¿Cómo almaceno y administro 180 contraseñas de forma segura?

146

Tengo alrededor de 180 contraseñas para diferentes sitios web y servicios web. Todos se almacenan en un solo documento de Excel protegido con contraseña. A medida que la lista se alarga, me preocupa cada vez más su seguridad.

¿Qué tan seguro, o debería decir inseguro, es un documento de Excel protegido con contraseña? ¿Cuál es la mejor práctica para almacenar tantas contraseñas de una manera segura y fácil de manejar?

Creo que el método de Excel es bastante fácil, pero me preocupa el aspecto de la seguridad.

Samir
fuente
Los productos comerciales como CyberArk satisfacen sus necesidades.
Ivan Chau

Respuestas:

207

Mi herramienta de almacenamiento de contraseña favorita es KeePass :

ingrese la descripción de la imagen aquí

¿Qué es KeePass?

Hoy necesitas recordar muchas contraseñas. Necesita una contraseña para iniciar sesión en la red de Windows, su cuenta de correo electrónico, la contraseña FTP de su sitio web, las contraseñas en línea (como la cuenta de miembro del sitio web, etc., etc., etc.) La lista es interminable. Ademas, deberías usar contraseñas diferentes para cada cuenta. Porque si usas solo una contraseña en todas partes y alguien obtiene esta contraseña, tienes un problema ... Un problema grave. El ladrón tendría acceso a su cuenta de correo electrónico, sitio web, etc. Inimaginable.

KeePass es un administrador de contraseñas de código abierto gratuito, que le ayuda a administrar sus contraseñas de manera segura. Puede poner todas sus contraseñas en una base de datos, que está bloqueada con una clave maestra o un archivo de clave. Por lo tanto, solo tiene que recordar una sola contraseña maestra o seleccionar el archivo de clave para desbloquear toda la base de datos. Las bases de datos se cifran utilizando los mejores y más seguros algoritmos de cifrado conocidos actualmente (AES y Twofish). Para obtener más información, consulte la página de características .


¿Hay algún límite en cuanto a la cantidad de contraseñas que puede almacenar?

Solo en teoria. Puede poner tantas entradas en la base de datos como desee, pero en algún momento su llave USB o HDD estará llena.

¿Hay alguna manera de sincronizar automáticamente las contraseñas modificadas?

No, no como lo esperabas.
Querrás hacer que sea un proceso manual regular. Esto no puede ni debe automatizarse.

Me gusta establecer fechas de vencimiento para todas las entradas de mi contraseña: ingrese la descripción de la imagen aquí
luego recuerdo cambiar mis contraseñas regularmente. Guardo la URL del sitio web con la entrada de contraseña, por lo que es un proceso rápido.

¿Puedo iniciar sesión automáticamente en un sitio web como Facebook con este software?

No, tampoco automáticamente (al menos que yo sepa). Pero aquí es donde entra en juego Auto-Type . Por ejemplo, para Facebook, esta es mi configuración de Auto-Type:

ingrese la descripción de la imagen aquí

Como puede ver, he creado 3 configuraciones para diferentes títulos de navegador. Esto me permite simplemente ir a facebook.com, presionar Ctrl+ Alt+ A, y el nombre de usuario y la contraseña se ingresarán automáticamente y se iniciará sesión.

Si tiene múltiples combinaciones de nombre de usuario / contraseña para el mismo título de ventana, aparecerá una ventana emergente que le preguntará qué entrada de contraseña debe usarse.

¿Qué pasa con el móvil?

Hay aplicaciones que admiten el formato de contenedor KeePass en dispositivos móviles. Pero me mantengo alejado de esos. Simplemente no me gusta la idea de mi base de datos KeePass en mi teléfono.

Prefiero transferir solo contraseñas individuales usando el complemento QR Code Generator . Le permite generar un código QR a partir de una contraseña, que luego puede escanear con su teléfono. Es útil tener una aplicación que pueda copiar el contenido escaneado al portapapeles.

ingrese la descripción de la imagen aquí

Der Hochstapler
fuente
3
Si lo coloca en Dropbox, puede abrirlo en cualquier lugar (hay una versión portátil), incluso en su teléfono. Además, se puede importar a Lastpass. Gran elección
Ivo Flipse
2
@Oliver Esto parece ser solo la herramienta que necesito. Definitivamente voy a darle una oportunidad. ¡La función de fecha de vencimiento es genial! Y el tipo automático es lo suficientemente simple. Entiendo que algunos sitios web pueden requerir que confirmes un cambio de contraseña haciendo clic en un enlace que envían por correo electrónico, por lo que, por esa razón, cualquier función de sincronización automática de la forma en que imaginé que no se sincronizaría ni actualizaría automáticamente la contraseña. Es una ventaja que esto funciona en otros sistemas operativos además de Windows. Danke Oli! ;)
Samir
99
Si desea agregar seguridad para usar en Dropbox, use un archivo de clave junto con una contraseña y cópielo manualmente en cualquier computadora o dispositivo al que desee tener acceso a sus contraseñas (no almacene la clave en Dropbox). AFAIK esto solo funciona con dispositivos Android y iOS rooteados, ya que necesita acceso al sistema de archivos, pero sin el archivo de clave, el archivo de contraseña es casi indescifrable.
Chad Levy
2
Tenga en cuenta que KeePass 2 es solo para Windows (al menos, los intérpretes Mono gratuitos en Linux lo ejecutaron muy mal). Hay un clon más antiguo de KeePass 1 llamado KeePassX que utilizo en Mac y Linux y funciona muy bien.
Reid
2
@Reid: Desde mi experiencia, KeePass2 funciona bien en Mono; es simplemente feo, y eso es algo Mono vs .NET.
Grawity
68

Parece que hay varios crackers de contraseña de Excel fáciles de usar.

Usaría un sistema de administración de contraseñas como 1password o LastPass que funciona en varios sistemas operativos, incluidos los móviles.

Estos tienen complementos para la mayoría de los navegadores que pueden completar contraseñas y otra información en el formulario web. 1password también puede configurar un marcador en el navegador que iniciará sesión automáticamente (todos los usos de la aplicación requieren el uso de una contraseña maestra primero)

1password también puede almacenar notas, cuentas (por ejemplo, correo electrónico, ftp) y plantillas para ayudar a almacenar tarjetas de crédito, cuentas bancarias y otra información. Aunque es comercial, puede obtener una demostración gratuita que permite la entrada de hasta 20 elementos.

Una diferencia entre los dos es que 1password solo almacena los datos localmente (aunque puede sincronizar los datos cifrados usando Dropbox o similar), Lastpass puede (¿debe? Alguien corrija esto) almacenar los datos en su sitio web que permite el acceso web al datos y sin necesidad de dropbox, etc.

usuario151019
fuente
44
Las contraseñas de Excel son muy fáciles de descifrar. Cracker de contraseña de Google Excel y verá muchas opciones. +1 para Lastpass. Solía ​​usar Roboform, pero me gustó Lastpass porque es multiplataforma. Yo uso su generador de contraseñas para aleatorizar contraseñas.
Kendor
23
+1 para LastPass: es lamentable que la respuesta con todo el formato y las imágenes agradables sea para KeePass, ya que LastPass es muy superior: hace todo lo que hace KeePass, pero también tiene complementos para todos los principales navegadores, sistemas operativos y plataformas móviles. También almacena datos en línea para que nunca tenga que preocuparse por perderlos (y los almacena en caché localmente, por lo que nunca tendrá que preocuparse por la caída de sus servidores) , pero encripta todo utilizando TNO (no confíe en nadie), por lo que LastPass nunca puede ver realmente tus contraseñas Hay muy pocos programas que llamo absolutamente perfectos , pero LastPass es uno de ellos.
BlueRaja - Danny Pflughoeft
3
LastPass ahora también es compatible con la autenticación de 2 factores a través de Android / iPhones, lo que significa que alguien primero necesitaría robar su teléfono para iniciar su aplicación Authenticator (que genera un código aleatorio cada 30 segundos) para acceder a sus contraseñas.
glenneroo 05 de
3
@Sammy: Sí, la mayoría de las funciones son gratuitas para siempre. Las únicas características que debe pagar son las aplicaciones móviles y la autenticación multifactor, que requieren una "cuenta premium" ($ 12 / año). El autor no está tratando de enriquecerse con el programa: no uso las funciones premium, pero pago una cuenta premium para mostrar mi gratitud. Por lo general, solo doy para proyectos de código abierto, así que eso te dice algo :)
BlueRaja - Danny Pflughoeft
2
LastPass es conveniente, pero es en su mayoría de código cerrado y adquirido por LogMeIn. Los servidores de LastPass se han violado (al menos parcialmente) varias veces, y su cliente ha permitido " leer contraseñas de texto sin formato para dominios arbitrarios de la bóveda de un usuario de LastPass cuando ese usuario visitó un sitio web malicioso " y actualmente (marzo de 2017) " el binario de LastPass .. permite que los sitios web maliciosos ejecuten el código de su elección. Incluso cuando el binario no está presente ... permite que los sitios maliciosos roben contraseñas de la bóveda LastPass protegida "Consulte en.wikipedia.org/wiki/LastPass#Security_issues para obtener referencias
Xen2050
49

He usado Lastpass por un tiempo y lo recomiendo altamente. Tiene algunos complementos de navegador maravillosos y un montón de características que hacen que sea más fácil tener contraseñas más seguras.

El complemento del navegador completará automáticamente la información de inicio de sesión (cuando haya iniciado sesión en el complemento). También tiene una función de exportación, por lo que puede recuperar su base de datos e importarla a KeePass, por ejemplo. También utiliza autenticación de dos pasos para mayor seguridad.

Cliente de escritorio:

cliente de escritorio

Plugin para el navegador:

plugin para el navegador

PlTaylor
fuente
1
@PITaylor ¡Gracias! Definitivamente voy a probar LastPass. Pero por ahora le daré más tiempo a KeePass para evaluarlo.
Samir
44
La gran razón por la que me gusta LastPass es porque es fácil compartir fácilmente un conjunto de contraseñas en varias computadoras y siempre puede acceder a sus pases en una computadora aleatoria a través de la interfaz web.
PlTaylor
2
Yo uso lastpass, sin embargo, hay 2 inconvenientes. 1) El servidor puede fallar (problemas técnicos, o la empresa cierra, etc.) 2) Algunas empresas no lo permiten, ya que está enviando información de trabajo fuera de la empresa.
Keltari
1
LastPass es conveniente, pero es en su mayoría de código cerrado y adquirido por LogMeIn. Los servidores de LastPass se han violado (al menos parcialmente) varias veces, y su cliente ha permitido " leer contraseñas de texto sin formato para dominios arbitrarios de la bóveda de un usuario de LastPass cuando ese usuario visitó un sitio web malicioso " y actualmente (marzo de 2017) " el binario de LastPass .. permite que los sitios web maliciosos ejecuten el código de su elección. Incluso cuando el binario no está presente ... permite que los sitios maliciosos roben contraseñas de la bóveda LastPass protegida "Consulte en.wikipedia.org/wiki/LastPass#Security_issues para obtener referencias
Xen2050
Voy a dejar este enlace aquí, porque el Sr. Hunt lo dice mucho mejor que yo. troyhunt.com/…
PlTaylor
10

El complemento Password Hasher (para Firefox) es lo que yo personalmente uso.

Cómo ayuda Password Hasher:

  • Genera automáticamente contraseñas seguras.
  • Una clave maestra produce diferentes contraseñas en muchos sitios.
  • Actualice rápidamente las contraseñas "topando" la etiqueta del sitio.
  • Actualice una clave maestra sin actualizar todos los sitios a la vez.
  • Admite contraseñas de diferente longitud.
  • Admite requisitos especiales, como dígitos y puntuación.
  • Admite restringir una palabra hash para que no use caracteres especiales. (¡Nuevo!)
  • Guarda todos los datos en la base de datos de contraseñas seguras del navegador.
  • Genera una página HTML portátil con las etiquetas de su sitio y la configuración de opciones que le permite generar sus palabras hash en cualquier navegador en cualquier máquina sin la extensión instalada. (¡Nuevo!)
  • Puede agregar botones marcadores para desenmascarar contraseñas en cualquier sitio web. (¡Nuevo!)
  • ¡Extremadamente simple de usar!

ingrese la descripción de la imagen aquí

Stepan Vihor
fuente
66
Deben almacenarse en algún lugar o de lo contrario serían olvidados
user151019
También hay puertos para Chrome.
rishimaharaj 05 de
66
Por @kutschkem: No, las contraseñas no necesitan almacenarse en algún lugar. Lo que probablemente hace el complemento (al menos así es como lo haría), es descifrar la concatenación de la etiqueta del sitio y la contraseña maestra, lo que dará como resultado una contraseña diferente (y supuestamente segura) para cada sitio (sin almacenar nada , ¿ver?). Por supuesto, su contraseña maestra aún debería ser segura. La ventaja es que no solo cada contraseña será diferente, sino que también serán muy diferentes (al menos si la función de hash es buena).
Der Hochstapler
También hay un puerto para IE , escrito por una persona muy guapa
BlueRaja - Danny Pflughoeft
@Matthew: Eso es cierto para cada solución de almacenamiento de contraseña ...
BlueRaja - Danny Pflughoeft
9

Yo personalmente uso PasswordMaker para generar contraseñas a partir de una contraseña maestra y la URL del sitio. El proyecto es bastante maduro, de código abierto y estable. Está disponible para Firefox (como extensión), Linux CLI, Android, etc.

Cómo funciona:

Advertencia - jerga técnica en esta sección! Usted proporciona dos elementos de información de PasswordMaker: una "contraseña maestra", esa contraseña única que le gusta, y la URL del sitio web que requiere una contraseña. A través de la magia de los algoritmos de hash unidireccionales, PasswordMaker calcula un resumen del mensaje, también conocido como huella digital, que puede usarse como contraseña para el sitio web. Si bien los algoritmos hash unidireccionales tienen una serie de características interesantes, la clave de PasswordMaker es que la huella digital resultante (contraseña) "no revela nada sobre la entrada que se utilizó para generarla". En otras palabras, si alguien tiene una o más de sus contraseñas generadas, es computacionalmente inviable que obtenga su contraseña maestra o que calcule sus otras contraseñas.

usuario1202136
fuente
4

Es arriesgado confiar en una aplicación de terceros para almacenar sus contraseñas importantes, especialmente aquellas aplicaciones que pueden conectarse en línea o aquellas que usted autoriza a acceder a los procesos de otro programa; y lo más importante, confiar en los que no son de código abierto .

Una forma más segura, en mi opinión, es almacenar sus contraseñas importantes en un archivo de texto (.TXT) y luego cifrar el archivo con el algoritmo AES mediante dsCrypt.exe . Debe ingresar su contraseña principal en dsCrypt solo una vez y podrá cifrar / descifrar su archivo de texto de contraseña muchas veces sin pedirle que vuelva a ingresar la contraseña principal cada vez que dsCrypt se esté ejecutando. Puede ejecutar automáticamente dsCrypt con su inicio de Windows e ingresar su contraseña principal una vez; y lo que necesita es arrastrar y soltar su archivo de contraseña (.txt) en dsCrypt para des / cifrarlo cuando necesite sus contraseñas.

DavidDe
fuente
Reemplazar dsCrypt con PGP / GPG, derivados de TrueCrypt, LUKS, etc. sería igual de bueno, todavía +1
Xen2050
pero hay una falla en su respuesta: dsCrypt.exe ES un software de terceros :-)! Prefiero confiar en un programa de código abierto, que puedo recompilar, en un exe
spiritoo
0

Recomiendo KeePassXC, que es una bifurcación comunitaria de KeePassX , un puerto multiplataforma nativo de KeePass Password Safe , con el objetivo de ampliarlo y mejorarlo con nuevas funciones y correcciones de errores para proporcionar una plataforma abierta moderna, multiplataforma y moderna. gestor de contraseñas de origen.

Este cliente también es recomendado por Surveillance Self-Defense .

Características principales KeePassXC :

  • Almacenamiento seguro de contraseñas y otros datos privados con cifrado AES, Twofish o ChaCha20
  • Multiplataforma, se ejecuta en Linux, Windows y macOS sin modificaciones
  • Compatibilidad de formato de archivo con KeePass2, KeePassX, MacPass, KeeWeb y muchos otros (KDBX 3.1 y 4.0)
  • Integración de agente SSH
  • Auto-Type en todas las plataformas compatibles para rellenar automáticamente los formularios de inicio de sesión
  • Archivo de claves y soporte de desafío-respuesta YubiKey para seguridad adicional
  • Generación TOTP (incluido Steam Guard)
  • Importación de CSV desde otros administradores de contraseñas (por ejemplo, LastPass)
  • Interfaz de línea de comando
  • Generador de contraseña y frase de contraseña independiente
  • Medidor de fuerza de contraseña
  • Iconos personalizados para entradas de bases de datos y descargas de favicons de sitios web
  • Funcionalidad de combinación de bases de datos
  • Recarga automática cuando la base de datos se cambió externamente
  • Integración del navegador con KeePassXC-Browser para Google Chrome, Chromium, Vivaldi y Mozilla Firefox.
  • (Legado) Soporte KeePassHTTP para usar con KeePassHTTP-Connector disponible para Mozilla Firefox y Google Chrome, y passafari para Safari.
simhumileco
fuente
-4

Yo uso el Bloc de notas y archivos .txt. Si quieres mi consejo, te aconsejo que no uses un software de terceros. ¿Desde dónde sabes que no están robando tus contraseñas?
Por lo tanto, usar archivos de texto sería lo mejor.
Además, si usted es un programador, le sugiero que cree uno simple para usted que utilice la codificación para proteger los datos. Esa es la mejor solución.

UltraDEVV
fuente
2
Me arriesgaré a que la base de datos del administrador de contraseñas cifradas sea más vulnerable que el archivo de texto sin formato, ya que este último será aprovechado por la siguiente pieza de malware que realiza una búsqueda rápida en mi computadora de la palabra contraseña .
Twisty Impersonator
1
Al menos encripte su archivo de texto sin formato con gpg / pgp o algo, cualquier cosa , y luego recuerde esa contraseña
Xen2050 el