Resumen
Soy un usuario de LastPass, pero me preocupa el almacenamiento de contraseñas de alto valor, como mi contraseña bancaria, en línea. He leído algunas publicaciones sobre este tema pero todavía tengo preguntas.
- ¿Qué tan seguros son los administradores de contraseñas como LastPass?
- ¿El usuario promedio realmente necesita un administrador de contraseñas? ?
- ¿Guardar las contraseñas en Chrome es tan seguro como usar LastPass si lo dejas registrado?
Amenazas
Estoy buscando una solución que aborde las siguientes amenazas (LastPass maneja el # 2 y el # 3 pero no el # 1):
- El atacante obtiene mis contraseñas cifradas y tiene recursos suficientes para romper mi frase de contraseña. El atacante descifra mi contraseña de banca en línea sin conexión, inicia sesión y roba todo mi dinero.
- El atacante me engaña para que ingrese mi contraseña en un sitio diferente al que pretendo (phising). El atacante obtiene mi contraseña de banca en línea, roba todo mi dinero.
- Una de mis cuentas de alto valor se ve comprometida. El atacante usa mi contraseña allí para adivinar las contraseñas de mis otras cuentas de alto valor.
Tengo 4-5 cuentas en línea que considero lo suficientemente valiosas como para preocuparme por estas amenazas.
Preguntas
Primero, ¿hay alguna amenaza más importante que esté pasando por alto aquí?
Segundo, ¿cómo puedo abordar estas preocupaciones? Estaba pensando en tener un administrador de contraseñas que almacene un salt aleatorio para cada cuenta de alto valor, haga hash de este salt con una contraseña "maestra" y utilícelo como la contraseña real de la cuenta (un poco como PwdHash). Ni las contraseñas de la cuenta real, ni la contraseña maestra, se almacenarán en cualquier lugar (cifradas o no). Esto parece forzar al atacante a probar sus conjeturas de contraseña contra el servicio en línea, en lugar de poder desconectarlas sin conexión.
Tenga en cuenta que esta contraseña "maestra", que se usa para derivar las contraseñas de la cuenta es diferente de la "contraseña maestra / contraseña" de lastpass, que se usa para cifrar los datos almacenados.
¿Este esquema aborda las amenazas anteriores? ¿Algún software que implemente esto para Chrome en Linux?