¿No son los administradores de contraseñas todavía increíblemente riesgosos?

17

Comprendo la utilidad de hacer que una aplicación recuerde un montón de contraseñas largas y aleatorias, pero todo lo que necesitas es una estafa de phishing o un keylogger bien colocados y obtienen todas las claves del reino.

¿Ha habido algún progreso en esta área? Quiero considerar usar un administrador de contraseñas pero me siento increíblemente incómodo al poner todos mis huevos en una canasta. En teoría, podría tener varios administradores y solo recordar 3 contraseñas largas o algo así (intente diversificar el riesgo), pero creo que eso solo va hasta ahora.

Es frustrante que las mejores contraseñas parezcan ser exactamente las que no puedes memorizar bien. ¿Dónde trazo la línea?

    
pregunta user49637 23.06.2014 - 20:24
fuente

7 respuestas

12
Los administradores de contraseñas

introducen riesgos diferentes , no eliminan todos los riesgos. Es discutible si un administrador de contraseñas es generalmente más intrínsecamente riesgoso que docenas de contraseñas memorizadas. ¿El riesgo de una contraseña central supera los riesgos de tener docenas de contraseñas mal implementadas? Todo puede depender de la implementación.

Los administradores de contraseñas automatizan el proceso de crear y "recordar" contraseñas únicas con la máxima complejidad, y pueden automatizar la renovación de contraseñas de manera regular. No solo eso, sino que también pueden resaltar el hecho de que no se encuentra en la página de inicio de sesión del sitio web en el que cree que se encuentra. Todos estos beneficios son difíciles de olvidar, pero debe asegurarse de que su administrador de contraseñas esté bien protegido.

Tienes razón al decir que al poner todos tus huevos en una canasta, corres el riesgo de un acceso amplio. Pero hay formas de mitigar ese riesgo. Por ejemplo, algunos administradores de contraseñas requieren autenticación de 2 factores para acceder a las contraseñas.

"Arriesgado" está siempre en el ojo del espectador. Lo que es aceptable para uno no sería para otro. Cada persona / organización debe tomar esa determinación por sí misma.

    
respondido por el schroeder 23.06.2014 - 20:43
fuente
2

[Divulgación: trabajo para AgileBits, los creadores de 1Password]

Como han señalado muy bien otros, los administradores de contraseñas están sujetos a diferentes riesgos. Obviamente, creo que usar un administrador de contraseñas bien diseñado es una buena opción.

Quiero abordar el problema de "huevos en una canasta" que se ha planteado. Sí, los administradores de contraseñas ponen todos sus huevos en una canasta, por lo que debe ver qué tan bien está protegida esa canasta. Pero veamos el mismo problema de seguridad (muchos huevos en una canasta) cuando no usamos un administrador de contraseñas.

La reutilización de la contraseña también está poniendo varios huevos en una cesta

Supongamos que Molly (uno de mis perros) reutiliza la contraseña 1chaseR4bbits para diez sitios y servicios diferentes. (Molly no es un perro muy brillante). Al hacerlo, cada uno de esos diez sitios se convierte en un huevo en la misma canasta. Si se descubre su contraseña, todas sus cuentas en esos sitios están comprometidas.

Ahora veamos qué tan bien está protegida esa canasta de reutilización. Es vulnerable a que su contraseña sea capturada en tránsito, es vulnerable al phishing, es vulnerable a una violación de cualquiera de los diez sitios y servicios. De hecho, cuanto más grande sea la canasta (entre más sitios reutilice la contraseña), más vulnerable será.

En pocas palabras, la reutilización de la contraseña es poner varios huevos en una cesta muy mal protegida . Un buen administrador de contraseñas resuelve el problema de reutilización de contraseñas y le brinda una cesta muy sólida.

Miscelánea

Usted enumeró los ataques de phishing como una amenaza para la Contraseña maestra de un administrador de contraseñas. Con 1Password, la aplicación se ejecuta de forma completamente local, por lo que hay poco margen para un ataque de phishing. Existe la posibilidad de que algún programa que se ejecuta localmente intente falsificar 1Password. No hemos visto nada de eso (todavía) y, por lo tanto, no hemos habilitado las medidas de contador. (¿Alguien recuerda las claves del sitio? ¡Qué asco!)

Usted mencionó la dificultad de mantener incluso una pequeña cantidad de contraseñas seguras, fáciles de escribir y fáciles de escribir. Hace unos cuatro años, escribí un consejo (consulte Hacia mejores contraseñas maestras ) sobre cómo hacer esto para las pocas contraseñas que necesita recordar. Es un consejo que aún se mantiene en la actualidad (y fue recogido por XKCD) y si se sigue adecuadamente, sigue siendo sólido incluso si los atacantes saben exactamente qué sistema utilizaste.

    
respondido por el Jeffrey Goldberg 27.06.2014 - 00:35
fuente
1

¿Está confundiendo un administrador de contraseñas con OpenID? No sé cómo puede phish una contraseña maestra del administrador de contraseñas.

De todos modos, a mi administrador de contraseñas se accede mediante una aplicación o un complemento del navegador, y requiere MFA de nuevos dispositivos o en cualquier lugar fuera de los EE. UU.

Supongo que depende como siempre, si tus dispositivos de confianza no son seguros, entonces es riesgoso.

Los administradores de contraseñas, al menos el último paso, son extremadamente útiles contra la causa de phishing, incluso si no atrapas el dominio falso, lo hará.

    
respondido por el Andrew Hoffman 23.06.2014 - 20:29
fuente
1

Tiene toda la razón al considerar que el malware es la amenaza más importante contra los administradores de contraseñas.

Una opción para mantener seguro su administrador de contraseñas es ponerlo en su teléfono. En este momento, su teléfono tiene un riesgo un poco menor de malware que su computadora portátil.

Si está muy preocupado por la seguridad, podría obtener un segundo dispositivo (iPod touch?) para usar solo para la administración de contraseñas y nada más. Ni siquiera enciendes la conexión inalámbrica, y mucho menos lo conectas a internet. En ese caso, el dispositivo tiene un riesgo muy bajo de malware.

Muchos administradores de contraseñas tienen algunas precauciones antimalware. Por ejemplo, con 1password en Windows puede ingresar su contraseña maestra en un indicador de seguridad elevado. También hay trucos para enviar contraseñas de forma segura a las aplicaciones, como la mezcla de las operaciones del portapapeles y el teclado, que pueden vencer a los registradores clave. Estas precauciones no son estancas, y debe asumir que el malware en su computadora portátil significa un compromiso total, pero derrotan una gran cantidad de malware común.

En última instancia, como han señalado otros, cualquier enfoque que tome con sus contraseñas tiene cierto nivel de riesgo. Creo que para la mayoría de las personas, usar un administrador de contraseñas es preferible a usar la misma contraseña en todas partes, lo que parece ser el otro enfoque común.

    
respondido por el paj28 24.06.2014 - 10:12
fuente
1

El administrador de contraseñas podría ser un agujero de seguridad, pero solo en función de sus opciones y de cómo lo usa el usuario final. Los administradores de contraseñas de código abierto que he usado y con los que estoy familiarizado tienen opciones que frustrarían a los keyloggers, y definitivamente no serían phishable. Si las opciones se ajustaran para que la base de datos de contraseñas se abriera automáticamente sin autenticación de dos factores, y también para que los inicios de sesión automáticos en todo estuvieran activados todo el tiempo, simplemente obtener acceso físico a la estación de trabajo le daría a un pirata informático teclas (o la posibilidad de copiar todas las teclas).

La seguridad es y siempre ha sido un deporte de equipo. Los riesgos y las opciones deben entenderse con o sin herramientas de software adicionales.

    
respondido por el openSourceMandala 27.06.2014 - 00:43
fuente
0

Sí, un administrador de contraseñas es riesgoso, pero todo lo que usted hace tiene riesgos. El hecho es que necesitamos muchas cuentas. Por lo tanto, es incorrecto pensar solo cuáles son los riesgos de hacer X. Debe mirar sus opciones y elegir la opción con el riesgo que quiera tomar.

Un cerebro típico solo puede recordar algunas contraseñas. Si no escribe sus contraseñas, debe usar la misma contraseña en varios lugares o tener un sistema fácil para generar contraseñas para cada cuenta. Usar la misma contraseña de nuevo es malo. La mayoría de los sistemas que utiliza un ser humano son débiles porque su cerebro no puede hacer un buen criptografía. En ambos casos, las contraseñas no serán muy seguras.

Por lo tanto, nos queda la opción de escribir las contraseñas o tener contraseñas débiles. Preferiría escribirlos.

    
respondido por el PiTheNumber 24.06.2014 - 09:53
fuente
0

Sí, si alguien tiene acceso a su computadora, ya ha instalado un keylogger en su computadora para robar sus contraseñas. Primero, establezca una contraseña para su computadora personal, luego elija una contraseña para su administrador de contraseñas.

    
respondido por el user49855 25.06.2014 - 03:06
fuente

Lea otras preguntas en las etiquetas