¿Es realista solo necesitar recordar una contraseña para el administrador de contraseñas?

¿Posible? Si realista? No

Configuro mi contraseña de inicio de sesión de Windows para que sea la misma que la contraseña de FDE. Una elección controvertida, pero no veo ningún riesgo importante con esto.

Si tiene FDE, en teoría, puede usar un administrador de contraseñas sin una contraseña maestra y estar seguro. Sin embargo, la mayoría de las personas (y yo me incluyo) no se sienten cómodos con eso. Así que esas son dos contraseñas como mínimo.

Hay algunas contraseñas que no quiero poner en mi administrador de contraseñas, por ejemplo. PINs para tarjetas bancarias. Así que tengo que memorizarlos.

También encuentro que hay algunas contraseñas que debes memorizar por razones prácticas. Un ejemplo es mi contraseña de Apple AppStore. Incluso con el ID de toque me encuentro escribiendo lo suficiente como para que lo necesite memorizado. No puedes pegar en ese campo de contraseña, y es modal, por lo que no puedes cambiar entre él y el administrador de contraseñas.

Si se utiliza una tarjeta inteligente o una tecnología similar para iniciar sesión en la computadora, entonces, en mi opinión, uno puede escapar con una sola contraseña al administrador de contraseñas. Aún más: algunos administradores de contraseñas pueden autenticarse utilizando una tarjeta inteligente o un token en la unidad USB.

Eso deja a los dispositivos como los teléfonos inteligentes, que requieren una contraseña. Sin embargo, si se usa la autenticación de huellas digitales (que no es el método de autenticación más seguro), técnicamente, solo necesita una contraseña ... para su dispositivo smartphone.

Sí, técnicamente podría almacenar las contraseñas en un administrador de contraseñas y simplemente tener la contraseña para que el administrador de contraseñas tenga acceso.

Pero si haces esto, deberías alejarte de una "contraseña" y tal vez usar una "frase de contraseña", una contraseña que sea tan larga, que no sea realista ser forzada. Otro problema es que estos administradores de contraseñas pueden ser pirateados, así que ten cuidado también.

Otra muy buena opción es un administrador de contraseñas que verifica la dirección física de una computadora en lugar de una contraseña escrita, por lo que no es necesaria ninguna contraseña. Esto es especialmente útil para las empresas, ya que solo funcionaría para las computadoras de una empresa.

En definitiva, sí, puedes obtener un administrador de contraseñas para cifrar y almacenar todas tus contraseñas, pero obtén una contraseña muy poderosa para el administrador de contraseñas por seguridad.

Esta pregunta está ligeramente basada en la opinión, sin embargo, no diría que fuera suficiente para cerrarla.

De manera realista, es probable que debas recordar algunas contraseñas diferentes.

Si lleva el mismo dispositivo por todas partes que contiene su bóveda de contraseñas, es decir, su teléfono, entonces probablemente necesite recordar dos contraseñas como mínimo:

• Contraseña del teléfono
• contraseña del administrador de contraseñas

Dentro de tu administrador de contraseñas, puedes almacenar las contraseñas de tus otros dispositivos.

Sin embargo, esto supone que nunca pierdes tu teléfono. Por lo tanto, le recomiendo que también recuerde la contraseña de su computadora portátil, entonces tiene otro dispositivo de confianza en el que puede iniciar sesión cuando necesite acceder a sus contraseñas.

Si está utilizando sistemas de administrador de contraseñas y nube independientes en lugar de algo integrado en la nube como Lastpass, entonces esa es otra contraseña que debe recordar.

Recomendaría utilizar varias Dicewords para cada contraseña que necesite recordar, porque son más memorables. Una técnica de memoria como el método de enlace puede ayudarlo a recordar listas de palabras, sin embargo, Dicewords a veces puede producir algo inusual. Y palabras inusuales. Sin embargo, me parece que esto funciona para mí, y con frecuencia puedo transformar las palabras producidas lo suficiente como para que pueda recordarlas después de escribirlas lo suficiente.

De esta manera, terminará con, digamos, un máximo de tres contraseñas que necesitará recordar, y quizás una o dos para dispositivos adicionales. No necesita una memorable para cada dispositivo, siempre y cuando tenga acceso a uno cuando sea necesario, puede recuperar las contraseñas de las demás desde su bóveda de contraseñas.

  

¿Es posible recordar solo la contraseña maestra al administrador de contraseñas y seguir siendo seguro?

Depende de las circunstancias. Si asume que nadie alguna vez adivinará, descifrará u obtendrá su contraseña maestra, entonces seguro que está tan seguro como puede ser.

El problema surge si alguien obtiene su contraseña maestra, entonces es un daño mucho mayor que si estuviera recordando contraseñas diferentes.

Es simplemente "mantener todos los huevos en una canasta", podría ser demasiado para tu nivel de paranoia.

  

Por ejemplo, también debe conocer la contraseña para iniciar sesión en la computadora (y posiblemente la contraseña para el cifrado completo del disco) antes de poder acceder al administrador de contraseñas. Multiplica esto por cada dispositivo.

No es un problema. El safe en sí mismo debe estar cifrado, entonces usted puede y debe replicar su (cifrado) seguro donde sea que lo necesite, posiblemente incluso en espacios públicos (por supuesto, solo si cree que es resistente a los ataques de fuerza bruta) y libre de bichos y puertas traseras).

Por ejemplo, tengo mi KeePass seguro en la PC de mi hogar y en mi teléfono inteligente; especialmente a la versión en el teléfono inteligente se puede acceder fácilmente por quienquiera que tenga sus manos en él. Creo que la contraseña y el programa son "seguros". Nunca lo pondría en un espacio público (por ejemplo, en un repositorio de github) porque aunque creo que el software está limpio ahora, no sería la primera vez que el software resultó ser malo después del hecho.

Sin embargo, este es un problema un poco diferente, "confía en que su contraseña sea segura". Supongo que esto se da, o su pregunta actual sería discutible.

  

Si hace una copia de seguridad de su base de datos de contraseñas, probablemente también necesite una contraseña (especialmente si está utilizando un servicio basado en la nube, como Google Drive o Dropbox, para la copia de seguridad).

En primer lugar, nunca tendría una base de datos de contraseñas de texto simple, por lo que no es un problema. Ver más arriba, es lo mismo.

  

Además, si tiene habilitada la autenticación multifactor, es probable que también tenga que recordar la contraseña de su teléfono (si usa una aplicación como Google Authenticator).

Claro, debe recordar las contraseñas de los dispositivos que realmente utiliza para acceder a su caja fuerte. Nada cambiará eso, a menos que use la misma contraseña para su caja fuerte y sus dispositivos. Esto, al menos en mi nivel de paranoia, sería inaceptable, ya que haría que sea más probable que sea interceptado.

  

¿Hay alguna forma mejor o estoy malinterpretando algo? ¿Es realmente posible solo necesitar saber la contraseña del administrador de contraseñas?

En principio, sí, con la excepción anterior.

  

¿Es posible recordar solo la contraseña maestra a la contraseña?   gerente y todavía estar seguro?

Por supuesto, es posible recordar la contraseña maestra, pero ¿es segura? No estoy seguro de eso. Si está buscando algo que quizás sea el único que recordará, incluso si la gente vio que la palabra no lo dudaría, puede configurar la contraseña maestra como algo complejo que no tenga significado y quizás con un alfabeto de idioma diferente al Inglés como ruso en el teclado RU. como: одоЧтетьаелбан

Eso quizás te ayude hasta cierto punto. No si alguien busca esa contraseña intencionalmente. Nada en línea es 100% seguro, es cuestión de tiempo y endurecimiento, pero todas las cosas en Internet son fáciles de romper.

  

¿Hay alguna forma mejor o estoy malinterpretando algo? Lo es   Realmente es posible solo necesitar saber la contraseña de la contraseña   gerente?

Es posible, pero un riesgo, una mejor manera de hacerlo por su tranquilidad, es la autenticación dual de su Bóveda de contraseña. Aún mejor algo como una ficha física que llevas contigo la mayor parte del tiempo. de esa manera, incluso si un atacante tuvo acceso a su contraseña maestra para el almacén, necesitarán una segunda autenticación física para obtener acceso.

Realmente me gusta Yubico por ese motivo en particular.