¿Por qué usar Keepass, etc. si todas sus contraseñas están en un solo lugar?

En mi opinión, hay una respuesta larga a esta pregunta, y hay una breve. El corto va algo como esto:

La mayoría de las exposiciones (de nombres de usuario y contraseñas) que vemos no son ataques dirigidos contra un individuo, pero pueden dar lugar a la exposición de las credenciales de un individuo. Un administrador de contraseñas ayuda a limitar el impacto en un usuario único al permitirles usar diferentes contraseñas en todos los sitios web a los que acceden, al tiempo que minimiza el riesgo de que las olviden.

Desde mi experiencia, las personas que se oponen al uso de un administrador de contraseñas tienen miedo de un ataque dirigido contra sí mismos, en lugar de los ataques oportunistas que describí, pero tienen razón: si alguien tiene acceso a su repositorio de contraseñas, se acabó el juego. .

Ahora, hay una forma "correcta" y una forma "incorrecta" de usar los administradores de contraseñas. Aquí hay algunos consejos:

1. Asegúrese de hacer su investigación antes de elegir qué administrador de contraseñas desea utilizar: desea asegurarse de que sepa dónde se almacenan sus datos y cómo se cifran. También desea asegurarse de que está usando un producto de buena reputación.
2. Asegúrese de que su contraseña maestra sea suficientemente compleja. Ya sea que elija utilizar una frase de contraseña segura o una contraseña compleja, debe asegurarse de que sea lo suficientemente fuerte para proteger su base de datos. Si alguien adivina su contraseña (o se las arregla para descifrarla), todas sus contraseñas están expuestas.
3. Nunca acceda a su base de datos de contraseñas desde una computadora pública. Y, si tiene que hacerlo, cambie su contraseña maestra (desde una computadora privada) después. Las computadoras públicas pueden tener keyloggers y todo tipo de otras cosas divertidas que pueden exponer su contraseña maestra. Lo que es peor, si su base de datos es una base de datos sin conexión (por ejemplo, KeePass), en realidad no la está eliminando del disco cuando la envía a la papelera de reciclaje.
4. Asegúrese de que su computadora privada tenga una protección adecuada contra virus / malware. La misma lógica que la número tres: no desea que las personas accedan a su contraseña maestra bajo ninguna circunstancia.
5. Utilice la autenticación de varios pasos siempre que sea posible. Los proveedores de correo electrónico más populares ofrecen esto ahora, y es una excelente manera de minimizar la posibilidad de que se acceda a su cuenta, incluso si alguien descubre su contraseña de 128 caracteres.

Por último, mi preferencia personal es evitar cualquier administrador de contraseña "público" en línea (por ejemplo, LastPass ). No me importa que las bases de datos de contraseñas estén en línea (por ejemplo, poner tu base de datos KeePass en Dropbox, no es que yo haga esto), porque esto supondría un ataque dirigido para que alguien encuentre tus contraseñas. Pero, estoy seguro de que a los atacantes les encantaría poner sus manos en la base de datos de uno de estos proveedores de servicios, por la única razón de decir que lo hicieron. A partir de ahí, solo se trata de que un individuo oportunista tenga suerte y todas sus contraseñas se conviertan en las suyas.

Depende de la alternativa. Si la persona que discute contra KeePass en cambio recuerda docenas de frases de contraseña buenas, entonces tiene razón con su crítica. En realidad, sin embargo, las personas tienden a ser perezosas y siguen reutilizando el mismo conjunto de contraseñas débiles. En ese caso, KeePass es mucho mejor, porque al menos protege contra ataques "contundentes" cuando alguien encuentra una vulnerabilidad de inyección de SQL y descarga todos los datos de los usuarios desde un sitio web.

Atacar a KeePass es algo más difícil. Si la base de datos se mantiene fuera de línea, entonces el atacante debe comprometer este sistema en particular. Y en ese caso, se acabó el juego, de todos modos. El atacante también podría intentar obtener las contraseñas a medida que las escribe.

Estoy de acuerdo, todas las contraseñas están en un solo lugar, esto hace que Keepass sea un punto único de falla.

Sin embargo, la mayoría de los usuarios ya tienen otros dos puntos únicos de falla:

• Dirección de correo electrónico : por lo general, todas sus cuentas usan la misma dirección de correo electrónico, y si un atacante toma el control de su correo electrónico, puede usar el proceso de contraseña olvidada para acceder a todas sus cuentas.
• Computadora portátil : la mayoría de los usuarios tienen una computadora portátil principal que utilizan para iniciar sesión en todos sus sitios. Si un atacante obtiene un keylogger con esto, puede obtener todas sus contraseñas.

Si tiene varias direcciones de correo electrónico o computadoras portátiles, probablemente debería tener varias carpetas Keepass.

Por lo tanto, la introducción de un único punto de falla no es nada nuevo, y los beneficios de un administrador de contraseñas son significativos, por lo que la mayoría de los usuarios harán un buen uso de uno.