¿Debo permitir a los navegadores recordar mis contraseñas y sincronizarlas?

Para ampliar lo que dijo @ d1str0: si el creador de su navegador quisiera robar sus contraseñas, sería trivial enviarlas a un servidor controlado por el fabricante cada vez que las ingresó, no es necesario molestarlas. de informarle sobre los procedimientos de sincronización u ofrecerle recordar las contraseñas. De forma predeterminada, todos los navegadores devuelven un cierto nivel de datos de uso, generalmente informes de fallos y revisiones de actualización, que podrían ocultar fácilmente los datos de contraseña y nombre de usuario.

Sin embargo, si se descubriera que algún navegador está haciendo esto, habría protestas contra ese fabricante: observe la furia dirigida a Microsoft luego del lanzamiento de Windows 10 con la notificación nuevamente habilitada allí.

Keepass y Password Safe están abiertos fuente (por lo tanto, dado el conocimiento de programación suficiente y un compilador confiable, puede estar seguro de que están haciendo lo que dicen que son, y nada más, el conocimiento de programación suficiente puede ser un nivel muy alto). En ambos casos, los archivos de contraseña cifrados deben ser seguros para sincronizarse, incluso a fuentes de terceros, siempre que no se proporcione la contraseña segura. Rompiendo AES (Keepass) o TwoFish (Password Safe) sin la clave apropiada (la contraseña segura) se reduce, por lo que sabemos, a fuerza bruta.

Lastpass y 1Password requieren que confíes los desarrolladores, y sincronizar de forma predeterminada a una ubicación remota. Teóricamente, son seguros, pero no habría ninguna forma obvia de detectar una vulnerabilidad en ellos relacionada con el almacenamiento. Si le preocupa que Chrome o Firefox roben contraseñas, lógicamente, los mismos argumentos se aplican a estas aplicaciones.

Personalmente, utilizo uno de los servicios de contraseña basados en la nube mencionados: he considerado los riesgos y beneficios, y he equilibrado la cantidad de seguridad que estoy dispuesto a aceptar contra la facilidad de uso del servicio, y decidí que para Mis casos de uso, es aceptable. Su riesgo aceptable podría ser diferente: si considera que AES es vulnerable, por ejemplo, mantener una Keepass segura en una clave USB encriptada que use un algoritmo de encriptación diferente podría ser una opción viable, pero la carga del archivo a un servicio de terceros podría ser una opción viable. "demasiado arriesgado" para ti.

Se trata de lo que usted considera seguro, después de haber evaluado las opciones. Sin embargo, muchos profesionales de la seguridad han considerado este problema y, en general, recomiendan el uso de software de tipo de contraseña segura en lugar de permitir que los navegadores recuerden las contraseñas, simplemente porque los navegadores solían ser terribles, permitían el acceso sin una contraseña maestra y utilizaban métodos de encriptación deficientes. Algunos de estos problemas ya se han abordado, ¡pero los viejos hábitos son difíciles!

Si te preocupara que Chrome o Firefox te robaran las contraseñas, en primer lugar no las estarías usando como navegador web.

Una aplicación como Keepass o LastPass puede mantener sus contraseñas encriptadas con una contraseña maestra.

Si no usa una contraseña maestra, su navegador web puede desencriptar sus contraseñas en cualquier momento.

Depende de usted en qué nivel de seguridad desea.

Además de las respuestas con respecto a los administradores de contraseñas, hay un momento en el que debe permitir la incertidumbre.

Para tomar el ejemplo de KeePass: además de confiar en las personas que revisan el código (o confiar en usted mismo para tener el conocimiento para revisarlo usted mismo), también debe confiar en el proveedor del binario (que coincide con el anunciado). código). O recompílelo usted mismo y confíe en que el compilador es correcto. Y que también se confía en el sistema operativo.

Esto es mucha "confianza" y siempre llega un momento en el que su análisis de riesgo declara que es "lo suficientemente bueno". Este "lo suficientemente bueno" es lo que debe buscar, relacionado con otros riesgos .

Estoy con @Matthew en relación con el uso de los administradores de contraseñas en línea: usted se protege contra el riesgo más probable (se piratea un sitio pero tiene contraseñas únicas y largas gracias al administrador de contraseñas) frente a la posibilidad de que Google / NSA / [ponga su organización favorita aquí] está detrás de usted. si lo buscan, tendrán formas más eficientes para acceder a sus datos.

¿Utiliza una computadora compartida? En caso afirmativo, o si su disco duro no está encriptado, entonces no, no permita que guarde contraseñas.

No permitiría que un navegador recuerde mi contraseña, me resulta mucho más fácil usar un administrador de contraseñas. Firefox (y asumo que Chrome) permite, pero no requiere, el uso de una contraseña maestra, que encripta sus contraseñas almacenadas (entiendo que las contraseñas están cifradas independientemente, pero sin una contraseña maestra, nada impide que alguien use las contraseñas almacenadas). contraseñas). La mayoría de las personas no utilizan la función de contraseña maestra, y creo que se debe a que es algo que debe buscarse explícitamente. Usando Firefox 44.0.2, si un sitio conoce su contraseña, puede

Haz clic derecho en el campo de contraseña > Rellenar contraseña > Ver inicios de sesión guardados > Mostrar contraseñas (de acuerdo con el aviso).

No se requiere autenticación, y todo está en texto sin formato.

¿Qué es aún más fácil y funciona en todos los navegadores?

Haz clic derecho en el campo de contraseña > Inspeccionar elemento (puede tener un nombre diferente) > cambie el tipo de "contraseña" a "texto"

Nuevamente, no se requiere autenticación y todo está en texto sin formato.

Me parece que, para el usuario promedio, existe un compromiso razonable: haga que su navegador web guarde los menos importantes y guarde el resto de una manera más segura.

Tengo algo así como 100 contraseñas para varios sitios en Internet. Probablemente a 80 de ellos no me importaría si alguien robara, podrían, en el peor de los casos, hacerme ver como un imbécil de Ars Technica o similar. Ningún dinero (o dinero insignificante y limitado) está asociado con el sitio y la contraseña, y no es una contraseña que alguna vez usaría para algo que tuviera dinero. Aquellos que dejé que Chrome recordara.

Los otros ~ 15-20 que me importan (inicio de sesión con tarjeta de crédito y banco, mi sitio de seguro de salud, etc.) Me mantengo en un administrador de contraseñas cifradas sin conexión. Está fuera de línea, por lo que en teoría podría perderse (aunque lo tengo en dos dispositivos separados, pero los incendios domésticos y eso es posible); pero todas esas contraseñas podrían recuperarse (en alguna dificultad) si fuera absolutamente necesario. En general, sin embargo, están a salvo del pirateo, siempre que las contraseñas no se recuperen de un truco del sitio, por supuesto, es una contraseña (y estas son frases de paso complejas y únicas que probablemente sean relativamente seguras, incluso en muchas de esas intrusiones).

Finalmente, mi contraseña de correo electrónico no se almacena en ningún lado, excepto en mi cabeza. Esto se debe a que es el punto débil: un ataque de ingeniería social combinado con el acceso a mi correo electrónico podría permitirle a alguien recuperar / recrear contraseñas para todas las demás ubicaciones. Utilizo el correo electrónico lo suficiente como para memorizar de forma segura esa contraseña (y, por supuesto, sí tengo un método de recuperación, si no)

Un compromiso es usar KeePass con la extensión de Firefox KeeFox que le permite usar contraseñas de su bóveda de contraseñas de KeePass con Firefox de forma automática, sin realmente almacenándolos a través de Firefox.

Las contraseñas almacenadas de esta manera son extremadamente inseguras. Simplemente intente acceder a ellos y notará que se puede acceder ingresando su contraseña de cuenta de usuario de Windows / Linux. Hubo y es probable que haya vulnerabilidades para cambiar la contraseña de la cuenta de usuario de Windows / Linux o el fallo que verifique. Por lo tanto, nunca debe almacenar contraseñas de objetivos de alto valor como una cuenta bancaria en línea, especialmente en una computadora de trabajo.

Un argumento a favor de permitir que los navegadores almacenen sus contraseñas, que no he visto a nadie más aquí, es que puede protegerlo contra ataques de phishing.

Chrome completará automáticamente sus credenciales de inicio de sesión, pero solo lo hará si la URL es correcta ... y si el sitio está bien diseñado, una autoridad de certificación habrá verificado la URL a través de HTTPS. Si vas a una página de inicio de sesión y Chrome no ha completado las credenciales de forma automática, es un motivo para preocuparse y comprueba que estás en el lugar correcto.

Es bastante simple: confiar sus contraseñas a un navegador, lo cual, incluso con buenas intenciones no es su función principal, siempre es un problema. Especialmente si el navegador tiene complementos instalados o si el almacén de contraseñas en sí no está protegido con una contraseña maestra (segura).

¿Qué tan grande es un problema? Tu tienes que decidir. Seguramente dejo que mis navegadores privados almacenen contraseñas a sitios que no son importantes, pero no para mi cuenta bancaria o personal. El hecho de que muchos bancos en línea en realidad dificulten / imposibilite que su navegador almacene la contraseña (al reemplazar un formulario de entrada simple con algún esquema elaborado, es decir, tener que hacer clic en un teclado numérico estilizado con el mouse) debería indicarle algo.

Para KeePass, etc. es exactamente el mismo pensamiento, excepto que la barra se eleva más alto. Es decir, si usted es verdaderamente paranoico, tampoco los usará, pero puede confiar en ellos un poco más que los navegadores. Cuánto depende de ti.

Aquí hay muchas respuestas con buena información. Según lo señalado por algunos de ellos, cada vez que utiliza un software, está invirtiendo un cierto nivel de confianza en ese software.

Habiendo vuelto a instalarse en los navegadores y usándolos para almacenar sus contraseñas, no creo que su principal preocupación deba ser el fabricante del navegador. Estas son típicamente organizaciones más grandes que tienen una inversión considerable en su reputación. También están bajo una buena cantidad de control (especialmente chrome y firefox).

La amenaza real proviene de sitios / sitios web maliciosos y complementos del navegador. Por este motivo, creo que una de las propiedades más importantes que debe buscar es si el navegador le permite establecer una contraseña maestra para las contraseñas almacenadas y si necesita ingresar esa contraseña maestra antes de poder usar una contraseña almacenada.

Chrome, en particular, ha sido criticado por no proporcionar suficiente seguridad con respecto a sus contraseñas almacenadas. Creo que la situación ha mejorado, pero eso se debió en gran parte al clamor del público.

Si está usando algo como keepas, entonces no veo ningún beneficio real al almacenar sus contraseñas en el navegador. Utilizo un administrador de contraseñas y deshabilito la capacidad de todos los navegadores que utilizo para almacenar contraseñas, ya que no proporciona ningún beneficio adicional.

A menudo, las personas entienden mal el motivo de los administradores de contraseñas o enfatizan los aspectos incorrectos de ellos. Muchos los ven desde una perspectiva de conveniencia. Permitirán cualquier opción de conveniencia sin tener en cuenta el impacto que tiene en la seguridad, por ejemplo, almacenar su contraseña maestra, permitir el llenado automático, etc. Aunque los administradores de contraseñas de cualquier tipo pueden ser convenientes, el beneficio real es reducir el número de complejos Contraseñas que necesitas recordar. Necesita recordar solo una contraseña muy compleja y segura, y lo que desea es poder ingresar su contraseña maestra antes de que el sistema ingrese su contraseña "real". Realmente no desea la conveniencia de ingresar automáticamente la contraseña; acepte ese nivel de inconveniencia para asegurarse de mantener el control.

Para los inicios de sesión en línea, tiene las herramientas fáciles, como Lastpass con una buena integración del navegador, y las que requieren más trabajo, como Keepass, donde tiene que copiar y pegar inicios de sesión. Eso es mucho más trabajo cuando necesita iniciar sesión en muchos sitios diariamente.

Si confía menos en Lastpass (o en herramientas similares), puede seguir utilizándolo para los sitios web que no son tan importantes.

Sitios web importantes: piense en Paypal, Amazon, Ebay, donde perder su cuenta puede costar dinero o cuentas de correo como Gmail o Hotmail, donde perder la cuenta puede ser un problema aún mayor, ya que hace posible restablecer los inicios de sesión en otros. sitio web.

Sitios web de menor importancia: inicie sesión en un foro de juegos, en Reddit, en una cuenta de Twitter no activa, en foros de discusión, etc. Es muy probable que pueda demostrar que es usted y reclamar la cuenta, mala suerte si no es así. No es una gran pérdida. Y si tu cuenta de Reddit significa tu vida, para mí realmente no me importa. Así que lo guardaría en Lastpass, pero tal vez quieras mantenerlo más seguro. Qué guardar donde depende de ti.

Si sus contraseñas son fáciles de recordar * o lo suficientemente importantes **, es mejor no guardarlas en su computadora (en el navegador o en cualquier otro lugar) porque prácticamente está regalando sus contraseñas si alguien roba su computadora. < br> Incluso si sus contraseñas están cifradas, eso es simplemente un mecanismo de retardo, afortunadamente, no mucha gente tendrá el conocimiento / los recursos para molestarse en descifrarlo y probablemente solo venderá su computadora por dinero rápido. Si elige usar un administrador de contraseñas, aprovéchelo: genere una contraseña aleatoria con todos los caracteres válidos y hágala tan larga como sea posible (aunque 4096 caracteres pueden ser ridículos ...).

* no use contraseñas cortas, demasiado fácil para la fuerza bruta (10 caracteres es un buen punto de partida)
** Por ejemplo, banca, correo electrónico, tiendas, Facebook (se puede usar para iniciar sesión en otros servicios)

Otros usuarios son la razón más preocupante.

No usaría ningún software para recordar contraseñas, porque además de entregarles las contraseñas que utilizo, existe un riesgo mucho mayor de que alguien piratee su cuenta de Google (por ejemplo) y descargue todas sus otras contraseñas.

Puedes guardar tus contraseñas en Chrome y luego configurarlas para hacer una copia de seguridad en Google. Luego, alguien piratea tu cuenta de Google haciendo un registro de teclas.

Pueden acceder a todas sus contraseñas guardadas en texto sin cifrar, directamente desde el panel de control de perfil de su cuenta de Google.

Sin embargo, esto podría mitigarse con el uso de TFA.

Como dije, nunca usaría ningún software para recordar pases, pero principalmente por esta razón.