He utilizado un método similar en el pasado: tenía un archivo de texto sin formato que contenía mis credenciales y lo cifré con Cifra Blowfish .
Ahora uso KeePass , un administrador de contraseñas sin conexión. Lo recomiendo encarecidamente, ya que es
- Mucho más fácil de usar que un archivo de texto cifrado, y
- Mucho más seguro que un archivo de texto cifrado solo una vez ( N = 1, ver más abajo). KeePass es compatible con la autenticación y protección multifactor contra los keyloggers, solo para mencionar algunas ventajas.
La base de datos cifrada que contiene mis credenciales se almacena en un directorio del cual se realiza automáticamente una copia de seguridad en Wuala , un servicio de almacenamiento seguro de archivos. , o podría usar servicios similares como Dropbox, Google Drive o OneDrive.
También recomiendo usar un archivo de clave, que es como una segunda contraseña muy segura (al menos 256 bits de entropía), y almacenar esto en un dispositivo de almacenamiento masivo USB (algo que tiene ). Combinado con una contraseña maestra segura (algo que sabes ), esencialmente has configurado un mecanismo de autenticación de 2 factores que es muy difícil de romper.
Asegúrese de no guardar la base de datos y el archivo de clave en la misma ubicación. Es esencial que mantenga el archivo de clave en secreto, por lo que en un medio que está en su persona y una copia de seguridad (por ejemplo, en papel) en una bóveda o en una ubicación segura similar. Si pierde el medio en el que está almacenado el archivo de clave, simplemente puede usar KeePass para generar un nuevo archivo de clave, haciendo que la clave perdida sea inútil. E incluso si un atacante pudiera obtener el archivo de clave Y la base de datos, la base de datos aún está protegida con su contraseña maestra segura.
KeePass hace que sea mucho más difícil ingresar a la base de datos mediante ataques de fuerza bruta o diccionario. Lo hace mediante el cifrado de la base de datos no una vez, pero muchas veces. La recomendación es establecer el número de rondas N tan alto, que descifrar la base de datos demora 1 segundo en su sistema (en el hardware moderno N supera fácilmente los 10 millones). Puede que no parezca mucho, y de hecho no es para uso diario, pero para un atacante hará que el ataque de fuerza bruta o diccionario tome N más tiempo.
Consulte KeePass Security para obtener una explicación de todas las funciones de seguridad.
También puede usar una YubiKey en lugar del archivo de clave. KeePass es compatible con YubiKey a través de OtpKeyProv plugin . De hecho:
Se admiten todas las señales del generador que siguen el estándar OATH HOTP (RFC 4226).
Entonces no estás limitado a un YubiKey.