¿Cuál es el sistema de contraseña en línea más seguro?

11

Es muy difícil rastrear docenas de contraseñas en diferentes ubicaciones. La sincronización falla de vez en cuando y terminas con el síndrome de evitación de corrección de colisión.

¿Existe alguna fuente única de almacenamiento de contraseñas comercial, seguro y en línea en alguna parte? ¿Una que existirá en los años venideros y una que sea lo suficientemente segura como para garantizar la protección?

Darian Miller
fuente
1
¿Te refieres al más seguro o al que causa la menor cantidad de problemas?
ojblass
En línea == no disponible a veces cuando lo necesita. Quédate con un PDA o algo así.
womble
'En línea = no disponible' es probablemente un problema menor que confiar en que un PDA esté disponible. (Simplemente no puedo acostumbrarme a llevar uno.)
Darian Miller
¿Qué tal Online == reproducible con un poco de memoria y una computadora? (es decir, cifrar una o dos contraseñas con los dominios a los que pertenecen las cuentas)
reconbot el

Respuestas:

11

Use keypass y almacene la base de datos en gmail, live mesh o cualquier solución de almacenamiento de archivos en línea que desee. Luego, siempre puede obtener una copia para su uso, suponiendo que tenga acceso a keypass, que puede estar en una unidad flash y una conexión a Internet.

Jared
fuente
Esta es la solución en la que estoy trabajando ahora y me preguntaba si hay algo mejor.
Darian Miller
(+1 en este momento ... será la respuesta si no aparecen otras ideas) Gracias
Darian Miller
4

Si realmente está configurado en un modelo en línea, algunos de mis compañeros de trabajo usan Passpack , y están muy contentos con él. No puedo decir sí o no, porque no lo uso, pero parece bastante seguro.

RascalKing
fuente
+1 gracias. Lo he visto hace un tiempo y despertó mi interés, pero nunca me sentí lo suficientemente cómodo como para 'apretar el gatillo' y cargar todas las contraseñas en un servicio gratuito.
Darian Miller
4

Encontré que LastPass es un excelente administrador de contraseñas para mis contraseñas personales. Echa un vistazo a la lista de características .

Todavía estoy buscando el mejor (pero asequible) administrador de contraseñas digno de la empresa .

Nathan Hartley
fuente
1
¿Cómo se ve esta decisión dos años después?
jldugger 05 de
Todavía estoy feliz de usar LastPass para mi administrador personal de información segura. Me sentí aún mejor después de que Steve Gibson dio su aprobación ( twit.tv/sn256 ). Lamentablemente, no hay movimiento (internamente) en la solución empresarial ...
Nathan Hartley
1
LastPass tiene una versión empresarial ahora. No tengo idea de cómo es (pero lo estoy viendo pronto, podríamos usar tal cosa).
Ronald Pottol
3

No usaría uno en línea. Yo usaría (y lo haría) KeePass . En una nota al margen, puede verificar la fuerza aproximada de sus contraseñas aquí

Jim B
fuente
1
+1 KeePass es bueno, aunque no tan conveniente como algo como KWallet o el administrador de contraseñas incorporado de Firefox ... pero estoy totalmente de acuerdo con el punto de que las contraseñas deben mantenerse localmente y en privado, no almacenadas en un sitio web (a menos que usted haya creado el sitio web) codifique usted mismo y lo esté alojando en su propio servidor al que nadie más tiene acceso)
David Z
pidió un servicio "en línea".
cd1
Keepass, junto con la malla en vivo u otro almacenamiento en línea, como sugirió Jared, es una opción. No he usado KeePass pero lo echaré un vistazo. (He usado e-Wallet durante años). Gracias.
Darian Miller
@ cd1- Me doy cuenta de que Darian estaba pidiendo un servicio en línea, pero no puedo, en buena conciencia, recomendar que nadie almacene contraseñas en algo sobre lo que no tienen control físico. Cada pregunta de tipo de TI (sin resolución de problemas) debe evaluarse (en mi humilde opinión) con la idea de que, incluso si es posible, es la mejor solución para el objetivo previsto. Supongo que la respuesta podría haber sido "No", pero eso no habría sido muy informativo.
Jim B
3

Bruce Schneier tiene Password Safe, que es lo suficientemente seguro como para que Bruce Schneier lo respalde, si le importa. Sin embargo, podría ser solo Windows. http://www.schneier.com/passsafe.html

thepocketwade
fuente
1
Hay una versión de Java disponible para descargar que debería funcionar en cualquier lugar. Guardo una copia en mi llave USB.
pgs
Guardo una copia mía en mi cuenta de Dropbox.
Reconbot
1

No recomendaría usar un servicio en línea también. No tiene garantía de que sus datos no sean accesibles para otros. Si estás en un sistema Linux, prueba Revelation , simple y directo

katriel
fuente
1

Echa un vistazo a Yubikey de Yubico; Parece que podría ser lo que estás buscando. Un Yubikey conectado a una MacBook http://yubico.com/img/finger_key.jpg

http://yubico.com/products/yubikey/

Su configuración predeterminada (es decir, diseñada) se debe usar como una plataforma única para la autenticación de dos factores en línea, pero también tiene un modo de "contraseña estática" que generará (lo mismo) 64 caracteres pseudoaleatorios cuando un poco Se toca el círculo capacitivo verde. Funciona como un teclado USB, por lo que es universal y funciona incluso sin conexión. La contraseña estática de cadena aleatoria se puede cambiar en cualquier momento.

Un poco más de 30 $ y llega en un sobre normal de 30 gramos (que pensé que era demasiado bueno para ser verdad) y en muy poco tiempo.

Honestamente, todos los trucos para mantener un archivo encriptado en una memoria USB son a la vez una molestia masiva y en su mayoría innecesarios. Todo lo que necesitas es una contraseña con una entropía razonable que no puedas adivinar o aplicar fuerza bruta fácilmente. Entra Yubikey.

Estoy desarrollando algunas aplicaciones de autenticación en línea OTP con su API; es bastante ordenado, en realidad. También puedo garantizar su resistencia física.

Aclaración : ofrecí esto como una alternativa al almacenamiento de contraseñas en línea, especialmente porque está basado en API y se puede usar en línea. Sin embargo, también podría actuar como un reemplazo para múltiples contraseñas, si se siente cómodo con eso.

msanford
fuente
2
Las YubiKeys son geniales, pero aún necesita un servidor de autenticación y una aplicación útil que se comunique con el servidor de autenticación para que haga algo de valor.
Nathan Hartley el
1
+1 @nathan esto es cierto, lamentablemente, aunque tiene una contraseña larga, al menos, lo cual es bueno.
msanford el
1
He tenido la intención de jugar con uno durante mucho tiempo, acabo de pedir uno gracias a ti.
Reconbot
@wizard, lástima que no tengan un programa de referencia ^ _ ^ Realmente, creo que disfrutarás del Yubikey 2. Voy a pedir uno en breve para probarlo.
msanford
1

SuperGenPass podría ser tu respuesta. No almacena nada, se puede usar desde cualquier navegador, no se necesitan cuentas. Funciona cifrando una contraseña "maestra" con los dos niveles superiores del dominio. He conversado con el creador, es un tipo amigable.

Desde su sitio:

SuperGenPass es un tipo diferente de administrador de contraseñas. En lugar de almacenar sus contraseñas en su disco duro o en línea, donde son vulnerables al robo y la pérdida de datos, SuperGenPass utiliza un algoritmo hash para transformar una contraseña maestra en contraseñas únicas y complejas para los sitios web que visita. No es necesario instalar ningún software: SuperGenPass es un marcador y se ejecuta directamente en su navegador web. Y dado que nunca almacena ni transmite sus contraseñas, es ideal para usar en computadoras múltiples y públicas. También es completamente gratis.

Al ser JavaScript, ha recibido una gran cantidad de revisión de código, tiene un marcador que funciona perfectamente en el 99% de los sitios en los que lo he probado, y de vez en cuando no puede usar fácilmente la versión móvil y copiar y pegar.

reconbot
fuente
1

1Password es genial (pero si eres un usuario de Mac, podrías estar de acuerdo con solo un llavero)

monomito
fuente
1

Cuanto más simple sea el sistema, mejor.

Considere un sistema de contraseña que consiste en:

  1. una contraseña maestra segura
  2. una identificación única para cada sitio

Entonces, dado que su contraseña maestra es muy larga, rápida de escribir y no se encuentra en ningún diccionario (por ejemplo, Very12% Long91! Password86 # EasilyTyped), la contraseña que usa en example.com sería un hash de un hash de Very12% Long91! Password86 # EasilyTyped + example.com

$ echo -n 'Very12% Long91! Password86 # EasilyTyped + example.com' | sha1
7d123b486ece9841879135562125d3317e7d4436
$ echo -n 7d123b486ece9841879135562125d3317e7d4436 | sha1
5a19c98f66fc82e6af85b8bcf341734b6c44a8d6

Hay extensiones de navegador que pueden ayudarlo con esto. Es un poco molesto usar este sistema en sistemas que no son web que no ofrecen recordar contraseñas y tiene que inventar un esquema en caso de que alguien le haga cambiar las contraseñas de vez en cuando.

Por supuesto, solo puede ingresar su contraseña maestra en terminales confiables.

Alex Holst
fuente
Me parece que usar Hashes como contraseña reduciría en gran medida el 'espacio' de la contraseña ...
S19N
¿Cómo te imaginas?
Alex Holst
0

También me gusta y uso KeePass, la versión gratuita.

Jordan W.
fuente
0

Archivo de texto cifrado con GPG almacenado en el control de versiones. Use un par de secuencias de comandos para descifrar / cifrar el archivo como desee. Usted controla la disponibilidad del archivo, puede usar el control de versión distribuido para tener acceso cuando está desconectado, y usted determina cuánto tiempo estará disponible (es decir, es fácil cambiar a diferentes sistemas si es necesario). Gpg también tiene la ventaja de poder cifrar a múltiples destinatarios, lo que permite que más de una persona vea el archivo de contraseña. Cifre diferentes archivos a diferentes destinatarios para limitar quién puede acceder a las credenciales para un determinado grupo.

marca
fuente
0

Esta no es una respuesta a su pregunta, pero está relacionado - los ejecutivos en Twitter acaba de tener sus cuentas de Google divide en , dejando al descubierto un montón de información confidencial sobre la compañía.

Asumiré que Twitter es un objetivo mucho más grande que tú, por lo que ciertamente tuvo algo que ver con el robo. Tampoco creo que este incidente descarte completamente la computación en la nube. Sin embargo, CUALQUIER servicio de contraseña en línea es un gran objetivo. Las contraseñas son demasiado importantes para almacenar en línea.

Carl C
fuente
0

Dudaría en almacenar mi información confidencial con una empresa externa. ¿Está considerando implementar un producto basado en la web usted mismo? luego puede hacerlo de forma externa si lo desea, haciéndolo accesible desde cualquier lugar.


fuente