¿Qué contraseñas excluir de un administrador de contraseñas?

Navega tus respuestas
6

Los beneficios de un administrador de contraseñas son claros. Aún así, parece que podría haber un caso para mantener al menos algunas contraseñas fuera de él:

  • Su correo electrónico principal, para minimizar el problema del "punto único de ataque", así como los posibles problemas de bloqueo de autenticación de dos factores;
  • Su (s) cuenta (s) bancaria (s) y cuentas con información financiera, para evitar la violación de los términos y condiciones;
  • Códigos de acceso al hardware físico.

Esta respuesta sugiere que dichas cuentas deben seleccionarse en función de (a) el nivel de vulnerabilidad en caso de compromiso de la cuenta y (b ) Nivel de confianza en un administrador de contraseñas. . Sin embargo, si todas las cuentas excluidas están protegidas con una autenticación de dos factores y contraseñas tan sólidas como la que protege al administrador de contraseñas, ¿no sería la exclusión útil para la desagregación de riesgos?

¿Existe una compensación diferente a la agregación de riesgos en comparación con la conveniencia?

    
pregunta Simon Podhajsky 08.05.2015 - 19:05
fuente

3 respuestas

4

Voy a estar en desacuerdo con la premisa de que tiene sentido mantener algunas contraseñas de un administrador de contraseñas (seguro y no propietario).

Si bien puede parecer que algunas contraseñas pueden tener sentido fuera de ellas, creo que podrían estar limitadas a dos tipos:

  1. Una clave de cifrado de disco completo en un dispositivo que contiene su propio administrador de contraseñas. Esto se debe principalmente a que necesitará esa contraseña para ingresar al administrador de contraseñas. Para generar esta contraseña, use algo seguro y aleatorio como una contraseña de 7-9 word diceware.

  2. La contraseña para el administrador de contraseñas. Solo porque es irrelevante hacerlo, no por razones de seguridad.

También responderé a tus propuestas:

  1. Correo electrónico principal: si su administrador de contraseñas está comprometido, lo más probable es que ya haya bloqueado el inicio de sesión del correo electrónico. Suponiendo una ruta de ataque que le permite a alguien ingresar a su base de datos de contraseñas (keylogger, captura de pantalla, lo que sea), ya tiene una vulnerabilidad importante que casi definitivamente incluye acceso a su contraseña de correo electrónico. ¿Por qué no incluir sus contraseñas de correo electrónico con fines de seguridad? En la nota de los problemas de autenticación de dos factores, podría tener sentido utilizar otra contraseña de diceware para su correo electrónico, de modo que también lo tenga memorizado. El costo beneficio favorece mantener su contraseña en una base de datos segura.

  2. Cuentas bancarias: cualquier banco que no esté atascado con su cabeza en la arena debe AMAR que esté usando un administrador de contraseñas. Los datos financieros siempre deben estar protegidos por claves aleatorias. No estoy seguro de qué términos violarías si hubieras hecho esto. Especialmente si estas son sus cuentas personales de las que estamos hablando. Si son otras cuentas con información financiera que no es suya, diría que tiene la obligación ética (si no legal) de proteger la información lo mejor que pueda. Esto significa usar contraseñas generadas aleatoriamente desde una base de datos de contraseñas.

  3. Códigos de acceso al hardware físico. Si bien entiendo la idea detrás de esto, si realmente tiene que lidiar mucho con el hardware físico y desea códigos seguros, también desea un método seguro para almacenar los códigos y hacerlos fuertes. Si recurres a usar códigos erróneos o el mismo código ligeramente bueno en todas partes, terminarás haciendo más daño que bien. Si es necesario, obtenga un netbook o un teléfono seguro y coloque la base de datos de contraseñas allí.

Usted pregunta: "¿Existe una compensación diferente a la agregación de riesgos frente a la conveniencia?"

Le alentaría a que piense en los administradores de contraseñas menos como conveniencia y más como herramientas para mantener una buena seguridad. Los administradores de contraseñas violados serían un problema, pero los problemas que previenen son bastante importantes y la probabilidad de que se produzcan fallos con una configuración adecuada es mínima.

    
respondido por el Fernando 08.05.2015 - 20:34
fuente
11

La gran reducción del riesgo que disfruta simplemente al usar un administrador de contraseñas (sin reutilización de contraseñas, contraseñas más seguras, resistencia al phishing, etc.) supera dramáticamente cualquier riesgo adicional minúsculo de mantener su contraseña de correo electrónico en la misma bóveda. Es decir, suponiendo que usted protege la bóveda de contraseñas con una contraseña segura.

Además, esas cuentas son las que más trato de proteger, y un administrador de contraseñas hace que sea más fácil hacerlo. La contraseña para mi cuenta de correo electrónico y las cuentas bancarias son las más fuertes que puedo hacer, y las roto con cierta regularidad. No hay forma de que pueda recordar cuatro o más contraseñas de más de 50 caracteres que se rotan de dos a cuatro veces al año.

    
respondido por el Stephen Touset 08.05.2015 - 19:21
fuente
1

¿Por qué no solo almacenar todas las contraseñas en un administrador de contraseñas pero no almacenar la contraseña completa ? Hacer que las contraseñas comprometidas por sí mismas sean inútiles. Para hacerlo, simplemente recuerde un prefijo, sufijo, infijo o combinación de los tres. Considero que mi lista de contraseñas es solo el sal aleatorio de mi contraseña única que permanece en mi administrador de contraseñas mentales.

    
respondido por el bob 09.05.2015 - 03:52
fuente

Lea otras preguntas en las etiquetas

¿Es más seguro aplicar AES varias veces? GET vs POST, ¿cuál es más seguro? [duplicar]