¿Los servicios como "LastPass" son menos seguros, ya que tienen todas mis contraseñas protegidas por una sola contraseña?

14

Si el servicio LastPass tiene todas mis contraseñas y alguien tiene acceso a mi contraseña LastPass, esta persona tendrá acceso a todas mis contraseñas. ¿No es eso malo para la seguridad?

    
pregunta Tom Brito 28.01.2013 - 12:35
fuente

8 respuestas

17

Es por eso que necesita asegurarse de cambiar esa contraseña regularmente y hacer que sea increíblemente fuerte. (Intento superar los 128 bits)

Si no usa los administradores de contraseñas y necesita insertar muchas contraseñas diferentes, podría terminar reutilizando las contraseñas, lo que es aún peor. Personalmente siempre recomiendo usar administradores de contraseñas una vez que tenga que recordar muchas contraseñas.

Opinión personal: Sin embargo, realmente no me gusta LastPass porque está basado en la web. Llámame paranoia / conservador al respecto, prefiero usar una base de datos KeePass (que está cifrada) sin conexión o sincronizada con Dropbox.

    
respondido por el Lucas Kauffman 28.01.2013 - 12:41
fuente
7

Esta concentración de poder de contraseña es consustancial con el concepto de administrador de contraseñas. Un administrador de contraseñas es una herramienta para "recordar" más contraseñas que las que la mente humana puede manejar. Con un administrador de contraseñas, es suficiente recordar una contraseña para obtener acceso a todas las demás. Pero esto significa que saber que una contraseña es suficiente para obtener acceso a todas las contraseñas almacenadas. Esto es inevitable: simplemente estoy diciendo lo obvio, dos veces, con dos puntos de vista ligeramente distintos.

Para vivir con eso, haz que tu contraseña maestra sea lo suficientemente fuerte como para evitar ataques. 15 letras y dígitos aleatorios deberían ser suficientes para frustrar a los atacantes basados en la CPU: si su contraseña es robada, no será a través de un ataque de fuerza bruta. Las reglas habituales para la seguridad de las contraseñas aún se aplican: genere sus contraseñas con aleatoriedad, no con ingenio; no escriba una contraseña en una máquina que podría estar infectada con un registrador de claves; cuidado con los surfistas de hombro.

La renovación de la contraseña es un tema controvertido. Cambiar su contraseña maestra puede "descartar" que los atacantes podrían robar su contraseña maestra, pero esto no cambiaría las contraseñas específicas del sitio almacenadas en el administrador de contraseñas, por lo que el atacante no es totalmente desalojado. Además, la posibilidad de que un atacante robe su contraseña maestra ya es lo suficientemente grave: si el atacante llegó a ese punto, ya está en graves problemas. La renovación de la contraseña es como protestar contra la humedad ambiental mientras se encuentra a bordo del Titanic.

    
respondido por el Thomas Pornin 28.01.2013 - 20:06
fuente
2

Hay dos problemas principales al compartir contraseñas para varias cuentas. Sí, un problema es que si se resuelve una contraseña, se le otorga mucho más acceso como punto único de falla, pero el problema mayor es que la misma contraseña se almacena en muchos lugares diferentes. Por lo tanto, el área de superficie a atacar es MUCHO más grande. Si utilizo mi misma contraseña en cada sitio que visito, si CUALQUIERA de esos sitios está comprometido, ahora todos los sitios están comprometidos.

Si tengo una contraseña diferente en todas partes y / o uso un único conjunto de credenciales mediante el uso de algo como OAuth, entonces el área de superficie de ataque se limita al único proveedor de OAuth o al almacén de claves. El uso de un almacén de claves significa que normalmente solo se deberán cambiar las contraseñas únicas para un sitio comprometido y, si su almacén de claves se ve comprometido, tiene documentación de todas las cuentas que necesita cambiar. Si está utilizando OAuth, solo se debe cambiar un lugar para cambiar realmente todas las credenciales de inicio de sesión.

Claro, ambas opciones son más débiles que las contraseñas aleatorias puras para todos los sitios sin registros que los vinculen en cualquier lugar, pero también son mucho más fáciles de usar y equilibrar la facilidad de uso y la mitigación de riesgos es una parte importante de la seguridad. La "más segura" (es decir, la mayor mitigación de riesgos) no siempre es la mejor decisión de seguridad.

    
respondido por el AJ Henderson 28.01.2013 - 15:00
fuente
2

En caso de que aún no se haya mencionado, también puede configurar la autenticación de 2 factores (2FA) para su administrador de contraseñas LastPass (lo tengo configurado). Esta sería una contraseña de un solo uso además de su contraseña maestra. Y si eligió el estándar OATH (hay varias opciones), entonces puede usar la misma aplicación de token de software en su dispositivo que probablemente ya esté usando para otros sitios habilitados para 2FA (como Google Authenticator para su gmail, etc.).

Como el uso de 2FA es obviamente un dolor adicional, puedes desactivarlo de forma selectiva según las situaciones. Por ejemplo, si está bastante seguro de proteger su teléfono móvil, puede desactivar 2FA en su teléfono, pero déjelo encendido para cualquier intento de iniciar sesión en su bóveda LassPass desde cualquier otro dispositivo.

Para más detalles:

enlace

Saludos.

    
respondido por el John Smith 28.11.2013 - 02:21
fuente
1

No son necesariamente menos seguros en el sentido teórico, pero son menos seguros en el sentido puramente pragmático.

En teoría, una buena contraseña es tan difícil de descifrar como humanamente como 100. Si elige una buena contraseña y la contraseña se maneja de forma criptográfica correctamente, debería ofrecer una barrera contra ataques que sea mucho más allá Cualquier cosa que los humanos puedan lograr en el futuro previsible. Una contraseña o varias contraseñas separadas, es solo una cuestión de si se estima que el atacante necesitará algunos milenios o muchos más milenios para obtener todas sus contraseñas. Es una distinción discutible.

Vale la pena señalar que el uso de una clave de cifrado para envolver muchas otras claves de cifrado, que es análoga a las contraseñas que contienen contraseñas, puede ser una práctica aceptable. No hay nada inherentemente malo en ello.

Hablando de manera pragmática, sin embargo, es obviamente imposible que una contraseña sea menos segura que muchas distintas. El administrador de contraseñas más seguro que tenemos actualmente es (todo lo demás igual) su cerebro; Un adjunto de software solo puede restarle valor. Crea un punto de estrangulamiento donde un problema podría comprometer muchas contraseñas. Un error en el administrador de contraseñas podría dejar todas las contraseñas en claro, una agencia malvada solo necesita instalar una puerta trasera, etc.

¿Cómo hace que su administrador de contraseñas sea lo más seguro posible? A grandes rasgos:

  • Asegúrese de que la contraseña de protección de contraseña sea de alta calidad.

  • Asegúrese de que el software de administración de contraseñas funcione correctamente. (Para la mayoría de nosotros, esto se reduce a confiar en el autor, el diseño que utilizaron y las auditorías independientes).

  • Asegúrese de que su uso de la contraseña y el administrador de contraseñas sea correcto.

La respuesta práctica a la pregunta es: un administrador de contraseñas no es intrínsecamente menos seguro si puede cumplir con estos tres requisitos generales, pero los dos últimos son mucho más fáciles de decir que de hacer. Probablemente deba investigar el administrador de contraseñas exacto que desea utilizar.

    
respondido por el B-Con 28.01.2013 - 17:49
fuente
1

En cuanto a las cosas como las grietas de la mesa del arco iris o la fuerza bruta o cosas así, no creo que esto sea un problema. Puede esperar que LastPass utilice prácticas de seguridad adecuadas (al menos tanto como lo puede esperar de otras compañías que almacenan información altamente confidencial (PayPal, Google, etc.) y, por lo tanto, probablemente pueda asumir con seguridad que no hay seguridad técnica agujeros.

Si se siente seguro al hacer esa suposición, entonces el único punto real de falla posible es la contraseña maestra. Cualquiera que sepa que lo sabrá todo, quien no lo sepa no sabrá nada. En este punto, ya que solo tiene que recordar una sola contraseña, debe hacer que la contraseña sea lo más segura posible (caracteres realmente extraños y extraños, etc. (PERO NO LO OLVIDE)). Mientras no sea fácil de adivinar, todo permanecerá seguro.

En un mundo donde todos usan una cadena única de más de 20 caracteres para cada contraseña, sí, mantenerlos a todos en una sola pasada es mucho menos seguro. Sin embargo, en un mundo donde la gran mayoría de las personas tienen la misma contraseña para cada servicio, LastPass puede aumentar considerablemente la seguridad. Pero incluso si ya usa Uniques para todo, LastPass aún puede agregar seguridad. Hay una buena posibilidad de que sus contraseñas no sean tan seguras como podrían ser (más largas, agregue letras, mayúsculas, símbolos, etc.), y LastPass recordará felizmente una cadena de basura por cada contraseña.

Finalmente, tener una única contraseña que pueda acceder a todas las demás contraseñas es malo, pero aún así es mucho mejor que tener la misma contraseña en todas partes. Confío en que las principales empresas web aseguren mi contraseña, pero puede apostar a que la mayoría de esos pequeños foros que requieren cuentas no están pensando mucho en almacenar su contraseña. En este caso, tener uniques en todas partes significa que, incluso cuando un pequeño servicio inseguro que usaste hace dos años se piratea, todo tu mundo en línea permanece seguro (porque puedes apostar a que los hackers tomarán esas combinaciones de correo electrónico / pw que obtuvieron del foro sobre agujeros en la pared y enchúfelos al más grande

    
respondido por el lpreams 14.05.2015 - 06:57
fuente
0

depende de cómo están administrando sus claves privadas. Incluso si el cifrado está ocurriendo en el lado del cliente, la base de datos todavía es propensa al ataque de la tabla del arco iris.

Trabajo para SmartSignin , por lo que voy a tener un poco de sesgo aquí: Lo que SmartSignin ofrece sobre otros administradores de contraseñas es 100% aéreo. seguridad estricta asegurándose de que todo el cifrado se realice del lado del cliente y que su clave privada nunca abandone el sistema. Además de eso, la patente de SmartKey ofrece una clave única para cada contraseña almacenada, lo que significa que incluso un registro se ve comprometido y el otro se guarda. El intercambio de claves públicas se lleva a cabo a través de un túnel SSL encriptado que garantiza que la clave pública se mantenga segura durante el intercambio de claves obligatorio.

    
respondido por el debuggerpk 14.06.2013 - 22:51
fuente
0
  

Si el servicio LastPass tiene todas mis contraseñas y alguien tiene acceso a mi contraseña LastPass, esta persona tendrá acceso a todas mis contraseñas. ¿No es eso malo para la seguridad?

Es por esto que debe proteger su cuenta LastPass con un segundo factor de autenticación. LastPass tiene varias opciones disponibles, como Google Authenticator o Yubikey. La buena seguridad tiene múltiples factores de autenticación, como algo que sabes (tu contraseña) y algo que tienes (tu teléfono o Yubikey).

  

¿Los servicios como "LastPass" son menos seguros, ya que tienen todos mis   ¿Contraseñas protegidas por una sola contraseña?

La otra opción es que recuerdes o escribas todas tus contraseñas para todos los sistemas que uses. Este último enfoque tiene el mismo problema que LastPass, ya que si alguien llega a su lista, está totalmente comprometido. Lo primero será muy difícil de hacer, a menos que tengas las habilidades, el tiempo y la paciencia de Derren Brown . Recuerda que necesitas algo único. contraseñas para cada servicio, con un alto grado de entropía en cada contraseña para garantizar su seguridad.

Esto también tiene el riesgo adicional de que no todos los servicios estén protegidos por autenticación multifactor. El uso de LastPass para completar la contraseña de estos servicios le brinda una autenticación de dos factores, ya que necesita poder iniciar sesión en LastPass primero. También protege contra el phishing (si usa la extensión del navegador) porque solo llenará los campos de contraseña para los sitios con una coincidencia de nombre de host (llenará google.com pero no goooogle.com ).

    
respondido por el SilverlightFox 14.05.2015 - 15:46
fuente

Lea otras preguntas en las etiquetas