¿Cuáles son las vulnerabilidades más peligrosas de los usuarios de la administración de contraseñas? [cerrado]

Navega tus respuestas
-2

¿Hay algún ejemplo en el que algo salga mal ? Por ejemplo, digamos que las personas hicieron un uso indebido de los administradores de contraseñas y fueron hackeados o sufrieron pérdidas. Si es así, ¿cómo?

Básicamente, conozco las vulnerabilidades típicas de administración de contraseñas (o más probablemente sus usuarios). En particular, estoy interesado en los problemas que realmente han ocurrido.

Me pregunto si hay algún caso en el que las personas hayan usado 1Password o LastPass y hayan sido hackeadas de todas formas y hayan perdido dinero o algo significativo.

El hack no tiene que ser culpa del administrador de contraseñas. Podría ser culpa de los usuarios, que quiero evitar.

Quiero ver ejemplos para poder comprender mejor todas las vulnerabilidades.

Lo que busco principalmente es el caso en el que alguien con una cuenta de bitcoin perdió bitcoin aunque usó 1Password, AllPass, por ejemplo.

Lo más probable es que sea el error propio de los usuarios. Quiero saber de qué tipo de fallas debo preocuparme cuando uso los administradores de contraseñas.

Soy consciente de que AllPass fue hackeado, pero nadie perdió su dinero por eso.

Esto incluye cualquier punto de falla, como olvidar las contraseñas maestras. Cualquier cosa "indeseable" que no sea deliberada y no deliberada.

    
pregunta user4951 01.10.2018 - 19:33
fuente

2 respuestas

4

En junio de 2018, ZDNet informó que el administrador de contraseñas OneLogin fue pirateado, exponiendo datos confidenciales de los clientes. Algunos meses antes de esto, otro administrador de contraseñas popular, LastPass, también sufrió un problema de seguridad problemático como este artículo de la descripción independiente del Reino Unido ( LastPass había sido hackeado previamente dos años antes.)

Conclusión: la seguridad potencial que obtiene al usar un administrador de contraseñas supera cualquier posible problema de seguridad en su extremo.

Mi favorito personal es 1Password.

PCMag.com otorgó a Dashlane y Keeper su elección de editor:

Los mejores administradores de contraseñas de 2018

    
respondido por el user3382203 01.10.2018 - 19:58
fuente
4

Estas son las amenazas que he identificado al tratar con los administradores de contraseñas.

  • Es un único punto de falla. Si olvida la contraseña maestra o alguna vez la roban, todo estará en peligro. Necesita copias de seguridad como todo lo demás, pero luego debe asegurarse de que las copias de seguridad sean al menos tan seguras como las demás, de lo contrario, se convertirá en el eslabón más débil de la cadena y en un punto de falla aún peor.
  • Los administradores de contraseñas, como todas las aplicaciones, pueden tener errores que llevan a vulnerabilidades de seguridad o pueden dañarse para agregar puertas traseras ocultas.
  • Los administradores de contraseñas populares, ya que son comúnmente utilizados por mucha gente, pueden convertirse en un objetivo específico incluso en ataques genéricos. Por ejemplo, esto significa que si PopularManager almacena todas las contraseñas en ~ / popularmanagers / passwords.db, es más probable que se escriba malware para verificar esa ruta (y probablemente robe la base de datos, etc.). Lo mismo ocurre con el phishing y todo lo que puede dirigirse a un administrador de contraseñas popular específico.
  • Los administradores de contraseñas en línea pueden verse comprometidos de muchas maneras, no solo atacando al usuario o a su cliente, sino también atacando al servidor oa las personas que brindan el servicio.

No puedo pensar en ningún otro en este momento. Si vale la pena considerar esas amenazas o no, depende del "modelo de amenaza", que a su vez depende de algunas compensaciones. Si decide no usar un administrador de contraseñas para evitar las amenazas anteriores, enfrentará otras amenazas específicas. Hoy en día hay demasiadas contraseñas para recordar, por lo menos de una docena a alrededor de cien en promedio, diría yo. Algunas personas como parte de sus trabajos podrían tener que usar incluso más de cien contraseñas. ¿Cómo lidiar con esto?

  • Use la misma contraseña en todas partes o contraseñas similares basadas en un patrón. Entonces esto significa que el administrador de StackExchange podrá acceder a todas sus cuentas (ya que las contraseñas serán las mismas o muy similares), y lo mismo se puede decir de cualquier atacante que haya logrado comprometer StackExchange, y lo mismo se puede decir de cualquier Otro servicio donde tengas una cuenta.
  • Escríbelos en algún lugar. Lo que significa que, de todos modos, usarás algún tipo de "administrador de contraseñas". Si los escribe en una hoja de papel, esa hoja de papel será su "administrador de contraseñas". Si los escribe en un archivo en su computadora, ese archivo será su "administrador de contraseñas". Y estos "administradores de contraseñas" enfrentarán todas las amenazas mencionadas anteriormente, además de más amenazas dependiendo de cuánto apesten. Por ejemplo, si escribe contraseñas en un pedazo de papel, ¿qué va a hacer cuando necesita ingresar una contraseña? Sacarás la hoja de papel y la escribirás. Pero si está en una oficina (o en su casa), todos a su alrededor verán dónde guarda todas sus contraseñas. Tendrías que bloquearlo en algún lugar, pero luego tendrás que guardar la llave todo el tiempo. Además, mientras escribe las contraseñas, todos pueden echar un vistazo al papel (o tomar una foto) y ver su contraseña. Ah, y no olvides la copia de seguridad del trozo de papel. Estos son solo algunos ejemplos, solo piense en todos los escenarios y se dará cuenta de que hay muchas amenazas.

Como puede ver, en la mayoría de los casos, no usar un administrador de contraseñas va a presentar muchas más amenazas que son difíciles de mitigar, por lo que, de todos modos, se recomiendan los administradores de contraseñas.

    
respondido por el reed 06.10.2018 - 20:26
fuente

Lea otras preguntas en las etiquetas

Necesito saber los beneficios de separar partes de SSN en tres tablas separadas ¿Abrir un cuadro de alerta con XSS cuando "alerta" se convierte en "Alerta"? [cerrado]