it-swarm-es.com

¿Son seguros los administradores de contraseñas en línea?

¿Se pueden usar los administradores de contraseñas en línea para almacenar y administrar contraseñas? Me refiero desde el punto de vista de la seguridad. Entiendo que esos sistemas pueden ser diferentes y algunos merecen más confianza que el otro, pero lo que quiero decir es la idea del servicio público para almacenar contraseñas personales. ¿Es viable en su esencia?

Hace aproximadamente un año me inscribí en uno de esos servicios ( Passpack ). Parece confiable y profesional, pero todavía tengo miedo de comenzar a usarlo realmente y subir mis numerosas contraseñas allí. Y no es porque no esté dispuesto a actualizar a una cuenta paga; Solo soy muy cuidadoso y dudoso. ¿Me equivoco?

32
rem

Si está preguntando en teoría, ¿se puede construir dicho sistema de forma segura?
Mi respuesta sería sí, absolutamente, pero no es un trabajo trivial, y muy probablemente se haría mal (dependiendo de quién lo diseñó y construyó).

Si está preguntando acerca de los servicios existentes, aunque no estoy familiarizado con el que mencionó, en general no conozco ningún sistema bueno, confiable y seguro para esto.

Si está preguntando, ¿cómo puedo saber si un sistema específico es seguro y confiable?, bueno, ya no puede.
A menos que usted (o un experto en el que confíe y que sea lo suficientemente competente en la tecnología dada) realice una revisión de código en profundidad, una prueba de penetración y otras revisiones de seguridad. Y despliegues periódicos y exámenes del servidor. Etcétera...

Y no, obtener una certificación de terceros como HackerSafe (ni siquiera PCI: DSS) es no lo suficientemente bueno, no para que confíes las claves a tus datos más confidenciales. (A menos que sea un servicio que conoces lo suficiente como para confiar ).

24
AviD

Recomendaría cambiar a Keepass o KeepassX para linux y poner todas sus contraseñas en la única base de datos cifrada de keepass, (bloqueada con una contraseña o un archivo de clave) y luego poner el archivo de base de datos en la nube como S3 de Amazon Web Services o Dropbox. Al hacer esto ... tiene un archivo de base de datos portátil que se puede descargar a cualquier computadora desde la nube y abrir solo con el software keepass con su clave/contraseña de descifrado.

22
Eric Warriner

En mi opinión, usar un servicio como passpack podría agregar otro "anillo débil" a su cadena.

Sus contraseñas son seguras, ya que es bastante paranoico acerca de ellas (piense en todas las mejores prácticas de contraseña), el uso de un servicio como passpack hace que sus contraseñas sean seguras también como el servicio completo de passpack en sí (son sus servidores seguro? el front-end? y así sucesivamente ..)

Debe evaluar cuál de estos aspectos de seguridad considera más seguro y en cuál confía más. ¿Son sus políticas de contraseña seguras y confiables más que la seguridad de una aplicación de administrador de contraseñas aleatorias? En caso afirmativo, este servicio puede no ser para usted.

11
gbr

Estoy usando lastpass.com por bastante tiempo. Las contraseñas se cifran con AES de 256 bits con contraseña maestra como clave. El proceso de descifrado comienza en su navegador. Aunque las contraseñas están encriptadas, la obtención de la contraseña del servidor se realiza a través de SSL, lo que hace un doble encriptado. Tienen 2 centros de datos y un servidor de respaldo que se cifra una vez más. Si tiene miedo de los keyloggers (debe estar en computadoras públicas), hay un teclado virtual en el sitio para iniciar sesión con contraseña maestra. La contraseña de un solo uso también son opciones.

Además, hay cuentas compartidas con otros usuarios sin darles su contraseña. Compruébelo.

No estoy trabajando para lastpass.com, solo estoy satisfecho :).

10
vvucetic

Algunos puntos a tener en cuenta.

Cuales son las alternativas? En mi humilde opinión, usar un administrador de contraseñas en línea es menos riesgoso que el siguiente

  • usando la misma contraseña para todas sus cuentas
  • usando una hoja de cálculo estática que no está encriptada para almacenar sus contraseñas

Colaboración. ¿Debes compartir las contraseñas?

  • Los administradores de contraseñas en línea están diseñados para facilitar el intercambio de contraseñas; si está compartiendo contraseñas, debe poder actualizarlas fácilmente y asegurarse de que todos vean la última versión de inmediato.

Por otro lado, Kneepass es una buena solución, el problema es que asume más responsabilidad por las copias de seguridad, etc., aunque su código abierto no garantiza que no haya vulnerabilidades en el código.

6
Mark McDonagh

No consideraría almacenar mi contraseña en línea. Al menos no puedo confiar tanto en ellos.

Si está interesado, roboform para Windows (lo usó hace bastante tiempo), es bueno, y su nueva característica también viene con la sincronización en línea. Keepassx para Linux también es una buena herramienta.

1
Novice User