En mi opinión, hay una respuesta larga a esta pregunta, y hay una breve. El corto va algo como esto:
La mayoría de las exposiciones (de nombres de usuario y contraseñas) que vemos no son ataques dirigidos contra un individuo, pero pueden dar lugar a la exposición de las credenciales de un individuo. Un administrador de contraseñas ayuda a limitar el impacto en un usuario único al permitirles usar diferentes contraseñas en todos los sitios web a los que acceden, al tiempo que minimiza el riesgo de que las olviden.
Desde mi experiencia, las personas que se oponen al uso de un administrador de contraseñas tienen miedo de un ataque dirigido contra sí mismos, en lugar de los ataques oportunistas que describí, pero tienen razón: si alguien tiene acceso a su repositorio de contraseñas, se acabó el juego. .
Ahora, hay una forma "correcta" y una forma "incorrecta" de usar los administradores de contraseñas. Aquí hay algunos consejos:
- Asegúrese de hacer su investigación antes de elegir qué administrador de contraseñas desea utilizar: desea asegurarse de que sepa dónde se almacenan sus datos y cómo se cifran. También desea asegurarse de que está usando un producto de buena reputación.
- Asegúrese de que su contraseña maestra sea suficientemente compleja. Ya sea que elija utilizar una frase de contraseña segura o una contraseña compleja, debe asegurarse de que sea lo suficientemente fuerte para proteger su base de datos. Si alguien adivina su contraseña (o se las arregla para descifrarla), todas sus contraseñas están expuestas.
- Nunca acceda a su base de datos de contraseñas desde una computadora pública. Y, si tiene que hacerlo, cambie su contraseña maestra (desde una computadora privada) después. Las computadoras públicas pueden tener keyloggers y todo tipo de otras cosas divertidas que pueden exponer su contraseña maestra. Lo que es peor, si su base de datos es una base de datos sin conexión (por ejemplo, KeePass), en realidad no la está eliminando del disco cuando la envía a la papelera de reciclaje.
- Asegúrese de que su computadora privada tenga una protección adecuada contra virus / malware. La misma lógica que la número tres: no desea que las personas accedan a su contraseña maestra bajo ninguna circunstancia.
- Utilice la autenticación de varios pasos siempre que sea posible. Los proveedores de correo electrónico más populares ofrecen esto ahora, y es una excelente manera de minimizar la posibilidad de que se acceda a su cuenta, incluso si alguien descubre su contraseña de 128 caracteres.
Por último, mi preferencia personal es evitar cualquier administrador de contraseña "público" en línea (por ejemplo, LastPass ). No me importa que las bases de datos de contraseñas estén en línea (por ejemplo, poner tu base de datos KeePass en Dropbox, no es que yo haga esto), porque esto supondría un ataque dirigido para que alguien encuentre tus contraseñas. Pero, estoy seguro de que a los atacantes les encantaría poner sus manos en la base de datos de uno de estos proveedores de servicios, por la única razón de decir que lo hicieron. A partir de ahí, solo se trata de que un individuo oportunista tenga suerte y todas sus contraseñas se conviertan en las suyas.