¿Cuál es la forma ideal de almacenar contraseñas?

0

Me pregunto qué debo hacer con mis contraseñas.

He dividido las cuentas por importancia en dos grupos:

a) la primera que son cuentas como esta de la que estoy escribiendo. Los he configurado para escribir algún post en los foros. Básicamente, no me importan ellos. Cada uno es diferente. Donde pude cerrar la cuenta que hice, pero estoy usando algunas de esas cuentas para usar la funcionalidad que necesito, por ejemplo, estar accesible en un foro. Los guardo en un archivo que está cifrado en mi disco externo, en realidad tengo dos de esos discos, en dos ciudades cifradas por VeraCrypt. Creo que esto es suficiente ya que no recuerdo esas contraseñas, etc.

b) el otro conjunto es más importante, no mencionaría qué tipo de cuentas son, pero son importantes para mí. Recientemente, he cambiado todas las contraseñas por buenas, que consisten en un número suficiente de caracteres y diferentes tipos de ellos. Cada cuenta tiene una contraseña diferente para evitar reutilizar una de mis contraseñas en una cuenta diferente. En realidad, los memoricé, pero me preocupa que algún día pueda olvidar una de las contraseñas ya que algunas de ellas no se usan con frecuencia.

Entonces, ¿dónde puedo guardarlos?

1) No quiero almacenarlos digitalmente , ya que no estoy seguro de no tener un exploit que pueda robar el archivo que estoy almacenando. En realidad, la documentación de VeraCrypt me dijo que un volumen / contenedor encriptado está encriptado en el disco todo el tiempo y que se desencripta en la memoria cada vez. Pero, ¿cuál es el problema que se debe hacer para explotar la descarga de memoria en algún momento o activada por algún sitio web abierto? Yo podría hacer eso.

2) No quiero usar un administrador de contraseñas ya que no confío en ellos. Ok, puedo encontrar un proyecto de código abierto y hacer mi propia investigación. Pero el problema que me da miedo es que si una contraseña se ve comprometida, por ejemplo, con keylogger + exploit robando el archivo del administrador de contraseñas y estoy fuera del negocio.

3) La mejor forma de almacenarlos es físicamente en papel , ya que confío en mi entorno. Pero esto tampoco es un buen caso teóricamente. No tengo caja fuerte.

Entonces, ¿qué recomiendas? ¿Cuál es el modelo ideal para almacenar contraseñas? ¿Dónde los guardas? Me refiero a una contraseña seria, así que b) grupo de mi lista. El grupo a) se almacena en archivos cifrados en un disco externo y esto es igual a como los almacenaría en un administrador de contraseñas. Me refiero a 1 contraseña crackeada = todas las contraseñas disponibles. Sin embargo, rara vez estoy conectando este disco, así que creo que incluso es un poco más seguro que un administrador de contraseñas.

    
pregunta jan kowalski 02.12.2017 - 21:25
fuente

5 respuestas

-1

La mejor manera de almacenarlos es EVITAR guardarlos en cualquier lugar que no sea tu propia memoria. Demasiada dependencia de la escritura, la electrónica, etc. ha hecho que nuestra memoria subdesarrollada sea casi inútil.

Caso en cuestión: perdí mi teléfono celular el año pasado y me volví bastante humilde cuando me di cuenta de que no podía contactar a nadie por teléfono, ni siquiera a mi propia madre. Sin embargo, cuando era niño, tenía más de 15 números de teléfono memorizados.

Si debes almacenar las cosas secretas externas a tu propio cerebro, entonces recomiendo que ese contenido sea irreconocible. Por ejemplo, mantengo una lista en lápiz de contactos importantes. Cualquiera que mire la lista asume que es un garabato sin sentido de formas geométricas bidimensionales. Ninguno ha adivinado que cada forma codifica un número, determinado por el número de cambios angulares. Es decir. un triángulo es 3, pero también lo es la letra M. 2 podría ser la letra N, una X o algo así como una L.

F.

    
respondido por el Francis from ResponseBase 03.12.2017 - 04:16
fuente
4

Los comentarios tienen un buen punto con respecto a la seguridad de los puntos finales de su modelo de amenaza:

Si no confía en su punto final para almacenar los datos, no debe confiar lo suficiente como para ingresar sus datos desde un papel.

No confiar en los administradores de contraseñas también es extraño: ¿realizó usted un análisis completo en veracrypt, en el que parece confiar?

No estoy abogando por descargar la tecnología de cifrado en general, pero un administrador de contraseñas es probablemente la base de código más fácil de revisar cuando los problemas de confianza llegan tan lejos.

Aparte de eso, aquí están mis consejos para mantener buenas contraseñas, y debe hacerlo independientemente de la agrupación que hizo (ya que es solo una pequeña sobrecarga para las contraseñas no importantes)

  • Use un administrador de contraseñas en el que confíe.
  • Use una máquina en la que confíe.
  • Use una autenticación multifactor cuando sea posible (es decir, un token U2F como un yubikey o al menos un generador de Token basado en software).
  • No reutilice las contraseñas.

Hay otro problema que su modelo de amenaza no está abordando, que es la disponibilidad: perder esas contraseñas probablemente será malo. Por lo tanto, es una buena idea mantener la base de datos que creó en un segundo dispositivo. Por ejemplo, puede exportarlo con un cifrado de clave PGP en una unidad de disco portátil que lleva consigo en todo momento y guardar la clave para eso en un yubikey en una caja fuerte bancaria.

De esta manera, deberías poder recuperar las claves y puedes crear nuevas copias de seguridad sin necesidad de acceder al yubikey.

    
respondido por el Tobi Nary 02.12.2017 - 22:37
fuente
2

Como han señalado otros, el error en su lógica es querer considerar la seguridad del uso de la contraseña y el almacenamiento en una máquina comprometida. Nada es seguro en una máquina comprometida, ni siquiera escribir las contraseñas de un cuaderno de papel. Debe tener en cuenta que siempre que esté utilizando una contraseña (ingresándola, dejándola rellenada por un software como un conjunto de claves o un administrador de contraseñas), esa contraseña estará en un lugar claro. en tu maquina Por ejemplo, el portapapeles a menudo está disponible para muchos procesos; Si no hay acceso a la RAM comprometido, no hay manera de evitar la posibilidad de que su contraseña sea robada.

Si quieres hacer un gran esfuerzo para proteger las contraseñas (pero con la advertencia anterior), puedes usar Tails. Necesitas 5 memorias USB: una con Tails instalada en ella, y 4 memorias USB que servirán como tu bóveda de llaves y respaldo. 1) utilice una máquina sin conexión a Internet, y arranque en Tails con una memoria USB 2) use la aplicación KeePassX integrada para configurar su base de datos cifrada en una segunda memoria USB 3) para mayor seguridad, también puede generar una clave y almacenarla en otra memoria USB. 4) debe hacer una copia de seguridad en una cuarta y una quinta barra respectivamente de la base de datos de contraseñas y su clave asociada 5) debe asegurarse de recordar la contraseña única que desbloquea la base de datos de Keepass

Cuando apagas el sistema Tails, todo se olvida, aparte de lo que hay en los 4 sticks. Para usar sus contraseñas, necesitará una máquina segura con Keepass (por ejemplo, Tails) y dos memorias USB: una con la base de datos de Keepass y otra con la clave de la base de datos. También necesitarás tu contraseña de la base de datos.

Eso es un montón de problemas, pero para contraseñas / claves de alto riesgo, podría valer la pena el esfuerzo. Por supuesto, si alguna vez pones tu stick en una máquina comprometida, o escribes las contraseñas en una máquina comprometida, como han dicho otros, todo esto se vuelve discutible.

Es una forma relativamente segura de mantener, por ejemplo, semillas de billeteras criptográficas, pero es una gran cantidad de problemas.

    
respondido por el entrop-x 03.12.2017 - 08:58
fuente
1

Aunque memorizar contraseñas importantes y seguras es arriesgado porque son fáciles de olvidar, es mucho más fácil y más seguro memorizar una operación en una cadena, por ejemplo. "recorta 2 caracteres de cada extremo", "intercambia el primer y el último carácter", "simplemente repite la cadena dos veces" etc.

Entonces, básicamente, tú:

  1. Cree una operación de cadena y manténgala en su mente solo;
  2. Use archivos encriptados, administradores de contraseñas, pedazos de papel y otras cosas para mantener sus contraseñas sin formato , que son cadenas que proporcionarán las contraseñas reales cuando se les aplique la operación.

Sus contraseñas en bruto no serán de utilidad para nadie sin saber que necesitan ser transformadas y cómo transformarlas.

    
respondido por el Greendrake 02.12.2017 - 22:58
fuente
0

Ofreceré una sugerencia, aunque soy nuevo en este foro, así que sé amable ...

Ahora, ninguna decisión es sin riesgo. La dirección definitiva en la que decida ir es simplemente una expresión de su tolerancia al riesgo.

En mi caso, me han archivado mis últimos 3 impuestos a la renta antes de que el IRS se diera cuenta de que mi identidad había sido robada. En ese momento yo también me preocupé por qué otra cosa había accedido y decidí cambiar mis contraseñas. Similar a una publicación anterior, fui con un método basado en reglas. Una ilustración sigue:

  • Cap 1ª letra para representar la 1ª letra del dominio del sitio (C = .com, E = .edu, O = .org) etc.
  • Las primeras dos letras de mi apellido (es decir, SSm - asumiendo que mi nombre es Smith)
  • Mi año de nacimiento (1885)
  • 1er tres de mi mes de nacimiento (junio)
  • Un carácter especial ('*')
  • Primeras 4 letras del nombre del sitio web.

Por lo tanto, para el intercambio de pila sería

CSm1885Jun * secu

Ahora, el riesgo que he aceptado es que si alguien ha pirateado suficientes cuentas y tiene ID y contraseñas suficientes, entonces es posible que puedan comprender la fórmula. Mi creencia (aunque no soportable) es que la contraseña es lo suficientemente compleja como para no ser encontrada en las tablas del arco iris y necesitaría suficiente trabajo para que la persona que roba la lista de contraseñas cifradas simplemente pase a un objetivo más fácil.

Hasta ahora no he tenido a nadie que haya infringido una cuenta en línea .......

  • RkRider
respondido por el RkRider 04.12.2017 - 18:40
fuente

Lea otras preguntas en las etiquetas