Gestión de contraseñas con autenticación de dos factores

Question

Gestión de contraseñas con autenticación de dos factores

#1 de Joe (2 votos)

2

Estaba revisando el sitio Dashlane y noté que admiten la autenticación de dos factores para su "bóveda" de contraseña. Una de mis mayores preocupaciones relacionadas con el uso de un administrador de contraseñas fue el hecho de que puede usar una sola parte de los datos (su contraseña maestra) para acceder a cada una de las cuentas que ha ingresado.

¿Estoy en lo cierto al pensar que la autenticación con algo como Google Auth o un Yubikey ya no hace que su bóveda sea susceptible a ser accedida por un mal actor que puede haber instalado un registrador de teclas o una herramienta de administración remota en su máquina?

También estaba muy interesado en 1Password pero noté que en realidad no admiten la autenticación de dos factores de la misma manera. En su lugar, generan una 'clave secreta'.

¿Alguno de los métodos utilizados por Dashlane o 1Password proporciona una mayor protección contra estos tipos de malware?

passwords password-management multi-factor

pregunta Luke Glazebrook 09.12.2017 - 23:08

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords password-management multi-factor

s_client ciphersuite personalizado con el proxy inverso nginx falla Desventajas a SSHing de una cuenta de root a una cuenta menos privilegiada en otro servidor

score 2 · Accepted Answer

Dashlane

Dashlane tiene la opción de usar 2FA para aumentar la seguridad de los datos de los usuarios.

En cualquier momento, un usuario puede vincular su cuenta de Dashlane a una aplicación 2FA en su móvil. Cuando intenta conectarse a un nuevo dispositivo, en su lugar de enviarle una contraseña de un solo uso por correo electrónico, Dashlane solicita al usuario que proporcione una contraseña de un solo uso generada por la aplicación 2FA.

De enlace

Dashlane no solo utiliza 2FA cuando autoriza a un nuevo dispositivo para acceder a su cuenta, también se puede usar cada vez que inicie sesión en su cuenta.

Esto protege contra el malware en la computadora de un usuario contra el registro de la contraseña maestra y el intento de acceder a sus datos confidenciales. Esto se debe a que para acceder a los datos del usuario, se debe proporcionar una contraseña de un solo uso: si un keylogger captura esta contraseña de un solo uso cuando se la escribe, será inútil para un atacante, ya que se tendrá que usar uno nuevo. la próxima vez.

1Password

1Password es un poco diferente a Dashlane en que 1Password no usa 2FA. Utiliza algo llamado una clave secreta . Esta clave secreta es de 34 letras y números creados por

una configuración de versión no secreta, ("A3"), su ID de cuenta no secreta, y una secuencia de 26 caracteres elegidos al azar.

De enlace

Tiene 128 bits de entropía y funciona junto con su contraseña maestra para proteger sus datos.

Un ejemplo de una clave secreta podría ser A3-ASWWYB-798JRY-LJVD4- 23DC2-86TVM-H43EB . La clave secreta se genera cuando se crea una cuenta de 1Password por primera vez y evita que un atacante que haya adquirido datos de usuario almacenados de forma remota adivine la contraseña maestra necesaria para acceder a estos datos.

La clave secreta se usa cada vez que inscribe un nuevo cliente en su dispositivo y cuando tiene que autenticarse en el servidor. Esto se puede ver de nuevo en el whitepaper para 1Password :

Al registrar un nuevo dispositivo, el usuario proporcionará al cliente la enlace para agregar dispositivos (posiblemente en forma de código QR) y su Maestro Contraseña. El enlace Agregar dispositivo se genera a petición del usuario desde un cliente ya inscrito e incluye el nombre de dominio del equipo, la dirección de correo electrónico del usuario, y su clave secreta.

General

Un problema con 1Password es que si se conocen la clave secreta y la contraseña maestra, por ejemplo, de un keylogger, se pueden ver sus datos de usuario. Esto es diferente a Dashlane, ya que puede usar una contraseña de un solo uso para proteger sus datos, haciendo que el registro de claves no sea efectivo.

Sin embargo, Dashlane no es seguro contra todos los tipos de malware. Puede ser susceptible a que el malware tome capturas de pantalla de una contraseña que se está viendo en la aplicación de Dashlane, como lo haría con 1Password.

Al usar un administrador de contraseñas, debe aceptar que existe la posibilidad de que se descubran sus contraseñas, ya que están almacenadas en un lugar que no sea su cabeza.