¿Debemos repensar nuestra estrategia de contraseña completa? [cerrado]

Navega tus respuestas
2

Las contraseñas se discuten mucho en este sitio, y tanto para los usuarios como para los sitios hay que estar en línea con la "mejor práctica".

Los sitios web necesitan una política de seguridad de contraseña, política de bloqueo de cuenta y almacenamiento seguro de contraseña con un hash lento y salado. Algunos de estos requisitos tienen impactos de usabilidad, riesgos de denegación de servicio y otros inconvenientes. Y generalmente no es posible para los usuarios saber si un sitio realmente hace todo esto (por lo tanto, plaintextoffenders.com).

Los usuarios deben elegir una contraseña segura que sea única para cada sitio, cambiarla regularmente y nunca escribirla. Y verifique cuidadosamente la identidad del sitio cada vez que ingrese su contraseña. No creo que nadie realmente siga esto, pero es la supuesta "mejor práctica".

En los entornos empresariales suele haber un sistema de inicio de sesión único bastante completo, que ayuda de forma masiva, ya que los usuarios solo necesitan una buena contraseña de trabajo. Y con solo una autenticación para proteger, el uso de múltiples factores es más práctico. Pero en la web no tenemos inicio de sesión único; Cada intento de Passport, a través de SAML, OpenID y OAuth no ha logrado ganar una masa crítica.

Pero existe una tecnología que se presenta a los usuarios como el inicio de sesión único, y es un administrador de contraseñas con integración de navegador. Se puede indicar a la mayoría de ellos que generen una contraseña segura única para cada sitio y que la roten periódicamente. Esto lo mantiene seguro incluso en el caso de que un sitio web en particular no siga las mejores prácticas. Y la integración del navegador vincula una contraseña a un dominio en particular, lo que hace que el phishing sea casi imposible. Para ser justos, los administradores de contraseñas tienen el riesgo de "poner todos sus huevos en una canasta" y son particularmente vulnerables al malware, que es la mayor amenaza. presente.

Pero si nos fijamos en la tecnología que tenemos disponible, está bastante claro que el consejo actual está ladrando al árbol equivocado. Deberíamos decirles a los usuarios que utilicen un administrador de contraseñas, no recordar un montón de contraseñas complejas. Y los sitios podrían simplemente almacenar un hash rápido sin sal de la contraseña, olvidar las reglas de seguridad de la contraseña y los bloqueos de cuentas.

    
pregunta paj28 17.06.2014 - 20:54
fuente

4 respuestas

5

Discutiría que cambiar las contraseñas regularmente es realmente una "mejor práctica". Es más una "práctica generalizada" que se puede rastrear a procedimientos militares que datan, al menos, de los tiempos de Julio César. La aplicabilidad a los sistemas informáticos es, en el mejor de los casos, cuestionable.

Los administradores de contraseñas están bien y muy bien, pero en realidad están en desacuerdo con el principio básico de las contraseñas: una contraseña es algo que encaja en el cerebro del usuario. Confiar en un administrador de contraseñas es un cambio de paradigma. Para indicar las cosas simplemente, ya no autenticas al usuario humano , autenticas el teléfono inteligente del usuario . Esto puede ser considerado como acorde con los tiempos modernos; de hecho, parece que los apéndices tecnológicos cuadrados se han fusionado con sus anfitriones, y muchos humanos ya no pueden considerarse completamente definidos, y mucho menos felices, si se les priva de su dispositivo favorito. Sin embargo, este es un cambio del que debemos estar conscientes y que requiere una reflexión profunda.

Desde un punto de vista de seguridad puro, el administrador de contraseñas implica una extensión de las responsabilidades del usuario: con una contraseña, el usuario debe mantener la contraseña en secreto y no escribirla ni revelarla; con un administrador de contraseñas, el usuario también debe mantener la integridad del sistema de alojamiento del administrador de contraseñas. En muchos casos, esto no cambia mucho (si la máquina del usuario está infectada, un keylogger tomará todos los datos de todos modos), pero el cambio tampoco es completamente despreciable. Esto se puede ver desde el punto de vista de usabilidad : una contraseña en el cerebro naturalmente viaja con el usuario; un administrador de contraseñas implica una dependencia con algunos procedimientos de sincronización y software.

Además, como explica @schroeder, recomendar un producto real es un asunto delicado; Esto parecería un respaldo, y complicaría las cosas cuando el producto desaparece, ya sea por falta de soporte, o más espectacularmente como TrueCrypt.

    
respondido por el Tom Leek 17.06.2014 - 22:20
fuente
3

No estoy seguro de por qué tiene la impresión de que no se recomiendan las cajas de seguridad con contraseña. Por ejemplo, Microsoft tiene el Administrador de credenciales en Windows , Bruce Schneier "Password Safe" de código abierto , McAfee vende LiveSafe y Norton mercados Identity Safe . Estas son todas las entidades con conocimientos de seguridad, y hay muchas otras opciones seguras de contraseña si uno buscara en Internet.

Sin embargo, las cajas fuertes de contraseñas tienen sus propios desafíos, incluido el que mencionó (es decir, si alguien compromete su máquina, todas las contraseñas están comprometidas). Mi aversión personal es porque tengo varios dispositivos y no confío en la sincronización segura entre ellos. dispositivos Tampoco quiero quedarme atrapado en una terminal del aeropuerto que no pueda iniciar sesión en una de mis cuentas para retirar mi itinerario porque ya no conozco mi contraseña.

    
respondido por el Omer Iqbal 17.06.2014 - 22:22
fuente
2

Es correcto que un administrador de contraseñas totalmente integrado funcione como una solución de SSO de facto para un individuo, pero los riesgos también son los mismos. Una vez que alguien obtiene acceso al administrador de contraseñas, tiene las llaves del reino.

Además, es difícil recomendar un determinado producto para esta implementación. Es fácil sugerir un enfoque, pero una vez que comienza la discusión de "necesita un producto", tiene que poder responder el seguimiento de "¿qué producto?" Cada producto presenta sus propios riesgos y no existe una forma estandarizada de tratarlos. Lo que podría ser una mejor discusión es un método estandarizado para diseñar e implementar un administrador de contraseñas personal, tal como lo tenemos para los marcos de SSO. Personalmente estoy a favor de que la comunidad de seguridad haga esto.

Debido a esta responsabilidad adicional introducida al recomendar productos específicos, tal vez sea 'mejor' recomendar una contraseña compleja para cada sitio y que los usuarios se sientan atraídos por los administradores de contraseñas por su cuenta.

    
respondido por el schroeder 17.06.2014 - 21:03
fuente
2

Veo una pregunta "¿Debemos repensar nuestra estrategia de contraseña completa?" Si la respuesta es 'usar un administrador de contraseñas' diría que sí, pero eso no se clasifica como 'repensar' para mí.

En los administradores de PW: el "postfixing" puede derrotar a "poner todos tus huevos en una canasta". Para todos mis sitios financieros y otros sitios de alto riesgo, mis contraseñas tienen 2 partes: 1 'parte fuerte' que se almacena y completa por el administrador de PW y un postfix que memorizo y es el mismo para todos los sitios que lo necesitan. Así que sí, tengo que memorizar 2 frases de contraseña: una para la bóveda y el postfix para algunas.

Agregaría 'integración de aplicaciones' además de 'integración de navegador': las aplicaciones requieren más y más contraseñas, también aplicaciones como Skype en Windows. Y sobre todo: soporte para clientes de correo electrónico al descargar / leer correo electrónico. (Si alguien retiene su contraseña de correo electrónico ('encuentra' su computadora portátil o teléfono), muchas de las contraseñas en su bóveda pueden restablecerse mediante un procedimiento de restablecimiento de correo electrónico). La integración con las aplicaciones sigue siendo un desafío, creo.

    
respondido por el Dick99999 17.06.2014 - 23:22
fuente

Lea otras preguntas en las etiquetas

HTTPS la barra verde se carga y luego desaparece Cliente SSL HTTPS mínimo en C [cerrado]