¿Cuál es la práctica estándar para mantener una contraseña para diferentes sitios web? [duplicar]

Navega tus respuestas
0

Me he encontrado con muchos usuarios que mantienen una contraseña reutilizada para todos y cada uno de los sitios web, como P@ssw0rd123

El problema con este enfoque es que si alguien infringe las protecciones de un sitio web en particular, la seguridad del usuario será en vano.

Muchos sitios web todavía almacenan contraseñas en la base de datos en un formato no cifrado. Supongamos que tengo acceso a la base de datos de un sitio web en particular. Luego puedo robar el nombre de usuario y la contraseña e imaginar el caos que puedo crear con los usuarios que reutilizan las contraseñas de cada sitio web / portal / plataforma.

¿Cómo resolver este problema? ¿Qué algoritmo debe seguir un usuario para mantener la contraseña de diferentes sitios web / portal que no tienen conocimiento de seguridad y otras cuestiones técnicas?

Esta pregunta está dirigida a usuarios de fines generales que no tienen ningún conocimiento de seguridad, por lo que herramientas como la tarjeta de contraseña, el administrador de contraseñas o las herramientas hash no solucionarán el problema.

En cambio, ¿qué hay de tener la contraseña como

domain_name + combination of unique keywords per website + unique special characters per website ?

    
pregunta Pawan Patil 12.11.2018 - 10:49
fuente

2 respuestas

4

Se sugieren diferentes mitigaciones, como por ejemplo PasswordCard o alguna hints cómo extienda su contraseña con el nombre del sitio o incluso herramientas hash .

Pero la única práctica recomendada es utilizar un administrador de contraseñas con una contraseña maestra segura y generar contraseñas aleatorias para cada sitio.

    
respondido por el Josef 12.11.2018 - 11:22
fuente
3

Como ya se mencionó @josef, la mejor solución es usar un administrador de contraseñas y generar una contraseña aleatoria para cada cuenta.

Estas son algunas de las mejores prácticas con respecto al uso de, por ejemplo, KeePass:

  1. Asegúrese de elegir una contraseña maestra muy buena. Esto es crucial ya que un compromiso de su administrador de contraseñas llevaría a un compromiso de todas las cuentas almacenadas en la base de datos del administrador de contraseñas . Esta contraseña no debe escribirse, excepto en función de su modelo de amenaza, en una sola hoja de papel que guarda en una caja de seguridad (para su familia en caso de su muerte, etc.)
  2. Utilice la autenticación multifactor cuando sea posible. KeePass, por ejemplo, es compatible con Yubikey, archivos clave, etc.
  3. Segregue las bases de datos de su administrador de contraseñas. P.ej. tener una base de datos de "alta seguridad" (puede contener datos bancarios, etc.) y una base de datos de "seguridad media" (puede contener inicios de sesión en redes sociales, etc.). Esto también puede extenderse para almacenar una contraseña muy segura, generada aleatoriamente para la base de datos de alta seguridad en su base de datos de seguridad media.
  4. Copia de seguridad y prueba-restaurar sus copias de seguridad! Si su base de datos se corrompe, se bloqueará de todas las cuentas almacenadas en la base de datos del administrador de contraseñas.
  5. No deje la base de datos de su administrador de contraseñas desbloqueada más de lo necesario. Los scripts como PowerSploit contienen módulos que buscan específicamente archivos KeePass desbloqueados.
  6. Mantenga sus sistemas seguros, actualizados y limpios. Un sistema comprometido conduce a una base de datos de contraseñas comprometida que compromete a cada cuenta almacenada en la base de datos del administrador de contraseñas.
respondido por el SeeYouInDisneyland 12.11.2018 - 11:37
fuente

Lea otras preguntas en las etiquetas

¿Qué es el uso de ASN.1 en el protocolo SSL y cuál es el riesgo de usarlo? Fuerza bruta - ¿Qué tan difícil?