¿Pueden los usuarios usar un administrador de contraseñas cuando los bancos les piden que nunca anoten las contraseñas?

Soy abogado en Alemania. Aquí las condiciones especiales entre el cliente y el banco son parte del contrato. Por lo tanto, estamos hablando de una cláusula en estas condiciones especiales que prohíbe el uso de un administrador de contraseñas.

Fui al sitio de mi banco, dibujé las condiciones y realmente, dice, el cliente no tiene permitido almacenar la contraseña en su PC.

Así que esta cláusula prohíbe almacenar mi pw en la PC. La pregunta es, ¿realmente almaceno la contraseña dentro del administrador de contraseñas o "almaceno" algo como 23%%4l5ksa0ß90ßv9w6&! ? ¿Y es esta una cláusula legal?

Aprecio tu pregunta!

Editar: ¿Cómo resolver el problema? - Como pregunta pai28 . Ni siquiera estoy seguro de que las personas que escribieron esas condiciones estén al tanto del progreso que nosotros, los usuarios, hicimos durante los últimos años. Usamos pw-managers, porque una existencia en línea es imposible sin.

Por lo tanto, la cláusula debe modificarse: el cliente no tiene permitido almacenar la contraseña sin cifrar en ningún dispositivo de TI. O algo como esto.

Escribiré a la asociación de mi banco y preguntaré. Si alguna vez recibo una respuesta seria (no blabla, estimado cliente, lo apreciamos mucho, pero es muy complicado ...), informaré sobre el resultado.

No soy un laywer, pero un administrador de contraseñas correctamente construido almacena las contraseñas de forma tan segura como cualquier sistema bancario moderno.

No puedo hablar de la legalidad de usar un administrador de contraseñas, pero puedo decir que en un nivel filosófico, en cualquier lugar que una contraseña proporcionada personalmente sea aceptable como identificación, una contraseña de administrador de contraseñas (correctamente construida) es aceptable.

( Editar: Agregar una contraseña a un administrador de contraseñas correctamente construido no es equivalente a simplemente escribirlas).

Nunca he oído hablar de esto, así que no puedo asegurarlo, pero supongo que la premisa original es errónea: no creo que ningún banco tenga una política que indique que no asegurará su cuenta contra el fraude si almacena su contraseña en algún lugar fuera de su propia cabeza. Hacer cumplir esa regla requeriría que las contraseñas sean fáciles de recordar y, por lo tanto, fáciles de adivinar. Las contraseñas más seguras son cadenas de caracteres aleatorias largas, que la mayoría de los humanos tendrían que escribir o almacenar en algún lugar. El banco puede "aconsejarle" que no escriba su contraseña en un pedazo de papel donde otros puedan verla, pero pedirle que no la registre en cualquier lugar reduciría la seguridad, no la mejoraría. Por supuesto, tendría que leer las condiciones del banco en particular para estar seguro.

Además, parece inútil que un banco tenga una regla como esta porque siempre podría mentir y decir que no la guardó en ningún lugar. Sería una regla casi inaplicable.

Edit: a pesar de lo que pienso, aquí hay un banco que tiene la regla a la que te estás refiriendo, aunque es algo vago: enlace (Ver página 7). La abreviatura es: se permiten "ayudas para la memoria", pero debe tomar medidas "razonables" para asegurarse de que no se vea comprometido. Interpretaría que significa que un administrador de contraseñas cifradas es más que adecuado.

Bueno, realmente el punto de este consejo está más en la línea de "No ponga su contraseña en ningún lugar". Como se indica de otro modo, esta es una declaración legal destinada a cubrir los costos del banco en caso de que la contraseña sea robada.

En el sentido de un administrador de contraseñas, en realidad no es más que escribir su contraseña en un libro y almacenarla en una caja fuerte.

Si alguien encuentra la clave de su caja fuerte, ábrala, busque su contraseña en el libro y úsela para vaciar su cuenta bancaria, entonces el banco no puede ser considerado responsable en ese momento porque fue culpa suya. tenerlo disponible.
En el mismo sentido entonces, su administrador de contraseñas es el seguro. En el caso de que alguien logre violar la seguridad de su administrador de contraseñas, cualquier información que pueda obtener dicho administrador de contraseñas seguirá siendo responsabilidad de la persona que puso la información allí .

tl; dr: Tendría que decir no , en el sentido legal, no importaría qué tipo de protección supersticiosa está usando, todavía ha escrito su contraseña en tal una forma que puede ser recuperado.

En muchos casos, no es un consejo, los bancos están estableciendo en sus términos y condiciones que los usuarios no escriben sus contraseñas ni las divulgan de ninguna manera, ni pierden ninguna protección de crédito y pago. Por lo tanto, admitir el uso de un administrador de contraseñas sería una mala idea, ya que los bancos podrían usar eso como una excusa para no ayudar.

¿Las personas pueden seguir usando los administradores de contraseñas? Claro, siempre y cuando recuerden no mencionarlo si sucede lo peor. La cuestión es que la mayoría de las personas tiene un solo banco, por lo tanto una contraseña: ¿por qué deberían necesitar un administrador de contraseñas para eso?

Los bancos recomendarían no escribir su contraseña, ya que la pondría al alcance de todos los que puedan tener en sus manos cualquier cuaderno, papel o nota que usó para escribirla y leer. De manera análoga, el uso del administrador de contraseñas haría que la contraseña sea accesible para cualquier persona que pueda usar la máquina con el administrador de contraseñas y sepa cómo usarla (lo que yo llamaría habilidad tan accesible como la lectura).

¿Debería usar el administrador de contraseñas y qué tan seguro es? Bueno, principalmente se trata de su cultura personal de regular el acceso a su computadora y la seguridad general del sistema. Si no está permitiendo que extraños utilicen su máquina, tenga una contraseña de cuenta de usuario y una contraseña maestra para el administrador de contraseñas, no veo ningún problema al utilizar el administrador de contraseñas. No es más seguro que memorice su contraseña por cualquier medio, pero en caso de que se produjera un acceso no autorizado a su cuenta debido a que alguien se aproveche del administrador de contraseñas, la mayoría de los bancos (o al menos aquellos con los que he trabajado) no lo pondrán todo Puede culparlo y ayudaría a recuperar daños, especialmente si pudiera probar que su contraseña no era fácilmente accesible y que ha tomado las precauciones mínimas necesarias.

El almacenamiento de la contraseña en un administrador de contraseñas decente es probablemente más seguro que cualquier otro método que esté utilizando la mayoría de las personas que cumplen con la política.

Puede ser que un administrador de contraseñas típico esté violando la palabra de la política, pero probablemente no el espíritu de la política, ya que el administrador de contraseñas es más seguro. La implicación de esto en un caso real es una pregunta para un abogado, no un experto en seguridad.

Almacenar una versión cifrada de la contraseña es la forma más obvia de implementar un administrador de contraseñas, pero no es la única. Un administrador de contraseñas no necesariamente tiene que almacenar la contraseña en absoluto.

Un administrador de contraseñas podría generar contraseñas basadas en las siguientes entradas:

• contraseña maestra
• Nombre del sitio para el que está la contraseña
• En qué mes se generó la contraseña
• ¿Cuál es la política de contraseña del sitio?

Si alimenta todo lo anterior como semilla a un PRNG y lo utiliza para generar una contraseña aleatoriamente uniforme entre todas las contraseñas permitidas por la política, entonces la contraseña debe ser igual de segura. La única información que necesita almacenar es cuando se creó la contraseña más alguna información que no es secreta.

El verdadero propósito de un enfoque como este sería evitar la pérdida de contraseñas debido a la falta de copias de seguridad. Pero, como efecto secundario, funcionaría en torno a políticas que no permiten almacenar la contraseña.

Es un tecnicismo, pero cuando escribo mi contraseña en un sitio web, el navegador es "capaz" de ser un administrador de contraseñas. Por lo tanto, si le piden que nunca escriba su contraseña e incluya un administrador de contraseñas, ingresar a un navegador sería una violación de los términos. Ahora que tienen que usar el "sitio web", cuyo principal medio de acceso es un navegador, lo obligan a romper los términos del servicio.

En ese momento, realmente se convierte en una cuestión de si le están obligando a usar un administrador de contraseñas, ¿pueden decir que violó los términos del servicio?

también, solo porque algo está en los términos de servicio, no significa que se pueda mantener si no es razonable vea aquí y aquí

En mi experiencia, en los EE. UU., los bancos aceptan poca o ninguna responsabilidad por el fraude resultante de una contraseña robada. Por lo general, es correcto en los términos de servicio que usted sea responsable de que cualquier persona que acceda a su cuenta con sus credenciales. Es por eso que te aconsejan que no los escribas. Ellos pueden ayudarle según las circunstancias, pero estoy bastante seguro de que no están obligados a hacerlo.

Dicho esto, uso una herramienta de almacenamiento de contraseñas (1Password) todo el tiempo y estoy bastante satisfecho con el nivel de seguridad que me brinda para mantener seguras mis más de 800 contraseñas. (Obviamente, esas no son todas las contraseñas bancarias ... ;-) También mantiene cada entrada en su propio archivo para una sincronización fácil / rápida con Dropbox o servicios similares para compartir en la nube.

La única protección que los bancos suelen garantizar es el fraude con tarjetas de crédito (o, por supuesto, el robo, como en un atraco bancario).