¿Realmente importa si uso la misma contraseña para todos mis sitios más importantes, incluida la banca? [duplicar]

Navega tus respuestas
0

Solo necesito almacenar contraseñas para uso personal, no hay información clasificada aquí. Tengo poca memoria y prefiero no grabar numerosas contraseñas, ya que eso crea un riesgo de seguridad en sí mismo. No quiero utilizar ningún tipo de sistema de protección / almacenamiento basado en TI. Si es necesario, podría crear cuatro contraseñas, asignar una de ellas a cada uno de mis muchos inicios de sesión y crear un documento (en Evernote, así que siempre lo tengo conmigo) con una lista de inicios de sesión y una pista (descifrable solo por mí ) para el cual la contraseña se aplica a cada uno. ¿Algo malo con hacer eso? Me doy cuenta de que Evernote probablemente no es seguro, pero nadie podrá descifrar mis pistas.

    
pregunta PADJ 04.06.2017 - 05:46
fuente

3 respuestas

3

Si, como usted dice, el almacenamiento de su contraseña solo es descifrable por usted, yo diría que es un cifrado suficientemente bueno para usted, en el sentido de que cumple su función.

Sin embargo, el uso de contraseñas únicas, complejas y largas no es solo para que alguien te las robe. Su estrategia funciona solo si se reconcilia con riesgos como estos:

  1. Uno de los sitios web que utiliza es pirateado, y descifran su contraseña debido a una debilidad en su esquema de almacenamiento de contraseñas (o una debilidad en su contraseña).
  2. Los hackers luego intentan reutilizar esta contraseña en otros sitios y tienen éxito.

No sé por qué te resistes a usar los administradores de contraseñas. Como dice Troy Hunt " Los administradores de contraseñas no tienen que ser perfectos, solo deben ser mejores que no tener uno ".

Como profesional de Infosec, soy paranoico y escéptico (no confío fácilmente en los vendedores de renombre). Yo uso un administrador de contraseñas de código abierto KeePassX. Intento mantenerme al tanto de los riesgos residuales, compensar con "vigilancia constante" (gracias, Alastor Moody) siempre que sea posible y acepto los riesgos donde no lo es.

Por supuesto, sus necesidades pueden ser diferentes.

    
respondido por el Sas3 04.06.2017 - 06:12
fuente
1

Fugas importantes de contraseñas o datos de inicio de sesión, previstas o no, como " Cloudbleed " A principios de este año se puede y se repetirá en cualquier momento. No debes reutilizar tus contraseñas. Período. Puede almacenarlos en una carpeta encriptada en su teléfono inteligente y / o PC, si no le gusta usar administradores de contraseñas (yo tampoco los "confío", ya que también son vulnerables a incidentes como "Cloudbleed") .

En realidad no importa si su contraseña es extremadamente segura o no. Las contraseñas de los principales sitios o servicios continuarán siendo filtradas, robadas o vendidas. Eso sucede todo el tiempo.

    
respondido por el Martin Fürholz 04.06.2017 - 06:42
fuente
1

Si está realmente preocupado por el uso de administradores de contraseñas, o no quiere hacerlo por otras razones, aunque parece ir en contra de todos los consejos de la comunidad infosec, diría que use una contraseña diferente para cada sitio. pero escríbalos en un pedazo de papel y guárdelos en algún lugar.

Para algunas personas privadas, este es el enfoque sensato ...

También soy un profesional infosec paranoico, pero tenemos que entender el riesgo real aquí. Si mantiene una lista de contraseñas en un pedazo de papel en su casa, por ejemplo, el riesgo es que lo saquen (lo cual, dependiendo de su ubicación puede ser muy bajo) y que el ladrón sepa qué han encontrado y luego explotan eso antes de que tenga la oportunidad de cambiar sus contraseñas.

Si usa la misma contraseña en todas partes porque no puede recordar las diferentes y no quiere usar un administrador de contraseñas, el riesgo, como han señalado otros, es que alguien comprometa una de esas contraseñas en línea usando Explotaciones técnicas remotas y luego intenta reutilizarlo en muchos más sitios.

El riesgo de que la contraseña se comprometa en línea es, por lo general, considerablemente más alto que el de un ladrón u otro atacante físicamente presente que usa su hoja de papel con las contraseñas escritas.

Para ser más seguro, consideraría guardar tu pedazo de papel de forma segura o al menos no mantenerlo en algún lugar en exhibición.

Si puede utilizar la autenticación de dos factores junto con este enfoque, como Google Authenticator en su teléfono móvil para reducir el riesgo aún más, mejor. La mayoría de los sitios grandes ahora ofrecen esta opción y debería usar la opción de contraseña que tome.

Por lo tanto, sé que esto puede bajar los votos de algunas personas, pero creo firmemente que esto es una cuestión de entender y lidiar con el riesgo real. Aconsejo a mi padre que haga esto porque, de lo contrario, , usará la misma contraseña simple en todas partes y no tiene la experiencia técnica suficiente para usar un administrador de contraseñas. Para los clientes y las personas capacitadas en TI, y para los empleados de una organización donde puede aplicar una política, es absolutamente necesario un administrador de contraseñas y 2fa.

    
respondido por el David Scholefield 04.06.2017 - 09:03
fuente

Lea otras preguntas en las etiquetas

Acceso root sin contraseña ¿Puede el SO protegernos de la CPU de puerta trasera? [cerrado]