Implicaciones de seguridad de usar un administrador de contraseñas habilitado por OAuth

1

Me he resistido a la idea de los administradores de contraseñas durante mucho tiempo. Reunir las contraseñas de todas sus cuentas en línea en un lugar que solo está protegido por una contraseña maestra difícil de recordar no me parece una buena idea.

Sin embargo, he estado haciendo muchos restablecimientos de contraseñas últimamente. Intento variar mis contraseñas como se recomienda, pero siempre las olvido. Hacer un restablecimiento de contraseña toma un tiempo innecesario y es un dolor en el trasero. Entonces pensé ... ¿por qué no probar un administrador de contraseñas que usa el servicio OAuth de Google en lugar de una contraseña maestra? Las personas que obtengan acceso a mi cuenta de Gmail podrían iniciar sesión en todas estas cuentas de todos modos, ya que pueden restablecer la contraseña.

Por supuesto, todavía hay otros riesgos asociados con dicha configuración. El malware podría robar la base de datos y la fuerza bruta. Luego, una vez más, las contraseñas escritas pueden ser robadas por un keylogger y las cookies de sesión también pueden ser interceptadas. Una solución de almacenamiento de contraseña basada en la nube puede presentar aún más riesgos adicionales. Pero en el lado positivo, si no tengo que recordar la contraseña, puedo usar cadenas de contraseña mucho más difíciles.

¿Qué piensas de esta idea? ¿Sería menos seguro almacenar mis contraseñas de esta manera a cambio de una mayor comodidad? ¿Existen productos de software existentes que se autentiquen con OAuth en lugar de una contraseña maestra? Es posible que desee considerar que ya tengo activada la autenticación de dos factores para mi cuenta de Google. Solo usaría esta herramienta para los servicios que ya envían correos electrónicos de restablecimiento de contraseña a esta cuenta de Google.

    
pregunta Pieter 22.08.2012 - 12:16
fuente

4 respuestas

2

Ciertamente es más conveniente . Pero dudo que sea más seguro.

Por un lado, tal configuración introduce otro punto de falla en comparación con la solución de contraseña maestra. La superficie de ataque sería más grande ya que habría otro objetivo (Google), para comprometer en lugar de solo su servicio de administrador de contraseñas. Cuanto mayor sea el riesgo que esto agregue dependerá de cómo vea la seguridad de Google.

¿Es tan difícil para usted recordar una sola contraseña altamente aleatoria? Mis contraseñas en línea se almacenan con lastpass. Todos ellos tienen contraseñas muy aleatorias que van desde 18 hasta 30 caracteres. Solo tengo que recordar UNA contraseña de 10 caracteres (que considero lo suficientemente segura para resistir los ataques de fuerza bruta).

Aún debe recordar la contraseña de su cuenta de gmail, que DEBE ser tan larga y aleatoria como cualquier contraseña que considere para su contraseña maestra. Así que no veo ningún beneficio para su esquema en absoluto.

    
respondido por el Ayrx 22.08.2012 - 12:23
fuente
1

Creo que tu razonamiento es sonido. Obtendría contraseñas mucho más seguras y, en todo caso, creo que que vale más que el riesgo adicional de usar una bóveda de contraseñas.

La alternativa - ser una bóveda de contraseña humana - no es factible ni muy segura (a menos que tu mente sea asombrosa). Con las contraseñas que se descifran más rápido de lo que puedes decir "John the Ripper", el uso de contraseñas seguras es cada vez más importante.

Una alternativa a Google Authenticator o Google's Oauth es obtener un Yubikey. Funciona bien con LastPass y las bóvedas de contraseñas locales, y le permite configurar la autenticación de dos factores para muchas otras cosas, como el inicio de sesión en el sistema operativo, el cifrado de disco, SSH, etc.

    
respondido por el ximo 16.12.2012 - 21:45
fuente
0

A través de un reciente compromiso de un escritor de tecnología, se ha comprobado que Google, Apple y Amazon, incluso si tienen una mejor seguridad que un individuo determinado, todavía hay formas de evitar incluso sus controles de seguridad. Esto significa que incluso si un delincuente no tuviera la contraseña de su cuenta de Google, podrían acceder a la cuenta y cambiar la contraseña, y luego acceder al perfil del sitio web controlado por OAuth. Este tipo de administrador de contraseñas solo se aseguraría si utilizara el autenticador, incluso entonces sería vulnerable a la ingeniería social, ya que la mayor debilidad de una cuenta de Google es el hecho de que el personal de Google supoprt realmente puede cambiar la contraseña.

En una instancia como LastPass, no pueden cambiar la contraseña, porque incluso si lo hicieran, los datos cifrados con otra contraseña no podrían leerse.

En la instancia de compromiso del autor sucede lo siguiente:

  1. Criminal obtuvo suficiente información sobre el usuario para agregar un crédito Tarjeta a su cuenta de Amazon a través del teléfono. \
  2. Criminal devolvió la llamada a Amazon, solicitó que se restableciera la contraseña y proporcionó la información de la tarjeta de crédito que acaba de agregar.
  3. Esto permitió la posibilidad de ver los últimos 4 dígitos de una tarjeta de crédito real conectada a una cuenta de Apple.
  4. Criminal llamó a Apple solicitando "asistencia" y pudo acceder a la cuenta de iCloud después de proporcionar los últimos 4 dígitos de la tarjeta de crédito conectada a la cuenta.
  5. Criminal eliminó todos los dispositivos del autor y solicitó una cuenta de Google restablecimiento de la contraseña, con acceso al correo electrónico de "copia de seguridad", fue exitoso.

No estoy realmente seguro de la moraleja de la historia. No está claro si Google Authenticator habría detenido al criminal. Google tiene contraseñas basadas en aplicaciones que ciertamente habrían detenido al criminal, y una implementación de un administrador de contraseñas que usó una de esas contraseñas sería segura. Por supuesto, realmente no habría ninguna diferencia entre la implementación actual, ya que la contraseña antigua y la nueva deberían proporcionarse para cifrar los datos nuevamente.

    
respondido por el Ramhound 22.08.2012 - 14:29
fuente
-1

Teóricamente, para las medidas de seguridad, puede usar otra cuenta de Google para la recuperación de la administración de contraseñas, por lo que cuando la cuenta que está usando normalmente está comprometida, no es una violación total.

    
respondido por el Andrew Smith 22.08.2012 - 12:30
fuente

Lea otras preguntas en las etiquetas