¿Qué tan seguras son las aplicaciones de administración de contraseñas?

Personalmente, diría que sí (uso lastpass yo mismo): en primer lugar, LastPass ofrece una opción de opciones de autenticación de dos pasos, ya sea utilizando la aplicación de autenticación de Google abierta o Yubi Key, por lo que incluso si su nivel de seguridad primario (Contraseña) se vio comprometido una vez El elemento proporciona un nivel de protección más allá de eso.

¿Es perfecto? Probablemente no, ¿es mejor lo que usa la mayoría de la gente? Sí, suponiendo que las galletas estén dirigidas a frutas bajas, lo hace seguro: puede que no lo proteja contra las personas que se dirigen específicamente a usted, pero en su mayor parte parece una mejora de lo que ofrecen otros niveles.

En mi vista,

Sin un administrador de contraseñas

Sin un administrador de contraseñas, la mayoría de las personas comprometerán su seguridad de una forma u otra.

• Elegirán una contraseña menos segura que sea fácil de recordar (corta y / o no compleja).
• Usarán la misma contraseña en varios sitios (no únicos).
• Guardarán la contraseña utilizando tecnología no segura o escribirán la contraseña en una nota que se mantenga cerca (no es memorable).

Cualquiera de esos disminuye su seguridad significativamente.

Creo que evitar la tecnología específicamente diseñada para mantener seguras las contraseñas no lo hace más seguro. Cuando se tiene en cuenta la naturaleza humana, disminuye significativamente la seguridad general.

Con un administrador de contraseñas

Los administradores de contraseñas facilitan las mejores prácticas, incluso triviales. El uso de un administrador de contraseñas le permite:

• Genere y use contraseñas seguras, complejas y apropiadamente largas.
• Nunca necesite escribir o recordar contraseñas: el administrador de contraseñas las recuerda por usted.
• Use diferentes contraseñas en diferentes sitios.

Estas son cosas que las personas no hacen a menos que tengan una herramienta para ayudarlas.

Además de eso, la mayoría de los administradores de contraseñas agregan varias características que hacen que la seguridad mejorada sea aún más conveniente. Ellos pueden:

• Sincronice su información en varias computadoras.
• Ser utilizado en dispositivos móviles.
• Rellene automáticamente no solo contraseñas, sino formularios web comunes.
• Almacenar notas arbitrarias.

Todo con más seguridad que casi todas las alternativas.

Cuando coloca administradores de contraseñas en LAN detrás de firewalls como SonicWall, comienzan a actuar. Quieren puertos abiertos, piden excepciones. Si la seguridad es un problema, especialmente si es un gran problema, nunca debe abrir puertos ni proporcionar ningún tipo de excepción a los administradores de contraseñas, especialmente en los servidores.

Sin embargo, aún puede usar Password Mangers en servidores y otras computadoras LAN si:

1. Coloque el Administrador de contraseñas en una computadora portátil que pueda acceder fácilmente a Internet, proporcionando solo seguridad de firewall de software de buena calidad, como Symantec o McAffee. (Symantec Endpoint Security es uno de mis favoritos).
2. Utilice este Administrador de contraseñas central para generar contraseñas para todos los inicios de sesión y ser el almacenamiento de contraseñas central para su red personal. Puede hacer una copia de seguridad en la nube, lo que debería ser bastante seguro, especialmente si utiliza la copia de seguridad en la nube patentada que viene con Password Manager.
3. Pero, además, exporte sus últimos cambios a al menos dos unidades flash cifradas. Puede etiquetarlos como A y B y rotarlos.
4. Use las unidades flash para importar las últimas copias de las contraseñas en los servidores LAN, que no pueden sincronizarse a través de Internet con las otras computadoras.
5. PcMag califica los administradores de contraseñas cada año y proporciona un conjunto bastante bueno. He usado LastPass, 1Password y ahora DashLane. Hasta donde yo sé, todos tienen problemas importantes con los firewalls corporativos; al menos donde la seguridad es alta. Si está en una computadora corporativa, es muy posible que no tenga un puerto USB en funcionamiento para la unidad flash. Pero ese es realmente un problema para el departamento corporativo de TI.
6. Para su propia red doméstica, especialmente si tiene sus propios servidores y firewall de dispositivo de hardware, evite abrir puertos y hacer excepciones entre su LAN y DMZ y / o WAN a toda costa.

Utilizo una aplicación de administración de contraseñas en línea por los siguientes motivos:

1. La conveniencia de tener una bóveda de contraseñas centralizada a la que puedo acceder desde cualquiera de mis computadoras. Con frecuencia cambio mis contraseñas, así que es mejor tener un área centralizada para almacenar contraseñas en lugar de intentar actualizar varias copias de la contraseña, que podrían almacenarse en cada una de mis computadoras.
2. Ofrece autenticación de múltiples factores y me alerta cuando hay un inicio de sesión en la bóveda de contraseñas.
3. El cifrado es muy fuerte.

Los beneficios adicionales para las empresas al usar un sistema central de administración de contraseñas en línea son:

1. Las contraseñas comerciales se pueden administrar de forma centralizada y el acceso a las contraseñas se restringe solo a las personas que las necesitan.
2. Las contraseñas se pueden ocultar para que una persona no pueda ver la contraseña cuando se usa, como iniciar sesión en una aplicación basada en la web.
3. Las contraseñas de los contratistas pueden almacenarse y solo activarse cuando sea necesario.
4. La mayoría de las principales aplicaciones de administración de contraseñas en línea ofrecen una función de auditoría para que pueda ver quién accede a qué contraseña cuando.
5. Es bueno para la recuperación ante desastres ya que la bóveda de contraseñas en línea se ubicará en un servidor de terceros, suponiendo, por supuesto, que no esté ejecutando su propio sistema de administración de contraseñas en línea en sus servidores.

Por supuesto, todos los beneficios de usar un sistema centralizado de administración de contraseñas en línea se pueden eliminar si la contraseña maestra (la contraseña para acceder a la bóveda de contraseñas) es débil.

En general, mi opinión es que un sistema centralizado de administración de contraseñas en línea es mucho más seguro que intentar administrar contraseñas dentro de su propio entorno.

Saludos

Bagazo

Respuesta corta:

Como siempre la respuesta es depende.

Para la mayoría de las personas, diría que sí, es mejor usar un almacén de contraseñas y relativamente seguro, pero depende de:

• El impacto si una o más de esas contraseñas almacenadas en la bóveda se vean comprometidas
• Tu apetito de riesgo

Lastpass específicamente ha sido muy bueno con la forma en que se han manejado incluso cerca de accidentes o actividades sospechosas en el pasado: http://blog.lastpass.com/2011/05 …

Esto proporciona cierta seguridad al menos de que tienen un enfoque principal en la seguridad (siendo su negocio principal). A diferencia de Linked-in, donde es muy decepcionante incluso en 2012 que no tengan contraseñas saladas (¿no se ha oído hablar de ningún LDAP COTS?)

En general, creo que las ventajas de usar una bóveda de contraseñas como Lastpass superan las desventajas. Si no tiene opción para la autenticación de dos factores, entonces tener una contraseña segura es su única defensa. El uso de una bóveda de contraseñas hace que esto sea mucho más práctico y conveniente.

Respuesta larga:
http://www.rakkhis.com/2010/12/w…

La administración de contraseñas se ha vuelto muy importante. Las compañías están gastando una gran cantidad de dinero en software de administración de contraseñas empresariales.

La situación ha cambiado mucho desde los años 90, donde la tecnología todavía estaba en la etapa de desarrollo. Pero hoy en día todo el escenario es diferente, hay más y más amenazas que surgen en diferentes formas de malware que pueden causar daños graves a la base de datos si a los usuarios les gusta usar los datos para actividades ilegales, ataques de malware como Ransom Ware que ataca su computadora y bloquea su conducir a cambio de alguna remuneración.

Se requieren administradores de contraseñas ya que hoy en día todas las transacciones se realizan en línea, solo hace que los usuarios no se preocupen, pero todos los administradores de contraseñas no siempre se actualizan porque las medidas preventivas se toman solo después del ataque, por lo que de vez en cuando debe cambiar a una versión actualizada

Depende completamente de lo que estés buscando. Todos los administradores de contraseñas tienden a cifrar los datos, lo que significa que los datos en sí están muy protegidos. El principal problema que tiene con cualquier sistema es una contraseña maestra débil para acceder a ella. Si está protegiendo sus contraseñas con una contraseña maestra de Star Wars, realmente no puede culpar a una empresa de administración de contraseñas cuando se violan sus datos.

En cuanto a la confianza. Todos los administradores de contraseñas tienden a requerir una contraseña maestra. Esta contraseña maestra solo la conoce usted, por eso le dicen que no se puede recuperar ya que nunca la almacenan.

Habiendo dicho eso, realmente tienes 3 tipos de administradores de contraseñas:

En línea:

Los gustos del último pase y el tablero almacenan sus datos en la nube, lo que significa que puede sincronizarlos en múltiples dispositivos, lo cual es excelente si accede a cuentas en múltiples dispositivos. La desventaja es que para mí, cifrado o no, siempre se siente un poco menos seguro cuando sus datos están en Internet las 24 horas del día en un servidor en algún lugar.

Desconectado:

El administrador de contraseñas sin conexión, como My Login Vault, almacena todos sus datos en un dispositivo USB, lo que significa que no solo los datos son portátiles, sino que siempre están con usted y no en manos de otra persona. La desventaja es que no puede sincronizarlo en múltiples dispositivos debido al hecho de que no interactúa con Internet para aumentar su seguridad. Una vez dicho esto, el hecho de que sea portátil alivia algunos de los inconvenientes.

Tu libreta:

Un pequeño libro que llena con cada inicio de sesión que ha tenido y que nunca puede encontrar cuando lo necesita. Todos hemos tenido uno en algún momento o todavía tenemos uno. La ventaja es que no confía en nadie más, no hay posibilidad de que haya sido pirateado, pero existe la posibilidad de que lo deje en algún lugar de su escritorio y les dé acceso a sus cuentas a todos o, lo que es peor, lo pierda

Personalmente hablando, no, no lo son.

Déjame explicarte por qué. Todos somos conscientes de que las contraseñas son información confidencial y solo deben existir en un lugar donde nadie pueda acceder, el lugar más seguro que puedo decir es su propio cerebro. Al bloquear las contraseñas en un solo administrador de contraseñas, lo que esencialmente está haciendo es poner todos sus huevos en una sola canasta. Desea proteger sus contraseñas con una sola contraseña. Si está utilizando un administrador de contraseñas, todo lo que el atacante debe hacer es obtener esa contraseña única. Esto reduce su objetivo ya que es una olla de oro. Algunos podrían argumentar que el atacante no necesariamente sabe que el usuario está usando un administrador de contraseñas, pero si me lo pregunta, diría que incluso si no lo hicieran, no debería estar dispuesto a correr ese riesgo.
Suponga que tiene varios casilleros en todo el mundo, ¿estaría dispuesto a poner todas esas llaves en un solo casillero?
Esto falla completamente la seguridad desde el punto de vista del usuario. Es un problema clásico de centralizar la seguridad en un solo punto de falla. Si el administrador de contraseñas se ve comprometido, el usuario está condenado. Si han guardado contraseñas de bancos, pines de cajeros automáticos o incluso correos electrónicos primarios con los que está conectada la mayor parte de su actividad en línea, se están poniendo en gran riesgo.

Bueno, como con cualquier software, depende del fabricante.
La mayoría de los paquetes grandes (LastPass, KeePass, etc.) son muy seguros, cifran todos los datos. En ese momento, su enlace más débil es la contraseña maestra, sin embargo, es la única que necesita recordar, así que hágalo muy difícil y memorícela.
Para las contraseñas del sitio almacenadas en el administrador de contraseñas, asegúrese de tener contraseñas complejas; de lo contrario, anulará todo el propósito. Por lo general, tendrán generadores de contraseñas incorporados

Las entradas de Lastpass están encriptadas en la computadora del usuario.

El único enlace débil aquí es una contraseña maestra débil.

Esa contraseña maestra es la clave para un trillón de otras contraseñas en su computadora. Hazlo fuerte y estarás relativamente seguro.

No significa que esté a salvo de ataques dirigidos. Pero al menos estás a salvo de la gran multitud de aficionados y aspirantes.

De grosero implican las advertencias habituales.

La contraseña bancaria, financiera y de cualquier tipo relacionada con la identidad personal y la privacidad se almacena mejor en su mente. ¡La mejor bóveda de contraseñas conocida por la humanidad!

Use el administrador de contraseñas del navegador para almacenar la contraseña en el navegador. Uno de los servicios que uso y me gusta es la sincronización de Firefox. Permite sincronizar contraseñas, historial, marcadores en múltiples dispositivos. Una de las mejores partes de este servicio es que realiza todo el cifrado en el lado del cliente y solo comunica datos cifrados a los servidores, por lo que incluso si sus servidores se ven comprometidos, todo lo que el atacante puede hacer es borrar los datos.

Google también tiene el mismo servicio de sincronización para Chrome.

Consulte http://support.mozilla.org/en-US … para obtener más información.

Respuesta corta: sí, pero depende.

Escribí más sobre este tema aquí en respuesta a las brechas de seguridad recientes: ¿Qué usa Adrián Lamo para administrar las contraseñas? ¿Cuál es la mejor manera de administrar una gran cantidad de contraseñas sin dejar de ser accesible desde cualquier computadora? ¿Realmente puedes confiar en alguien con contraseñas?

Sí, es bastante seguro, pero se requiere una buena configuración y una copia de seguridad cifrada de su administrador de contraseñas:

• Contraseña de 12 caracteres
• Se recomienda la autenticación de 2 factores por otp
• No deje abierto pwd manager mientras se aleja de la PC.
• Copia de seguridad regular al contenedor de cifrado como Rohos Disk
• Si está utilizando LastPass en Firefox o Chrome, cifre el navegador con la función de cifrado de la aplicación ‘Rohos Disk’.

Ciertamente es más seguro que usar la misma contraseña en una docena de sitios con procedimientos de seguridad de contraseña desconocidos. También es probable que sea más seguro que las notas post-it. Mantengo una contraseña que cambio en un horario en mi cabeza, el servicio realiza un seguimiento de una contraseña aleatoria gobbledygook para cada sitio en mi bóveda. En un horario menos riguroso, cambio mis contraseñas importantes (banca, correo electrónico, etc.) y actualizo mi bóveda. Me parece un buen trato. LastPass es un dólar por mes para todas las campanas y silbatos. Soy un cliente de por vida.

No confío en ellos … Cualquier cosa puede ser pirateada, es el tiempo que lleva hasta que se piratea. Otro problema es que estas aplicaciones de administrador de contraseñas siempre están amenazadas ya que se almacena mucha información confidencial. Pruebe su suerte guardando información durante un año más o menos.

Sí, la gestión de contraseñas es absolutamente segura si desea instalar un software de gestión de contraseñas de renombre como, por ejemplo, Softex Omnipass u Omnipass Enterprise. Este es el software de administración de contraseñas más confiable y seguro utilizado por la mayoría de las industrias corporativas.

Para algunos, la aplicación guarda las contraseñas con un cifrado en el almacenamiento local. Tienen la clave que es exclusiva de cada usuario.

Uso 1Password, almacené los archivos en Dropbox, a los que se puede acceder localmente a través de la sincronización. Los archivos están en un formato que solo 1Password puede leer y necesita una contraseña para desbloquear la bóveda.

La belleza de LastPass es que la criptografía también se realiza del lado del cliente. Incluso si entré al centro de datos, salí con el servidor y lo llevé a casa, no podría acceder a ninguna de sus contraseñas porque todas están almacenadas en un blob cifrado.