Administrador de contraseñas o generador de contraseñas

Navega tus respuestas
2

Si usa el mismo correo electrónico y contraseña para cada sitio, se infringe una infracción y todas sus cuentas. Por eso me gusta crear una contraseña única para cada sitio.

Esto causa un problema ya que las contraseñas se vuelven más complejas y más difíciles de recordar. ¿Entonces quiero saber qué es lo mejor, administradores de contraseñas o generadores de contraseñas?

¿Cuáles son las ventajas y desventajas de cada uno de ellos?

Esto es lo que puedo pensar:

Generadores de contraseñas (como masterpassword ...

  • Los datos están fuera de línea, lo que significa que los piratas informáticos deben apuntar a mi computadora

  • Se genera utilizando un algoritmo. Significa que no se almacenan en ninguna parte

  • Si olvida la longitud de la contraseña o la escribe mal, no puede recuperarla

  • Debe ingresar manualmente la contraseña o copiarla en el portapapeles, a la que pueden acceder aplicaciones de terceros

Gestores de contraseñas (como 1password)

  • Se sincroniza en varios dispositivos

  • Autocompletar, por lo que no necesita ingresar la contraseña manualmente ni copiarla en el portapapeles. También puede ser una desventaja porque si alguien más inicia sesión en mi computadora, puede iniciar sesión en la cuenta.

  • Almacenado en servidores conocidos. Podría ser un objetivo ingerido para los hackers.

¿Qué otros puntos hay? Me gustaría conocer las ventajas y desventajas de cada uno para poder decidir qué es lo mejor.

    
pregunta iProgram 06.12.2016 - 22:11
fuente

3 respuestas

2

Ambos tienen pros y contras. En mi opinión, hay una razón principal para usar un administrador de contraseñas en lugar de un generador de contraseñas:

  • Para almacenar las contraseñas asignadas.

En el caso particular de la Clave maestra, puede almacenarse de todos modos utilizando su clave maestra como clave AES y cifrando la contraseña asignada. El problema con este enfoque es que tan pronto como necesite almacenar una contraseña asignada, su generador de contraseñas se convertirá en un generador de contraseñas híbrido + administrador de contraseñas. ¿Por qué necesitas 2 soluciones para el mismo problema? Aún más, si necesitas esta función, tienes lo peor de los dos mundos

La otra razón (argable) para usar un administrador de contraseñas es la usabilidad. En el caso de un administrador de contraseñas, solo recuerdas tu contraseña maestra y es así, puedes usarla. En un generador de contraseñas (solo hablando de las necesidades específicas de la llave maestra) debe recordar su contraseña maestra, su nombre (no debe olvidar esto), el tipo de contraseña y el contador de contraseñas POR APLICACIÓN. Puede que no sea un problema para algunos sitios, pero tan pronto como tenga 50 aplicaciones, puede ser complicado recordar los valores de cada uno

Acerca de los administradores de contraseñas, personalmente no me gustan los administradores de contraseñas en línea, prefiero los que no están en línea como Password Safe , la razón: confío en mí mismo Más que un servidor con un proceso desconocido para proteger mis contraseñas. Además, un atacante que intente ingresar a mi bóveda necesitará acceso a mi contraseña maestra y a la bóveda, en lugar de solo a mi contraseña (a menos que use 2FA)

De todos modos, las tres opciones son lo suficientemente buenas si entiendes los riesgos

    
respondido por el Mr. E 06.12.2016 - 22:53
fuente
1

Un generador de contraseñas (como masterpassword) no tiene ventajas inherentes sobre un administrador de contraseñas más tradicional, y tiene una desventaja. La forma en que funciona es a través de una operación criptográfica en tiempo real utilizando una sola clave, que es similar a los administradores de contraseñas tradicionales. No es ni más ni menos seguro que un administrador de base de datos, porque una vez que necesita acceder a una contraseña, está sujeto a los mismos riesgos de intercepción que un administrador de contraseñas más tradicional. Y una vez que ingresa la Clave maestra súper secreta, es exactamente tan sujeta a robo como la clave de descifrado utilizada por un administrador de contraseñas.

Como se mencionó, un generador tiene un inconveniente importante, y es que no se puede usar como una base de datos para almacenar una contraseña asignada arbitrariamente u otros datos relacionados con la seguridad. Por ejemplo, digamos que su empleador tiene una cerradura de combinación en una puerta de la sala de servidores. Todos los administradores conocen y usan la misma combinación. Un generador no tiene forma de almacenar de forma segura esa combinación. El mismo problema existe con una clave secreta compartida utilizada para acceder a un HSM. En un esquema de intercambio secreto, a cada persona se le da un conjunto de bytes para que actúen como parte de la clave. Estos no son bytes que puede generar aleatoriamente, son generados por el mecanismo de intercambio y deben mantenerse seguros. Un generador no puede ayudarte allí.

Le puede interesar saber que en línea o fuera de línea no debería ingresar a la discusión, siempre que su base de datos esté cifrada con un algoritmo de alta calidad. Puede mantener su base de datos de contraseñas encriptadas en pastebin y publicar enlaces desde Facebook, y seguirá siendo tan segura como la capacidad de alguien para adivinar la contraseña. Nadie está rompiendo AES-256 matemáticamente hoy; nadie está ni siquiera cerca.

Si usa un generador de contraseñas, suponga que su atacante conoce su nombre y al menos una URL que visita. Después de eso, se requiere el mismo nivel de esfuerzo para adivinar la contraseña para romper un generador de contraseñas, excepto que el atacante no necesita una base de datos, solo necesita la capacidad de probar las contraseñas en ese sitio.

Todas las vulnerabilidades en cualquiera de los sistemas se encontrarían en los puntos finales, donde se ingresan las contraseñas para cifrar / descifrar la base de datos del administrador de contraseñas; estas vulnerabilidades son las mismas independientemente de si está ejecutando un generador de contraseñas o un administrador de contraseñas.

    
respondido por el John Deters 06.12.2016 - 22:36
fuente
-1

Hacer cosas aleatorias está bien para contraseñas complejas, pero prefiero usar un generador de contraseñas en línea . Hace mi vida mucho más fácil.

    
respondido por el rabbyhasan853 27.12.2016 - 13:02
fuente

Lea otras preguntas en las etiquetas

Recepción de un número de tarjeta de crédito encriptado - PCI ¿Un servidor que se conecta al puerto 3544 representa un riesgo mayor?