que intentarán esa contraseña expuesta en todas las instituciones financieras para ver si la reutilizó en algún lugar. Me sucedió: afortunadamente no reutilizo las contraseñas, pero como mi nombre de usuario era el mismo, pudieron bloquearme tres de mis cuentas financieras con intentos de inicio de sesión fallidos.

    
respondido por el Tony Maro 01.05.2015 - 22:29
fuente
2
  

¿Cuál es el beneficio de tratar de recordar una contraseña o de almacenar una contraseña en un administrador si un usuario puede obtener de manera confiable un enlace para restablecer la contraseña cada vez que desee iniciar sesión en el sitio?

Esto es aproximadamente equivalente a concepto de autenticación sin contraseña de Yahoo . En realidad, solo tiene sentido en situaciones en las que se autentica con poca frecuencia que pasar por un bucle de correo electrónico sea menos complicado que la alternativa.

Sin embargo, la pregunta de si un administrador de contraseñas es relevante no tiene ninguna relación. Es como preguntar si los administradores de contraseñas están obsoletos ahora que el nuevo álbum de Kayne West está fuera. El uno simplemente no sigue al otro.

Los administradores de contraseñas simplifican considerablemente la seguridad en línea y ofrecen una protección significativa contra el phishing . Este valor no se ve afectado de ninguna manera por la disponibilidad de restablecimientos de contraseña basados en correo electrónico.

    
respondido por el tylerl 04.05.2015 - 03:48
fuente
0

Básicamente, es correcto que una cuenta de correo electrónico a través de la cual restablece sus contraseñas cada vez que las use sea funcionalmente equivalente a un administrador de contraseñas. La única diferencia en términos de seguridad es la posibilidad de que la cuenta de correo electrónico se vea comprometida frente a la posibilidad de que su base de datos de contraseña se vea comprometida.

La principal ventaja de un administrador de contraseñas no es la seguridad, sino la conveniencia. Incluso suponiendo que es posible restablecer sus contraseñas cada vez que se necesitan, tenga en cuenta lo que generalmente implica:

  • Responda al menos una pregunta de seguridad
  • Posiblemente resuelva un captcha
  • Espere el correo electrónico, a veces durante varios minutos
  • Inicia sesión en el sitio
  • Ingrese una nueva contraseña que cumpla con los requisitos a menudo tontos

Tiempo total: varios minutos, incluso si el correo electrónico de restablecimiento llegó de inmediato.

Compare esto con un administrador de contraseñas:

  • Escriba una contraseña
  • Copiar / pegar

Tiempo total: unos segundos.

    
respondido por el Kevin Krumwiede 02.05.2015 - 20:12
fuente
0
  

¿Cuál es el beneficio de tratar de recordar una contraseña o de almacenar una contraseña en un administrador si un usuario puede obtener de manera confiable un enlace para restablecer la contraseña cada vez que desee iniciar sesión en el sitio?

Porque si puedes iniciar sesión en tu cuenta con tu contraseña conocida sabes , un atacante no ha cambiado tu contraseña.

Los restablecimientos de contraseña crean ruido. En los registros en el sistema de destino (que a veces puede ver el usuario) y en el buzón del usuario para el correo electrónico de restablecimiento de contraseña, e idealmente una notificación por correo electrónico de que se cambió una contraseña en la cuenta.

Un atacante que tuvo acceso a su buzón podría eliminar estos correos electrónicos, así como usar el enlace para cambiar la contraseña e iniciar sesión. Sin embargo, si no puede iniciar sesión en el sistema utilizando su contraseña almacenada en su administrador de contraseñas, es una indicación de que su cuenta ha sido comprometida de esta manera. Si simplemente usó un enlace de restablecimiento de contraseña cada vez que nunca lo sabrá.

Por supuesto, es solo una bandera roja, no una pieza de evidencia definitiva por sí sola. Debe solicitar a los administradores del servicio que proporcionen registros de cuándo se restableció su contraseña (o busque si tienen esta funcionalidad). Puede comparar estos registros con los suyos en su administrador de contraseñas para averiguar cuándo se modificó por última vez su contraseña. Si no cambió su contraseña en este momento, sabrá que algo anda mal.

Por este motivo, asegurar el acceso con una contraseña puede garantizar la integridad de su cuenta.

    
respondido por el SilverlightFox 06.05.2015 - 12:14
fuente

Lea otras preguntas en las etiquetas