Hay administradores de contraseñas como KeePass que almacenan todas las contraseñas en un contenedor cifrado en la máquina local. Tendría que copiar este contenedor a otras máquinas para poder tener mis contraseñas allí también.
Luego están los administradores de contraseñas que son esencialmente como KeePass pero almacenan el contenedor de contraseñas en línea.
Y luego están los generadores de contraseñas algorítmicas que, basándose en una contraseña maestra, crean la contraseña para el sitio web actualmente visitado sobre la marcha. Ejemplos de tales administradores de contraseñas en línea son SupergenPass y PWDHash . Todo lo que necesito llevar conmigo es un pequeño marcador (que se sincroniza en todos los navegadores) y la contraseña maestra en mi cabeza.
¿Cuáles son las ventajas o los inconvenientes, en términos de seguridad, cuando se utilizan los administradores de contraseñas en línea de la tercera categoría? ¿Existe un administrador de contraseñas en línea que aborde estos inconvenientes y brinde las ventajas?
Bueno, todos se implementan de manera diferente, algunos son más seguros y otros menos.
Por ejemplo, yo uso Clipperz .
La forma en que funciona Clipperz es que encripta / desencripta un blob encriptado que el servidor almacena en javascript . Esto significa que si su blob encuentra el camino hacia un hacker malvado, no podrá descifrarlo (si se decidió por una contraseña razonable)
El código para él es de código abierto, algo que me llena un poco más de confianza porque puedo auditarlo.
LastPass utiliza el mismo enfoque, por lo que es bastante seguro.
Sería menos probable que use cosas como https://www.pwdhash.com/ porque significa que si quiero cambiar mi contraseña maestra tendré que cambiarla en todos los sitios. Además, es menos seguro ya que si las personas conocen las reglas que uso para crear la contraseña, pueden forzar mi contraseña maestra.
fuente
El uso de un administrador de contraseñas alojado significa que sus contraseñas se almacenan en algún lugar de la nube, y en algún lugar cercano a eso (en el código que las crea / edita / usa) hay instrucciones explícitas sobre cómo descifrarlas. Si el sitio se viera comprometido, no sería difícil acceder a miles de cuentas.
Por esa razón, desconfío de los administradores de contraseñas en línea. Personalmente, uso una solución que inventé para mí: tengo un algoritmo que es lo suficientemente simple como para ejecutarlo en mi cabeza, que genera una contraseña segura (mayúsculas y minúsculas, números y caracteres especiales) basada en el nombre de dominio y mi nombre de usuario elegido.
Además, trato de usar oAuth y OpenId siempre que sea posible, para tener menos contraseñas para recordar y puedo estar más seguro de que los sitios que SI tienen mi contraseña (por ejemplo, Facebook y mi proveedor de OpenId) la están protegiendo correctamente (salt + hash , etc.)
Si tuviera que usar una utilidad de almacenamiento de contraseña de algún tipo, probablemente iría con KeePass y almacenaría el archivo encriptado en Dropbox para sincronizarlo entre computadoras.
fuente