Administrador de contraseñas: ¿más seguro en una computadora portátil o en un teléfono inteligente?

Navega tus respuestas
35

Quiero recomendar un administrador de contraseñas a mis amigos y familiares que no sean de tecnología y ayudarlos a configurarlo y usarlo. Una de las decisiones que debo tomar es si recomiendo una que funcione en computadoras portátiles o una que funcione en teléfonos inteligentes.

Smartphones:

  • Tiene mucho mejor aislamiento de la aplicación. Esta es, con mucho, la mayor ventaja.
  • Se llevan a todas partes, eliminando la necesidad de considerar incluso un administrador de contraseñas en línea, ya que las personas ya tienen acceso a su administrador de contraseñas.
  • Son un dolor para desmontar. Donde los ataques de arranque en frío contra equipos de escritorio y portátiles son extremadamente raros, los consideraría aún más raros en comparación con los teléfonos inteligentes.
  • Es difícil escribir, limitando el tiempo que puede tener una contraseña maestra. Por otro lado, la mayoría de los que no son expertos en tecnología tampoco escriben muy rápido en las computadoras.
  • Ni un solo administrador de contraseñas de teléfonos inteligentes permite generar frases de contraseña, que son mucho más fáciles de escribir en una computadora que una contraseña aleatoria, a la vez que son igualmente seguras. (5 palabras aleatorias (diccionario de 43k palabras) contienen 75 bits de entropía, 12 caracteres (alfanuméricos, caja mixta) contienen 70 bits).

Laptops:

  • Es más fácil realizar una secuencia de comandos confiable, para realizar copias de seguridad de la base de datos de contraseñas. En mi experiencia, los sistemas operativos móviles matan a la izquierda y la derecha para ahorrar batería.
  • Se puede comprometer haciendo clic en algo incorrecto al navegar. Siento que los teléfonos inteligentes no tienen este problema tanto, e incluso si alguien instala una aplicación incorrecta de la tienda, debería estar aislada.
  • Permite copiar la contraseña en lugar de escribirla desde un teléfono inteligente, lo que permite contraseñas más seguras. (99% de las veces, las personas iniciarán sesión en una cuenta en su computadora portátil, no en su teléfono inteligente).
  • Tenga más administradores de contraseñas disponibles. Para los teléfonos inteligentes, hay exactamente uno administrador de contraseñas de código abierto adecuado, mientras que para las computadoras portátiles conozco varias.

Llego a la conclusión de que los teléfonos inteligentes tienen una pequeña ventaja, pero tengo que encontrar una solución para generar frases de contraseña, idealmente, mediante el uso de un teclado personalizado para que no se pasen a través del portapapeles.

¿Me perdí alguna consideración (importante)?

    
pregunta Luc 07.05.2017 - 17:32
fuente

5 respuestas

39

No entiendo por qué no quieres un administrador de contraseñas que funcione en ambos. Tus amigos que no son técnicos y que no usan un administrador de contraseñas aún están demasiado limitados por tus requisitos. Pareces estar corriendo en modo paranoico. Tus amigos quieren algo que sea conveniente.

Si puede hacer que se muevan a Lastpass , será una gran mejora con respecto a su seguridad actual.

  • Se puede compartir gratis en el teléfono y la computadora portátil ahora.
  • Tiene 2FA, que probablemente ya sea demasiado complicado para muchos y muy inconveniente, pero tiene esta opción. Si se configura correctamente, evita los inicios de sesión de equipos desconocidos.
  • Lastpass tiene su propia aplicación 2FA, lo que lo hace aún más fácil.
  • Si alguien inicia sesión desde otra ubicación, recibirá un correo electrónico al respecto.
  • El inicio de sesión se puede limitar a ciertos países.

NB: No quiero limitar esto a Lastpass. Otros administradores de contraseñas como 1Password probablemente tengan el mismo bono. No los uso, así que no lo sé. Keepass es una opción fuera de línea, pero compartir la base de datos en Dropbox o Google Drive hace que sea un poco en línea, pero aún más difícil de usar.

Algunas preguntas:

  • ¿Cuál es su objeción a Lastpass o soluciones similares? No digo que usted tenga que usarlo. Es para tus amigos, que necesitan aumentar su seguridad para usar algo en lugar de nada. Lastpass es mucho más seguro que nada, en mi opinión.
  • ¿Por qué no mencionas los administradores de contraseñas que consideras? ¡Haría que esta discusión fuera mucho más significativa!
  • ¿Qué pasa con la elección entre la computadora portátil y el teléfono? ¿Entonces no puedo usar contraseñas en el teléfono que uso en la computadora portátil? Si sus amigos inician sesión en Facebook, ¡los necesitan tanto en el teléfono como en la computadora portátil!
  • ¡Los no técnicos pueden escribir a velocidades increíbles! Más abajo en tu pregunta, hablas de contraseñas que consisten en palabras normales. La mayoría de las personas pueden escribir palabras normales a velocidades normales.

Me temo que tu solución se desechará en la primera ocasión en la que las molestias se vuelvan feas. ¡Sea sabio y elija el compromiso!

    
respondido por el SPRBRN 07.05.2017 - 22:15
fuente
7

Divulgación: trabajo para AgileBits, los creadores de 1Password.

Generador de frase de contraseña en el móvil

  

Ni un solo administrador de contraseñas de teléfonos inteligentes permite generar frases de contraseña

1Password lo hace en iOS, aunque no en 1Password en Android.

Las palabras se eligen de forma aleatoria y uniforme de una lista de aproximadamente 18400 palabras en inglés de 3 a 8 letras de longitud.

Si puedo presumir un poco, mi pobre reclamo a la fama está reviviendo el interés en Diceware - como generadores, con una publicación de blog hace seis años que inspiró a un determinado cómic de XKCD . El esquema particular que utilizamos en 1Password hoy se presentó en PasswordsCon en 2015.

Evitando el portapapeles

  

... para que no tengan que pasar por el portapapeles.

En Android, 1Password ofrece un portapapeles personalizado, pero no creo que haga todo lo que quieres. En iOS, nosotros (y otros administradores de contraseñas) usamos extensiones de aplicaciones para permitir la integración con aplicaciones que permiten el uso de estas extensiones. Pero ninguno de estos son soluciones completas.

Este es un problema difícil, que todos los administradores de contraseñas enfrentan y enfrentan de diferentes maneras. En las computadoras portátiles, la mayoría de los administradores de contraseñas usan extensiones de navegador que de alguna manera hablan de algo con los datos de la contraseña real. (El "de alguna manera" difiere entre los administradores de contraseñas, con ventajas y desventajas para cada enfoque).

En dispositivos móviles, el sandbox de la aplicación (algo bueno para la seguridad) hace que esto sea más difícil. Una cosa que hemos tenido cuidado de hacer es no usar el portapapeles sin que el usuario tenga claro que eso es lo que está sucediendo. Es decir, no usamos el portapapeles en silencio.

Una vez más, nadie tiene una solución perfecta, y todos abordamos el mismo tipo de problemas difíciles de manera ligeramente diferente.

Plataformas

La pregunta hace un gran trabajo al evaluar las ventajas y desventajas de los dispositivos móviles frente a los portátiles, incluida la seguridad de usar un administrador de contraseñas en la plataforma, pero el resto de los detalles parecen suponer que para los dispositivos móviles solo está considerando Android. Eso parece extraño para mí. Google ha dado grandes pasos para ayudar a las personas a evitar el malware y para que las personas actualicen sus sistemas, pero Apple sigue siendo sustancialmente mejor en estos aspectos.

Por más que supongo que odias la nube, la gente querrá tener sus datos de contraseña disponibles en todos los sistemas que utilizan. Tener un administrador de contraseñas en solo uno de esos sistemas dejará a las personas en la misma posición que tienen hoy. Continuarán reutilizando contraseñas relativamente débiles a menos que su administrador de contraseñas trabaje para ellas donde trabajan.

Y esto nos lleva a ...

Usabilidad

Está buscando un administrador de contraseñas para "amigos y familiares no tecnológicos". La usabilidad es más que una interfaz de usuario bonita. Se trata de diseñar cosas para trabajar con el grano de cómo las personas operan en lugar de contra el grano. No se trata de una pregunta de "usabilidad frente a seguridad", sino sobre cómo facilitar que las personas se comporten de manera segura y no insegura.

Si desea que las personas utilicen realmente el sistema que configuró para ellos, debe tener todo esto en cuenta.

Características invisibles

Los administradores de contraseñas enfrentan los mismos problemas y, a menudo, encontramos soluciones similares. Pero todavía hay diferencias sustanciales bajo el capó. Lo que cuenta como "metadatos" es una cosa. Lo que un servicio puede aprender sobre el comportamiento de sus usuarios es otro. Qué defensas ofrece si hay un servidor comprometido. Qué defensas existen contra la manipulación de datos, y muchas más. Este tipo de cosas generalmente no son visibles para los usuarios (o incluso muchas personas que revisan los administradores de contraseñas).

Te animo a que mires este tipo de cosas. El 1 White paper sobre seguridad de contraseñas aún tiene secciones faltantes (estamos completándolas lentamente), pero entra en detalles y habla de los aspectos positivos y negativos de varios elementos de diseño.

    
respondido por el Jeffrey Goldberg 08.05.2017 - 19:42
fuente
3

Recomendaría colocar el administrador de contraseñas en una memoria USB, ya que proporciona aislamiento de cualquier posible ataque a menos que esté conectado, y no requiere la tontería de llevar una computadora portátil con el aire vacío con su NIC desactivada.

    
respondido por el DeepS1X 08.05.2017 - 04:20
fuente
2

Sí, te estás perdiendo la recomendación obvia de tener una computadora portátil o un teléfono inteligente con el aire con el tráfico de Internet desactivado únicamente para la administración de contraseñas y otras tareas importantes. Si bien esto es un poco más paranoico de lo que normalmente se justifica, puede estar moviendo los postes lo suficiente como para convencer a algunas personas de que usen administradores de contraseñas.

Mientras lo hace, definitivamente puede recordarle al miembro de la familia / amigo que revise su computadora portátil / teléfono en busca de troyanos. Después de todo, no tiene sentido instalar un administrador de contraseñas en la parte superior de un keylogger.

    
respondido por el non-Sequitur 07.05.2017 - 21:01
fuente
0

Según lo sugerido por otros, hay buenos programas que pueden ejecutarse en múltiples dispositivos. Recomiendo encarecidamente Norton Identity Safe . Es gratis y fácil de usar. Tiene una interfaz web, una aplicación de Windows y aplicaciones para iOS y Android. Tienen un Generador de contraseñas en su sitio, pero no en la aplicación.

    
respondido por el Spencer Williams 08.05.2017 - 01:05
fuente

Lea otras preguntas en las etiquetas

Nueva opción de pago en Paypal “Ingrese su ID bancaria + contraseña en línea”: ¿Cualquier mecanismo que pueda hacer esto seguro? ¿Cómo verifico las conexiones HTTPS en las aplicaciones móviles?