¿Cómo almacenar de forma segura mis contraseñas?

Saludos, hay muchos administradores de contraseñas que harán lo que necesites.

Una opción popular es KeePass , que es gratuita y también tiene la ventaja de tener aplicaciones para algunas plataformas (Windows Phone, IOS , Android).

Si su "dial paranoico" está subido hasta el 11, la respuesta corta es "No".

No importa cómo almacene sus contraseñas, en algún momento habrá una transferencia en la memoria que es una representación de texto claro de algún autenticador. Ese "texto claro" puede ser su contraseña ASCII, o puede ser un hash de la misma, pero aún será suficiente para validar de forma independiente sus credenciales al destinatario. Esto se debe a que el autenticador se debe ingresar en su forma natural, antes de que el sistema pueda procesarlo para el hashing o el cifrado.

Si su preocupación es sobre rootkits, depuradores maliciosos y ataques similares, no existe ningún método de administración o almacenamiento de contraseñas que pueda mantenerlo totalmente seguro.

La única mitigación real para esta vulnerabilidad es tener autenticación de dos factores, y un factor es un elemento dinámico de algún tipo (es decir, RSA token o autenticación de "devolución de llamada"), en todo . De esta manera, sin importar qué elementos estáticos se capturen de su memoria, un atacante nunca podrá reutilizar sus credenciales sin el autenticador dinámico.

Por supuesto, todavía existe la posibilidad de ataques de canal lateral como el secuestro de sesiones y similares, pero están fuera del alcance de esta pregunta.

Para obtener un medio más práctico de proteger su contraseña, que cubrirá la mayoría de las vulnerabilidades defendibles, lo mejor es utilizar un administrador de contraseñas seguro como KeePass u otros similares.

Primero, pongamos las cosas en perspectiva: las contraseñas están demasiado dañadas para obsesionarse en esta medida. Si la pérdida de una contraseña es intolerable, es probable que no deba usar una contraseña en primer lugar. Considere usar contraseñas de un solo uso, autenticación de dos factores, esquemas basados en certificados o similares.

Después de todo, tarde o temprano tendrá que escribir la contraseña en algún cliente en el que deba confiar (es posible que ni siquiera sea una computadora que usted controle, que esté grabada). Alguien puede verte ingresar la contraseña. No solo eso, sino que su contraseña también se procesa y almacena en un sistema objetivo que está completamente fuera de su control, probablemente más de uno si reutiliza las contraseñas en los sistemas como lo hace la mayoría de las personas. Es casi seguro que todo el almacenamiento involucrado es más vulnerable y mucho más fácil de comprometer que la RAM en un dispositivo confiable que está bajo su control físico.

Por lo tanto, su (s) contraseña (s) deben considerarse fundamentalmente desechables y es poco probable que se mantengan confidenciales durante un período prolongado, sin importar lo que haga.

Habiendo dicho eso, las contraseñas no desaparecerán pronto, así que use una cantidad de contraseñas que pueda recordar usted mismo (por ejemplo, tenga algunas contraseñas o frases de contraseña diferentes y utilícelas para sitios de diferente valor), o use Un administrador de contraseñas o un generador / administrador de contraseñas.

REEMPLAZO TOTAL: El punto de AviD fue bien tomado: la primera edición fue para el almacenamiento de contraseñas en el servidor, no para un usuario que almacena sus contraseñas en el cliente. Aquí está el intento # 2.

Si está almacenando contraseñas para varios sitios, su aplicación deberá: - Almacenarlos de forma segura. - Recuperarlos con precisión

Por lo tanto, no puede simplemente saltear las contraseñas, necesita un sistema que las cifre. Eso sugiere que es posible que desee ver aplicaciones compatibles con FIPS 140-2. Hay 4 niveles de FIPS, pero todo se enfoca en dispositivos criptográficos con capacidades de almacenamiento clave que ofrecen varias características de seguridad escalables. El extremo más bajo son las buenas prácticas básicas que se pueden implementar en las bibliotecas de software, el extremo superior es el de los dispositivos que cuestan mucho dinero pero ofrecen una gran confianza en la capacidad del sistema para protegerse. Para un humano normal, creo que FIPS 1 o 2 (los niveles bajos) serían suficientes.

Puede escribir su propia aplicación utilizando una biblioteca compatible con FIPS (NSS es una, si es que es un geek de Java), o buscar aplicaciones que afirmen ser compatibles con FIPS en sus implementaciones criptográficas.

No importa cómo almacenes las contraseñas, terminarás necesitando una clave de algún tipo para descifrarlas. Eso significa que tendrá el problema clásico del huevo y la gallina: ¿cómo almacenar la clave de manera segura para que sus contraseñas sean seguras? Dado que tiene muchas contraseñas agrupadas en un solo lugar, ha aumentado las demandas de seguridad en el almacenamiento de claves. Mi idea sería memorizar la clave o almacenarla en un almacenamiento fuera de línea.

Observa correctamente, no solo el peligro de almacenar contraseñas en texto sin formato, sino también de usar copiar / pegar para moverlas.

En nuestra pregunta sobre ¿Es seguro el portapapeles? , la respuesta de Guillaume señala que muchas aplicaciones y sitios web tienen acceso a su portapapeles, y eso Password Safe evita que esto le permita arrastrar y soltar la contraseña al Página web en la que desea introducirla. También borra rápidamente la contraseña de la memoria.

Por otra parte, de la ¿Hay contraseñas en la memoria? responde sobre el acuse de recibo , Dice Paperjam

  

hay un mecanismo de cortar y pegar que borra el portapapeles después de 12 segundos, y monitorea el portapapeles para ver si hay otros procesos que lo monitoreen también. Además, hay una función de auto-tipo que omite el portapapeles por completo.

así que keepass puede ser bueno también.

Depende del mecanismo de seguridad y autenticación que esté buscando. Para un caso simple, recomendaría enlace para generar contraseñas difíciles aleatorias impresionantes.