Administrador de contraseñas: ¿contraseña maestra o no?

Navega tus respuestas
0

Utilizo varios navegadores por varias razones (navegar, descargar archivos, iniciar sesión en cuentas ...) pero prefiero Chrome para hacer cosas "arriesgadas" como navegar en sitios web que no sé si son seguros o no, y Instalé varias extensiones para obtener un mayor nivel de seguridad: ScriptSafe, Adblock plus y Ghostery. No uso ninguna herramienta de sandbox.

Para usar la misma computadora y sistema operativo para navegar por Internet e iniciar sesión en mis cuentas, me gustaría instalar un administrador de contraseñas para estar más seguro y confío en que pueda ser útil si alguien ingresa a mi sistema y busca contraseñas guardadas en algún lugar. en mi pc.

Pero consideremos el siguiente escenario: un keylogger me ataca y puede leer lo que estoy escribiendo en el teclado; En cuanto ingrese una contraseña maestra para usar mi administrador de contraseñas, tengo que escribir una. Bueno, algunos administradores de contraseñas permiten la opción de autenticación sin contraseña (significa que no tienes que recordar una contraseña maestra) y para el escenario anterior me parece una opción segura.

Mi pregunta es: al configurar un administrador de contraseñas, ¿es más seguro configurar la autenticación sin contraseña para evitar escribir la contraseña maestra y ser vulnerable a los keyloggers? ¿O debería considerar cualquier otra amenaza que haga más seguro establecer una contraseña maestra?

    
pregunta franz1 13.07.2017 - 15:35
fuente

2 respuestas

1

La pregunta sobre el keylogger está un poco fuera de lugar con los administradores de contraseñas, porque una vez que opera en un sistema ya comprometido no se puede salvar con prácticamente ninguna operación, algunos troyanos pueden robar datos de formularios en la fracción de segundo que ingresan los administradores, También es muy probable que guarde todo lo que tiene en su portapapeles. Otros vectores de ataque pueden estar tomando la contraseña de las capturas de pantalla ...

Básicamente, ningún administrador de contraseñas puede ayudarlo si está en un sistema comprometido, ya que el atacante no necesita depender de una autenticación separada, solo puede usarlo. Un sistema comprometido no es un vector de ataque del que un administrador de contraseñas pueda protegerlo (y no está diseñado para hacerlo).

Para la pregunta de qué autenticación, la mejor opción sería una autenticación de dos factores con contraseña y una confirmación en un dispositivo separado, pero como la mayoría de los administradores no le permiten agregar un dispositivo nuevo sin una autenticación por separado, debe estar bastante seguro con una sola contraseña maestra (por supuesto no reutilizada en ningún otro lugar ...). La autenticación biométrica en los dispositivos de usuario habituales no es muy segura, por lo que no confiaría en eso con una contraseña larga y segura.

    
respondido por el Ladislav Louka 13.07.2017 - 16:16
fuente
1

A partir de la experiencia personal con Lastpass, configuré la contraseña maestra personal y configuré 2FA con Google Authenticator. Sí, es un dolor en el culo para mí a veces, ya que necesito sacar mi Auth. Códigos pero, es más seguro y me da un tono cálido y difuso.

    
respondido por el Joshua Faust 13.07.2017 - 15:48
fuente

Lea otras preguntas en las etiquetas

¿Qué tan efectivo es un algoritmo básico de modificación de contraseña en comparación con la reutilización de contraseña? ¿Por qué un archivo de perfc cura / mata a Petya ransomware (es un error o una decisión deliberada de los creadores)?