¿El administrador de contraseñas almacena las contraseñas en la memoria si bloqueo mi computadora?

Mientras esté en estado "desbloqueado", un administrador de contraseñas deberá mantener en la memoria "algo" que le permita acceder a los datos secretos.

Dependiendo de la arquitectura del administrador de contraseñas, puede haber varias cosas diferentes:

• El software del lado del cliente puro podría mantener toda la base de datos (sin cifrar) en la memoria. Esto es aceptable desde el punto de vista de la seguridad porque el modelo de seguridad de este software es que no intentará (demasiado) proteger contra el riesgo de raíz del equipo donde se ejecutan.
• Otro método para las aplicaciones del lado del cliente es mantener la clave de descifrado en la memoria y descifrar los datos relevantes según sea necesario. Esto es útil si la parte secreta de la base de datos es grande: solo descifrar la información cuando sea necesario ayuda a limpiarla luego y asegurarse de que no termine en el archivo de intercambio (si corresponde).
• Un enfoque adicional es mantener los datos en la memoria pero encriptados con una clave de sesión y descifrados cuando se accede a ellos. Esto permite una forma rápida de "limpiar" la memoria al bloquear el sistema (solo quite la clave de sesión)
• Las aplicaciones distribuidas pueden mantener un token de acceso en la memoria. Ese token de acceso se utiliza para recuperar los datos relevantes del servidor. Normalmente, una segunda clave, que debe mantenerse en la memoria, se usa para descifrar el resultado.

Además, las aplicaciones de administrador de contraseñas pueden eliminar toda la información cifrada de la memoria bajo alguna condición. Estas condiciones pueden (y normalmente se hacen como una opción) activarse cuando bloquea su estación de trabajo.

Al final, la respuesta real depende del software que uses y de cómo lo configures.

Un administrador de contraseñas que mantiene sus contraseñas "en la nube" le brinda la comodidad de acceder a sus contraseñas desde cualquier dispositivo, en cualquier lugar, en cualquier momento, pero eso significa que el archivo de la base de datos no está bajo su control directo. Una tienda local en su computadora portátil o una unidad USB extraíble es menos un objetivo para los piratas informáticos que un almacén centralizado de contraseñas en la nube.

El riesgo de usar un servicio en la nube no es tan grande como parece. Los servicios como LastPass utilizan SSL para la transferencia de datos, además de que sus datos se cifren con AES de 256 bits, y tienen una política de no recibir datos privados que aún no están bloqueados con su contraseña maestra. Al utilizar el cifrado y descifrado locales en su PC, con hashes con sal unidireccionales creados localmente y hacer que las contraseñas maestras no sean forzadas de manera brutal utilizando una gran cantidad de iteraciones PBKDF2-SHA256 para crearlas, el número de vectores de ataque es reducido considerablemente.

La pregunta más importante es qué sucede si un servicio en la nube no está disponible o, lo que es peor, si el proveedor fracasa. Mantener una copia de seguridad externa de su base de datos de contraseñas, cifrada con una aplicación como TrueCrypt.

Los clientes locales, con su base de datos cifrada almacenada en el dispositivo (dispositivos móviles) desde los que accede, no dependen de los balances de terceros o la conectividad de red. Incluso si el proveedor deja el negocio, tiene la aplicación instalada y aún funciona. Entonces, ¿qué sucede si pierde el teléfono que almacena el administrador de contraseñas de su cliente local o si su computadora portátil muere?

así que ... Muchas aplicaciones de administrador de contraseñas combinan dos características tanto en la nube como en las tiendas en dispositivos personales para lograr una protección sólida, a saber, la capacidad de generar cadenas de contraseña aleatorias y complejas, y la capacidad de registrar automáticamente al usuario en el Servicio o sitio utilizando esas contraseñas.