Comprendo el propósito de los administradores de contraseñas y el hecho de que parece haber una compensación que aceptar, pero bueno, creo que esa compensación es inaceptable y me pregunto si hay una manera de evitarla. Un administrador de contraseñas introduce un único punto de falla, y ese único punto de falla también es bastante frágil: es la máquina del usuario. Y sabemos que una vez que la máquina está en peligro, ya no se puede confiar en ella, y el daño puede afectar potencialmente a todos los datos en esa máquina, entonces ¿por qué deberíamos aceptar almacenar todas nuestras credenciales en tales ¿Un solo punto de fracaso frágil? Apuesto a que en la NSA no tienen administradores de contraseñas que permitan el acceso a miles de contraseñas desde una sola computadora, ¿verdad? Debe haber algunos métodos alternativos para administrar las contraseñas o para al menos mitigar de alguna manera el único punto de falla que introducen.
Muchas personas no solo necesitan almacenar sus propias contraseñas, sino también las contraseñas de otras personas, como por ejemplo las contraseñas de los clientes (para el trabajo), o las contraseñas de algunos familiares (para proporcionar asistencia, etc.). Se accede a algunas cuentas a diario, algunas solo se deben acceder de vez en cuando y puede haber cuentas en su administrador de contraseñas que ni siquiera recuerda haber tenido. Entonces, ¿por qué deberíamos aceptar poner todo en riesgo? Solo se necesita una infección y se pueden comprometer cientos de cuentas. Todas las cuentas: no solo sus cuentas, sino también las de los demás. Es una receta para un gran desastre.
Podría pensar que una vez que su máquina se vea comprometida, de todos modos se dañará, por lo que evitar el único punto de falla no es tan importante como parece, pero piénselo: por el bien de la discusión, consideremos las diferencias entre almacenar todas sus contraseñas en un administrador de contraseñas en su computadora y almacenarlas en una hoja de papel. Ignoremos el hecho de que la hoja de papel presenta otras amenazas y solo concentrémonos en las consecuencias si su computadora se infecta. Si su máquina se infecta y utiliza un administrador de contraseñas que contiene todas sus contraseñas, el atacante puede obtenerlas todas. Pero si su máquina se infecta y solo está escribiendo contraseñas de un papel, ¿qué puede robar el atacante? Solo las contraseñas que escribe entre el momento de la infección y el momento en que descubre la infección. Por lo tanto, solo algunas de las contraseñas serán robadas, no todas. Por lo tanto, parece posible mitigar los problemas relacionados con este único punto de falla.
Traté de pensar en algunas soluciones. No estoy seguro de si 2FA realmente podría ayudar en caso de que la máquina local se vea comprometida, por lo que no estoy seguro de si los administradores de contraseñas en línea pueden ayudar más que los locales a este respecto. Me temo que no. Una posible solución podría ser utilizar varias bases de datos en el administrador de contraseñas, con diferentes contraseñas, de modo que incluso si se roban una contraseña maestra (y la base de datos correspondiente), las contraseñas contenidas en las otras bases de datos serán seguras. Las diferentes bases de datos podrían agrupar las contraseñas en función de la frecuencia de uso, la fecha del último uso o la importancia (la cuenta de PayPal en una base de datos diferente a StackExchange) o la propiedad (las cuentas de los clientes se mantienen separadas de las mías). Sin embargo, no está claro cuál es la mejor manera de agrupar las contraseñas, y pronto se vuelve bastante engorroso, lo que lleva a recordar varias contraseñas maestras seguras. Otra solución podría implicar algún tipo de ofuscación (hecha a medida) agregada a la seguridad por diseño ya proporcionado por el administrador de contraseñas, que supongo que funcionaría contra la mayoría de las infecciones (ataques no dirigidos). Por ejemplo, la combinación de ofuscación con múltiples bases de datos se podría hacer generando la contraseña para cada base de datos con algo como master_password_for_DB = hash(DB_name + supermaster_password) , para que no tenga que recordar muchas contraseñas maestras. Por supuesto, esto solo funciona debido a la oscuridad, es decir, si nadie más que yo conoce el método. Otra solución podría ser almacenar todo en un dispositivo separado configurado específicamente para la administración de contraseñas (como un teléfono con conectividad deshabilitada), pero eso también va a presentar algunos problemas bastante grandes: escribir una contraseña maestra segura cada vez en el dispositivo portátil es más difícil, y no hay forma de copiarlo y pegarlo en la computadora, por lo que probablemente tendrá que leerlo (una debilidad de seguridad) y escribirlo (una molestia).
En serio, no creo que tenga otras ideas en este momento.