Contraseña maestra vs frase de contraseña

Navega tus respuestas
2

Hace aproximadamente un año, intenté usar LastPass pero encontré que la experiencia del usuario era muy escasa, y volví a mi método probado y verdadero de tener un montón de contraseñas diferentes (algo de reutilización de contraseña, pero nunca he ejecutado en problemas con eso) y mi correo electrónico tiene una frase de contraseña no reutilizada de más de 30 caracteres y creo que simplemente podría restablecer la contraseña en cualquier servicio que haya sido secuestrado.

Sé que esto no es bueno , y entiendo las consecuencias, no se trata de eso.

Hace poco decidí "hey, vamos a darle otra oportunidad a los administradores de contraseñas" y esta vez fue con Firefox Sync (& Master Password).

Por lo que he notado, encripta el cryptoblob almacenado localmente usando una clave, que es en sí misma encriptada usando la contraseña maestra. Las contraseñas almacenadas en su servidor están (por alguna razón) encriptadas usando mi contraseña de Firefox Sync (que, por supuesto, está almacenada en el cryptoblob).

Divulgación completa: mi contraseña de Firefox Sync no es tan fuerte como mi contraseña maestra. Si alguien lo robó, teóricamente podrían descargar una copia sin cifrar de mi blob de contraseña a un nuevo dispositivo simplemente iniciando sesión en mi cuenta. Sin embargo; esto requiere que confirme el inicio de sesión de mi correo electrónico. La contraseña de mi correo electrónico es, en la fecha actual, la misma frase de contraseña que utilizo para mi contraseña maestra de Firefox.

Ahora, a la pregunta: ¿Hay algo intrínsecamente menos seguro en el uso de una contraseña larga y memorable (mi contraseña maestra) para mi correo electrónico (que es necesario para descargar mi cryptoblob) que ¿Tener una contraseña de seguridad de datos almacenada en dicho cryptoblob?

    
pregunta Wolfie 11.10.2016 - 12:29
fuente

2 respuestas

3

Depende de cómo genere su frase de contraseña.

Una frase de contraseña derivada de una historia, una letra de una canción, una cita de un libro o un poema, es intrínsecamente insegura. Los crackers ya están usando citas de trabajos públicos disponibles y transformaciones comunes de ellos (como tomar la primera letra de cada palabra) para adivinar las contraseñas.

Una frase de contraseña que usted mismo haya creado es mejor, pero aún así es intrínsecamente menos segura que una contraseña completamente aleatoria. Tendrá una estructura de oraciones, probablemente favorecerá palabras comúnmente elegidas, etc. Cuánto menos seguro es muy difícil de cuantificar; ha habido estudios que resuelven la entropía de las frases de contraseña carácter por carácter. Aún así, es mejor que una frase disponible públicamente, y un lote mejor que una contraseña de una sola palabra con o sin transformaciones.

Pero también puede hacer una frase de paso completamente aleatoria, Diceware -style. Con suficientes palabras, estas pueden hacerse tan seguras como quieras; una frase de contraseña de diceware con palabras N tiende a ser tan segura como aleatoria, mayúsculas y minúsculas con dígitos y una contraseña de caracteres especiales con caracteres de 2N . Con una contraseña aleatoria, no hay nada intrínsecamente inseguro al respecto; puede usar este método siempre que el servicio permita suficientes caracteres para 6-8 palabras.

    
respondido por el Ben 11.10.2016 - 14:32
fuente
2

Sí, puede explotarse para obtener acceso a sus contraseñas más fácilmente que si tuviera una contraseña más segura para proteger su contraseña de Firefox Sync. Usted está agregando potencial para un atacante que pueda descifrar su contraseña de Firefox Sync.

El correo electrónico que recibes para permitirte descargar el bloc de cifrado no está cifrado. Puede ser leído por otros. Este potencial (los correos electrónicos también se pueden cifrar entre proveedores, no solo entre usted y su proveedor. Sin embargo, a menudo no lo están). Incluye los gobiernos grandes, el gobierno de su país, su ISP, cualquier otro proveedor de servicios intermedio. su ISP y los servidores de Firefox Sync, y sus respectivos gobiernos. Pero también puede incluir a todos aquellos a los que se conecte el wifi o Ethernet mientras recibe el correo electrónico y las personas que controlan el malware que puede estar presente en esa red, por ejemplo, en el enrutador.

Tenga en cuenta que algunos de los puntos anteriores se pueden mitigar si recibe sus correos electrónicos cifrados mediante SSL. Sin embargo, SSL tiene muchos problemas.

Supongamos que la clave privada de una compañía de antivirus arbitraria está comprometida. Aquellos pueden interceptar el tráfico SSL si lo encuentran lo que hace que, por ejemplo, el ataque por malware en el enrutador o por su ISP sea mucho más plausible.

Además, su cuenta de correo electrónico puede tener una contraseña segura pero mostrar otras debilidades. Por ejemplo, puede haber una pregunta de recuperación de contraseña simplemente preguntando por el apellido de soltera de su madre, que es realmente fácil de averiguar si el atacante sabe quién es usted. Esto hace que la fuerza de la contraseña de su cuenta de correo electrónico sea bastante inútil. Además de eso, puede haber una dirección de correo electrónico de recuperación asignada a su cuenta de correo electrónico. Si la cuenta de esa dirección de correo electrónico de recuperación tiene una contraseña débil muestra otras debilidades (por ejemplo, la recuperación a través del nombre de soltera de la madre), eso también significa que su cuenta de correo electrónico es insegura.

    
respondido por el UTF-8 11.10.2016 - 13:04
fuente

Lea otras preguntas en las etiquetas

¿Es posible obtener una inyección SQL sin que vuelva a aparecer un error? ¿Qué tiene de bueno / malo este hashing de contraseña personalizado?