Protegiendo mis contraseñas de alto valor contra ataques sin conexión

8

Resumen

Soy un usuario de LastPass, pero me preocupa el almacenamiento de contraseñas de alto valor, como mi contraseña bancaria, en línea. He leído algunas publicaciones sobre este tema pero todavía tengo preguntas.

Amenazas

Estoy buscando una solución que aborde las siguientes amenazas (LastPass maneja el # 2 y el # 3 pero no el # 1):

  1. El atacante obtiene mis contraseñas cifradas y tiene recursos suficientes para romper mi frase de contraseña. El atacante descifra mi contraseña de banca en línea sin conexión, inicia sesión y roba todo mi dinero.
  2. El atacante me engaña para que ingrese mi contraseña en un sitio diferente al que pretendo (phising). El atacante obtiene mi contraseña de banca en línea, roba todo mi dinero.
  3. Una de mis cuentas de alto valor se ve comprometida. El atacante usa mi contraseña allí para adivinar las contraseñas de mis otras cuentas de alto valor.

Tengo 4-5 cuentas en línea que considero lo suficientemente valiosas como para preocuparme por estas amenazas.

Preguntas

Primero, ¿hay alguna amenaza más importante que esté pasando por alto aquí?

Segundo, ¿cómo puedo abordar estas preocupaciones? Estaba pensando en tener un administrador de contraseñas que almacene un salt aleatorio para cada cuenta de alto valor, haga hash de este salt con una contraseña "maestra" y utilícelo como la contraseña real de la cuenta (un poco como PwdHash). Ni las contraseñas de la cuenta real, ni la contraseña maestra, se almacenarán en cualquier lugar (cifradas o no). Esto parece forzar al atacante a probar sus conjeturas de contraseña contra el servicio en línea, en lugar de poder desconectarlas sin conexión.

Tenga en cuenta que esta contraseña "maestra", que se usa para derivar las contraseñas de la cuenta es diferente de la "contraseña maestra / contraseña" de lastpass, que se usa para cifrar los datos almacenados.

¿Este esquema aborda las amenazas anteriores? ¿Algún software que implemente esto para Chrome en Linux?

    
pregunta user1020406 01.02.2015 - 22:00
fuente

2 respuestas

1

He usado tanto KeePass como LastPass, y compartiré algunas de las cosas que me parecieron útiles cuando decidí usar un administrador de contraseñas basado en la web.

Algunas personas de Berkeley publicaron un documento que analizó varios administradores de contraseñas en línea. Este enlace le señala ese papel . LastPass solucionó el problema del bookmarklet .

Para la amenaza n. ° 1: una contraseña maestra fuerte (leída: larga y aleatoria) no debe ser descifrable, suponiendo que los desarrolladores del administrador de contraseñas hayan hecho su trabajo correctamente. Tengo que confiar en los profesionales de la criptografía para hacer esa evaluación.

Ahora que LastPass ha sido pirateado Supongo que podré encontrarlo fuera si lo hicieron.

Para la amenaza # 2: las amenazas de phishing son muy reales y pueden derrotar a 2FA ( ver esta pieza de Brian Krebs ). No veo cómo LastPass evita el tipo de ataque que describe Krebs. Recomienda apostar en un CD en vivo para evitar el compromiso del sistema.

Para la amenaza # 3: no reutilizar las contraseñas.

Si su principal preocupación es que alguien pueda obtener su base de datos de contraseñas encriptadas, entonces estará más seguro con KeePass u otra solución local que con LastPass. Sin embargo, eso no es una protección total. Si su sistema se ve comprometido, o si lo roban, el almacenamiento local no lo protege.

La amenaza que creo que estás pasando por alto es la siguiente: ¿necesitan tu contraseña para ingresar a tu banco, etc.? Matt Honan escribió sobre esto .

Si hay una forma más fácil de ingresar a su cuenta bancaria que la de la contraseña de la base de datos, es la amenaza de la que debe preocuparse. Espero que los enlaces que proporcioné hayan sido útiles.

    
respondido por el dangenet 25.02.2015 - 17:41
fuente
1

1) Si usa una contraseña segura, la mayoría de los administradores de contraseñas usan cifrados muy seguros, que no deberían ser crackeables a través de la fuerza bruta, pero como dice dangenet, realmente tenemos que confiar en los profesionales para que hagan su trabajo aquí mismo

2) La mayoría de los administradores utilizan la autenticación de dominio cuando trabaja dentro de su navegador, por lo que en este caso debería estar más seguro, pero, por supuesto, el administrador de contraseñas no puede impedirle copiar manualmente la contraseña e insertarla usted mismo

3) use contraseñas aleatorias, y no las reutilice, esta es la principal amenaza que deben evitar los administradores de contraseñas.

Tal como se ha demostrado muchas veces, aunque la forma más fácil de tener en cuenta hoy en día es la ingeniería social ( enlace y muchas instancias similares). El riesgo principal aquí no está en su lado y al no reutilizar las contraseñas, usar una forma segura de recordarlas (administradores de pswd de confianza o su memoria) y observar dónde ingresa las contraseñas, no debería correr ningún riesgo

    
respondido por el Ladislav Louka 20.02.2016 - 12:04
fuente

Lea otras preguntas en las etiquetas