[Descargo de responsabilidad: trabajo para AgileBits , creadores de 1Password .]
Gracias por pedirme que responda esto, Dion Poindexter. Hay un viejo dicho de ingeniería:
La forma correcta de construir sistemas confiables es poner todos sus huevos en una canasta, luego de asegurarse de haber construido una canasta realmente buena.
- Algunas personas en el trabajo grabaron la cámara web de su computadora portátil porque 'alguien' podía verlos. Creo que no tiene sentido. es posible? Si es así, ¿cómo podría uno hacer esto? Si no, ¿por qué no es posible?
- ¿Qué es una buena universidad con un programa de tiempo completo de 1 o 2 años (MS) en red / seguridad cibernética en los Estados Unidos?
- ¿Cuál es la mejor forma de practicar pentesting para aplicaciones web (cuadro blanco y negro) de forma gratuita?
- ¿Dónde se almacenan los virus informáticos?
- ¿Cuál es el mejor antivirus gratuito?
Un administrador de contraseñas diseñado adecuadamente es una mejor canasta que una hoja de cálculo o una hoja de papel . Es mucho mejor que usar contraseñas débiles . Y es extremadamente mejor que reutilizar la misma contraseña para más de un sitio o servicio. Vamos a desglosarlos.
Usa contraseñas seguras
Si su contraseña es iloveyou123 , no pasará mucho tiempo antes de que su cuenta se vea comprometida. Los administradores de contraseñas incluyen generadores de contraseñas. Cambie la contraseña de iloveyou123 a wLb9aPm + {KD7 $ 47mvduc4 ^ HpF {4 & yx , y sepa que su cuenta está segura.
Usa contraseñas únicas
Incluso si tiene una contraseña segura, no le servirá de nada si la está utilizando en múltiples sitios y servicios. Es probable que su banco tenga una excelente seguridad. Las posibilidades de que alguien comprometa su cuenta bancaria son relativamente escasas en comparación con otros sitios. Pero si usa la misma contraseña para su banco y un foro de fanáticos de Game of Thrones, ese foro de fanáticos puede no tener tan buena seguridad como su banco. Si el foro se ve comprometido, entonces “se acerca el invierno” para su cuenta bancaria. Los administradores de contraseñas facilitan la generación de contraseñas únicas para cada sitio web.
Almacénelos a todos de forma segura
Cuando las personas piensan en la seguridad, piensan principalmente en mantener sus datos en secreto, pero junto con la confidencialidad de los datos, hay otros dos tipos muy importantes de seguridad de los datos: la integridad de los datos (nadie puede modificar sus datos accidental o maliciosamente) y la disponibilidad de los datos (usted tiene el datos cuando los necesite).
El documento no cumple suficientemente con estos tres criterios: cualquier persona que obtenga el documento puede ver sus contraseñas (confidencialidad de los datos), realizar cambios en ellas (integridad de los datos) o destruir el documento (disponibilidad de los datos).
¿Pero qué hay de esa hoja de cálculo? Supongamos que ha cifrado su hoja de cálculo ( y el cifrado no resulta fácil de descifrar). ¿Por qué usar un administrador de contraseñas? Con 1Password, puede usar las extensiones del navegador para completar las contraseñas directamente en su navegador. Cuando haga eso, sus contraseñas no estarán en el portapapeles, evitando muy bien toda una categoría de ataques. También es más fácil acceder de forma segura a sus contraseñas en todas partes cuando usa 1Password. Las aplicaciones están disponibles para Mac, Windows, iOS y Android. Claro, es posible que su hoja de cálculo permanezca sincronizada, pero ¿dónde está almacenada? ¿Quién tiene las claves para descifrarlo? ¿Qué sucede si realiza cambios en varios dispositivos? ¿Cómo se manejan los conflictos de sincronización?
Utiliza un administrador de contraseñas
Una hoja de cálculo o una hoja de papel hacen posible el uso de contraseñas seguras y únicas, por lo que cualquiera de ellas está un paso adelante de [re] usar contraseñas débiles. Pero las computadoras están diseñadas para hacernos la vida más fácil. Deje que un administrador de contraseñas genere, almacene y complete sus contraseñas de forma segura. Usa tu cerebro para cosas más interesantes (como hacer esta gran pregunta).
No tires tu propio administrador de contraseñas
Por último, pero no menos importante, te dejo con un extracto de nuestra publicación de blog “¡No confíes en un sistema de administración de contraseñas que diseñes tú mismo!”
Hay un puñado muy pequeño de personas que pueden salirse con la suya diciendo que solo confiarán en un sistema de administración de contraseñas que ellos mismos crean, pero definitivamente no debes confiar en un sistema de administración de contraseñas que desarrollas tú mismo.
Hay grandes desafíos a considerar y preguntas que hacer al desarrollar un sistema de administración de contraseñas, y hemos cubierto algunos de ellos aquí en el Blog Agile. Estos requisitos son válidos incluso si ese sistema es “simplemente usar un software de cifrado de archivos o discos”:
- ¿Cuál es su fuente de aleatoriedad para la generación de claves y contraseñas? ¿Sabes cómo usar un generador de números aleatorios criptográficamente seguro y por qué funciona de la manera que lo hace?
- ¿Cuál es su función de derivación clave? ¿Utiliza algo como PBKDF2 para resistir los intentos de descifrado de contraseñas?
- ¿Cuántos datos confidenciales quedan descifrados en cualquier momento? Si descifra un archivo completo, todos esos datos descifrados deberán residir en la memoria o en la memoria virtual de su computadora, dejándolos potencialmente expuestos después de un bloqueo, en la memoria, en los archivos de respaldo automáticos o en los archivos de intercambio del sistema.
- ¿Qué medidas tiene el sistema para evitar la pérdida de datos? ¿El sistema de respaldo (automático) realiza alguna verificación de integridad de los datos antes de hacer un respaldo?
- ¿Cómo se borra la memoria de datos confidenciales cuando ya no se necesitan?
- ¿Existen técnicas de ofuscación para datos confidenciales (como claves de descifrado) que pueden necesitar residir en la memoria de la aplicación por un tiempo?
- ¿Su sistema se bloqueará automáticamente o le exigirá que tome medidas para bloquear / cerrar sus datos?
- ¿Se puede eliminar o minimizar el uso de copiar y pegar datos sensibles?
- Y lo más importante, ¿puede mantenerse al día con toda la investigación y el desarrollo de todos estos (y otros) problemas que pueden requerir un cambio en el diseño o la implementación? Como ejemplo, 1Password se ha actualizado cientos de veces desde su debut en 2006.
Estas son solo algunas de las cosas que alguien debe poder abordar cuando desarrolla un sistema de administración de contraseñas por sí mismo.
Afortunadamente, el problema ya ha sido resuelto. Obtenga más información en el documento técnico 1Password Security Design [PDF].
¡Mantente a salvo allá afuera!