Gestor de contraseñas vs libro de contraseñas

No hay una respuesta clara a esto. Depende del usuario. Solo un puñado de consideraciones inmediatas (hay muchas más) -

• ¿Cómo se almacena el libro físico? Es decir. alguien que guarda un libro en una caja de seguridad física en una casa cerrada es mucho más seguro que el tipo que lleva el libro diciendo "contraseñas" en la parte frontal de la misma en su mochila.
• ¿Qué tan segura es la máquina en la que se usa el administrador de contraseñas? Si en esa máquina se está ejecutando un código que no es de confianza, teóricamente el mismo usuario, no hay nada que le impida leer las contraseñas.
• No todos los administradores de contraseñas están basados en Internet. Puede almacenarlos localmente o usar un dispositivo de hardware.
• ¿Qué contraseñas se utilizan? Alguien que usa un administrador de contraseñas tiene muchas más probabilidades de usar contraseñas generadas aleatoriamente más largas que alguien que las copia de un libro.
• ¿Qué protege la contraseña? Es decir. la escritura de su contraseña en la misma ubicación física que una máquina con un disco no cifrado no reduce la seguridad de un oponente vagamente técnico. Escribir la contraseña en un dispositivo USB encriptado en el dispositivo hace que no tenga sentido.

Ambas técnicas cuando se usan correctamente pueden ser muy seguras. Con un administrador de contraseñas usted obtiene la habilidad de tener una contraseña maestra que no se registra en ninguna parte. Con un libro de contraseñas, obtiene seguridad de los casos en los que necesita ingresar una única contraseña en una máquina que no es de confianza.

Depende de cuánto paranoico seas. Hay pocos niveles de paranoia con respecto a la privacidad.

• Nivel 3 : crees que eres lo suficientemente inteligente y que nadie ingresa tus notas cifradas personales donde escribiste tu frase de contraseña utilizando algunos de tus propios métodos de cifrado inventados. Entonces deberías usar la frase de contraseña.

• Nivel 2 : cree que alguien encontrará su cuaderno de notas o que lo perderá (ya que debe llevarlo a todas partes) y luego podría usar el administrador de contraseñas. Si no le gusta el código cerrado, puede usar el administrador de contraseñas de código abierto como Keepass o Lesspass . Recomendaría esto para todos.

• Nivel 1 : no confías en nadie, excepto en tu antigua memoria. Los memorizas a todos sin comprometer la aleatoriedad. Me encantaría explicar aquí cómo organizar, memorizar su frase de contraseña sin comprometer la aleatoriedad, pero eso es irrelevante aquí.

Para su información: He usado la palabra passphrase en cada caso de la palabra password . Creo que todos deberíamos hacer lo mismo.

Uno puede hacer una combinación de ambos. Comprar / utilizar un barato, ev. Teléfono Android antiguo o de segunda mano: no tiene que estar funcionando. Límpialo. Personalmente instalaría el linaje-os en él sin la suite de Google. Cifrar el dispositivo con una frase de paso duro. Desactivar todas las redes (modo avión). Almacene su frase de contraseña en un archivo de texto allí, y solo úselo para eso. Considérelo como su versión electrónica de su contraseña. Eventualmente, compras dos de ellos, para tener una copia de seguridad; o puede hacer una copia nandroid encriptada en una memoria USB que coloque en una caja fuerte. Nunca conecte el dispositivo a una red, manténgalo siempre en modo avión. Es una forma de darle una segunda vida a un teléfono inteligente más antiguo: como un cuaderno cifrado.

No puedo dar una respuesta definitiva a esta pregunta porque depende de muchas cosas. Así que solo voy a dar algunas observaciones:

  

Soy un poco escéptico de poner todas mis contraseñas en un software y tener ese único punto de falla al que se puede acceder a través de Internet.

Así que yo soy! Mi bóveda de contraseñas existe en 2 lugares: en mi escritorio y en mi teléfono inteligente y nunca se copia en una carpeta en la nube: no es un punto único y solo un ataque anterior exitoso podría hacer que sea accesible a través de Internet . Lo que quiero decir aquí es que utilizo 2 líneas de defensa: el archivo no está disponible públicamente y sus datos están protegidos con una contraseña y un cifrado seguro

  

... es más seguro que escribir sus contraseñas en un papel

Las contraseñas en un papel generalmente se consideran una solución realmente segura si el papel se almacena en una caja de seguridad física. Todavía es común que los secretos por los cuales la pérdida de disponibilidad tenga serias consecuencias para una organización: solo pocas personas (lo ideal es que solo una persona) utilicen el secreto en casos de uso normal, pero si esa persona muere o sufre una lesión grave, un La copia de seguridad le permite a la organización dar el secreto a otra persona.

  

... ¿asumiendo que los ofuscas de alguna manera?

La ofuscación generalmente es mal vista cuando se investiga seguridad . No ha explicado cómo quiere ofuscar, así que no puedo dar un consejo al respecto (nadie puede). Pero no puedes hacerlo sin revelar el secreto, así que solo puedes confiar en que tu idea sea lo suficientemente original como para evitar que un atacante lo adivine, todo lo que pueda saber sobre ti. Usted está solo en este punto, pero hacer la pregunta es una señal de que no está seguro de ello ...