Seguridad de los administradores de contraseñas solo del navegador [cerrado]

12

Hay administradores de contraseñas como KeePass que almacenan todas las contraseñas en un contenedor cifrado en la máquina local. Tendría que copiar este contenedor a otras máquinas para poder tener mis contraseñas allí también.

Luego están los administradores de contraseñas que son esencialmente como KeePass pero almacenan el contenedor de contraseñas en línea.

Y luego están los generadores de contraseñas algorítmicas que, basándose en una contraseña maestra, crean la contraseña para el sitio web actualmente visitado sobre la marcha. Ejemplos de tales administradores de contraseñas en línea son SupergenPass y PWDHash . Todo lo que necesito llevar conmigo es un pequeño marcador (que se sincroniza en todos los navegadores) y la contraseña maestra en mi cabeza.

¿Cuáles son las ventajas o los inconvenientes, en términos de seguridad, cuando se utilizan los administradores de contraseñas en línea de la tercera categoría? ¿Existe un administrador de contraseñas en línea que aborde estos inconvenientes y brinde las ventajas?

akira
fuente

Respuestas:

5

Personalmente, me gusta el administrador alojado un poco mejor siempre que la seguridad se implemente correctamente. Tomemos LastPass por ejemplo (mi favorito), no almacenan una versión sin hash de su contraseña maestra, por lo que sin descifrar deliberadamente sus contraseñas, incluso el host del sitio no puede acceder a su información. Por supuesto, esto es tan bueno como su confianza en el tercero, que es donde entran en juego las preocupaciones de seguridad. En pocas palabras, siempre y cuando no guarden una copia sin hash de su contraseña, no me importa usar los administradores de contraseñas alojados.

Brad Gardner
fuente
bien, pero de eso no se trata esencialmente la pregunta. Mencioné las otras 2 categorías de administradores de contraseñas solo para explicar la categoría que me interesa: no almacene la contraseña en absoluto, sino "créelo" sobre la marcha.
akira
1

Bueno, todos se implementan de manera diferente, algunos son más seguros y otros menos.

Por ejemplo, yo uso Clipperz .

La forma en que funciona Clipperz es que encripta / desencripta un blob encriptado que el servidor almacena en javascript . Esto significa que si su blob encuentra el camino hacia un hacker malvado, no podrá descifrarlo (si se decidió por una contraseña razonable)

El código para él es de código abierto, algo que me llena un poco más de confianza porque puedo auditarlo.

LastPass utiliza el mismo enfoque, por lo que es bastante seguro.

Sería menos probable que use cosas como https://www.pwdhash.com/ porque significa que si quiero cambiar mi contraseña maestra tendré que cambiarla en todos los sitios. Además, es menos seguro ya que si las personas conocen las reglas que uso para crear la contraseña, pueden forzar mi contraseña maestra.

Sam Azafrán
fuente
Si decide cambiar la contraseña de un sitio, debe informarle al sitio. Si su contraseña maestra para dicha solución alojada se ve comprometida, también debe cambiar la contraseña de cada sitio.
akira
1

Actualización 2018

He aprendido mucho en los 8 años desde que originalmente escribí esta respuesta. Lo que una vez pensé que era una contraseña segura realmente no era tan segura . Hoy uso 1Password con contraseñas generadas al estilo "diceword". Todavía sin conexión y por las mismas razones, pero más seguro que mi algoritmo mental basado en el nombre de dominio. Las únicas contraseñas que necesito recordar más son la de iniciar sesión en mi computadora y la que abre mi bóveda de 1 Contraseña, las cuales se anotan en la bóveda de 1 Contraseña de mi esposa en caso de que algo me suceda. Todo lo demás está a solo unas pocas teclas de distancia.

El uso de un administrador de contraseñas alojado significa que sus contraseñas se almacenan en algún lugar de la nube, y en algún lugar cercano a eso (en el código que las crea / edita / usa) hay instrucciones explícitas sobre cómo descifrarlas. Si el sitio se viera comprometido, no sería difícil acceder a miles de cuentas.

Por esa razón, desconfío de los administradores de contraseñas en línea. Personalmente, uso una solución que inventé para mí: tengo un algoritmo que es lo suficientemente simple como para ejecutarlo en mi cabeza, que genera una contraseña segura (mayúsculas y minúsculas, números y caracteres especiales) basada en el nombre de dominio y mi nombre de usuario elegido.

Además, trato de usar oAuth y OpenId siempre que sea posible, para tener menos contraseñas para recordar y puedo estar más seguro de que los sitios que SI tienen mi contraseña (por ejemplo, Facebook y mi proveedor de OpenId) la están protegiendo correctamente (salt + hash , etc.)

Si tuviera que usar una utilidad de almacenamiento de contraseña de algún tipo, probablemente iría con KeePass y almacenaría el archivo encriptado en Dropbox para sincronizarlo entre computadoras.

Adam Tuttle
fuente
1
supergenpass y hashpwd no almacenan las contraseñas en absoluto. que están "ejecutando un algoritmo en JScript basado en una contraseña maestra, el sitio que se encuentran actualmente en las tuberías y que a través de MD5"
Akira