Uso y seguridad del Administrador de contraseñas [duplicado]

Navega tus respuestas
2

Hace poco leí un artículo que aboga por el uso de administradores de contraseñas, y si bien entiendo por qué alguien podría pensar que usar estos programas podría ser una buena idea, entiendo que este tipo de programas puede ser una debilidad para la seguridad cibernética. Sé que los administradores de contraseñas generalmente almacenan su contraseña en un archivo encriptado, ya sea localmente o en un servidor en algún lugar en línea, pero esos archivos que almacenan su contraseña pueden ser un objetivo para un atacante, por lo que esencialmente le han dado un objetivo para obtener todos sus datos. contraseñas ¿Tengo razón al entender esto y hay una forma segura de usar programas como este?

    
pregunta Stealth_kong 27.07.2015 - 15:30
fuente

2 respuestas

4

Yo lo llamaría una compensación de seguridad en lugar de una debilidad de seguridad.

Los administradores de contraseñas ayudan a resolver el problema de las contraseñas duplicadas (la mía me regaña si utilizo la misma contraseña dos veces, así que la reparo) y de contraseñas fáciles (la mía facilita la generación de 20 caracteres de incoherencia y la "recuerda" ) para no tener que escribirlos o usar variaciones del nombre de mi perro para cada uno.

El posible duplicado que @BadSkillz vinculado a lo anterior proporciona una buena respuesta a su pregunta que detalla los compromisos.

  

esencialmente le has dado un objetivo para obtener todas tus contraseñas

Si fuera un pentestro, identificaría tantos administradores de contraseñas como sea posible para la organización a la que me dirigía y luego comenzaría a adivinar las contraseñas, con la esperanza de que alguien usara una fácil.

  

¿Existe una forma segura de usar programas como este?

El riesgo se puede mitigar mediante la autenticación de dos factores como lo ofrece Yubikey o los mensajes SMS. Esto lo hace menos conveniente, por supuesto.

Descubrí que, en un esfuerzo por competir, estos administradores de contraseñas están agregando "características" convenientes (como verificaciones de crédito, autocompletar, sincronización con otros dispositivos) que introducen complejidad y, por lo tanto, inseguridad. Estas "características" deben evaluarse por separado para la seguridad. En este caso, el riesgo se puede mitigar desactivando las funciones adicionales.

    
respondido por el mcgyver5 27.07.2015 - 17:26
fuente
3

La respuesta corta es que es poco probable que, de manera individual, sea el objetivo de sus contraseñas. Si su contraseña se ve comprometida, es más probable que sea como resultado de una infracción en un servicio que usa, por ejemplo. una página web. Un administrador de contraseñas es útil para alguien que tiene muchas contraseñas para recordar o no es muy bueno para recordarlas.

Vale la pena recordar que nada detendrá a un atacante determinado. En el mejor de los casos, puede mantenerlos a raya o persuadirlos para que se muevan hacia alguien más fácil de atacar.

Aquí hay algunos buenos consejos sobre el uso de Keepass ¿Por qué usar Keepass, etc., si todas sus contraseñas están en un lugar?

    
respondido por el niallhaslam 27.07.2015 - 15:59
fuente

Lea otras preguntas en las etiquetas

¿Es seguro el servicio DNS? ¿Qué tan seguros son los servidores de claves GPG / PGP?