¿Debería sentirme seguro al almacenar mis contraseñas confidenciales con aplicaciones como Keeper? Necesito una solución de contraseña, pero odio la idea de que una violación podría exponer toda mi vida digital. ¿Pluma y papel? ¿Tinta invisible?

Aquí hay algunas otras respuestas excelentes, así que no me molestaré en repasar algunos de los grandes puntos que ya han hecho personas como Jeffrey Goldberg, pero también quería agregar algunos comentarios desde otra perspectiva.

Personalmente, he sido un usuario de 1Password muy feliz durante aproximadamente 8 años, pero no estoy afiliado, ahora o en el pasado, con la compañía que no sea como cliente.

En una vida pasada, hice consultoría de seguridad a nivel profesional a nivel corporativo y gubernamental. Esto no fue solo una cuestión de evaluación técnica, sino que en realidad comenzó en la sala de juntas con muchas discusiones y reuniones analíticas sobre políticas, procedimientos y algo más llamado evaluación de amenazas y riesgos .

Un punto clave en todo esto fue analizar el perfil de amenaza de un cliente determinado, una gran parte de la cual, en aras de esta discusión, se tradujo básicamente en “¿Qué tan objetivo eres?” o … dicho de manera más simple, ¿alguien realmente se preocupa por sus datos?

Por lo tanto, cuando considera que “una violación” podría exponer toda su vida digital, debe preguntarse qué tan probable es que ocurra esa violación, y qué posibilidades tiene usted, como individuo específico, de ser blanco directo o casualmente.

Si bien este es un problema grave para las organizaciones gubernamentales, grandes corporaciones y celebridades, para el resto de nosotros la respuesta “no es muy probable”. Todos tenemos un sentido algo exagerado de nuestra propia importancia, pero el problema real es que muy pocos hackers tienen razones para atacarnos directamente a menos que hayamos hecho algo que nos convierta en un objetivo.

Ergo, las dos amenazas más probables para los datos de una persona promedio son sus conocidos inmediatos (amigos, familiares, colegas, etc.) y la exposición colateral, que se incluye en un conjunto de datos más grande en un servicio que los hackers han buscado por otras razones (I Estoy seguro de que no necesitamos mirar lejos para encontrar un ejemplo reciente de eso).

Un método de papel y bolígrafo, o cualquier otro método similarmente inseguro, probablemente lo deja más expuesto a la primera amenaza, aunque prácticamente elimina la segunda. Si está escribiendo sus contraseñas, es probable que en algún momento alguien que conozca se encuentre con la lista en casa o en el trabajo.

Sin embargo, ambas amenazas pueden mitigarse con una buena aplicación de administración de contraseñas. No es probable que seas víctima de una violación “dirigida”, pero tus datos podrían estar expuestos a otra violación. Si utiliza un servicio de contraseñas en línea, una infracción que tiene el potencial de exponer sus datos junto con la de todos los demás, o si utiliza un archivo de bloc de notas almacenado en Dropbox y alguien incumple Dropbox, otra persona queda con sus datos. Si lo almacena en su computadora para evitar la exposición colateral, y alguien irrumpe en su casa y se escapa con su computadora, incluso si todo lo que quiere es el hardware, aún está potencialmente expuesto.

Cifrado

El cifrado es obviamente la mejor respuesta aquí, y he descubierto que muchas personas subestiman seriamente los buenos algoritmos de cifrado. Culpo a Hollywood por esto de la misma manera que las películas de espías de los años ochenta hacían que las cerraduras parecieran triviales. Al igual que cualquier cerrajero se reiría de esas escenas, cualquier criptógrafo o experto en seguridad se ríe como las escenas en las que algún hacker mago ejecuta un “algoritmo súper especial” y rompe el cifrado de un archivo en 30 segundos.

Ningún sistema de seguridad es infalible: cualquier sistema es simplemente un elemento disuasorio para hacer que no valga la pena que alguien tome tus cosas. Cualquier tecnología de cifrado medio decente será suficiente para hacer que la gran mayoría de los hackers avancen hacia un objetivo más fácil. Recuerda, es muy poco probable que te estén apuntando a menos que hayas hecho algo para llamar la atención. De la misma manera que operaría un ladrón en su vecindario, no tiene que estar cien por ciento seguro, solo necesita estar más seguro que nadie.

Por supuesto, si todavía le preocupa una violación de datos, usar un administrador de contraseñas sin conexión es una solución aún mejor. A menos que su PC sea robada, sus datos siguen siendo bastante seguros, y en este caso, el cifrado seguirá siendo su amigo, ya que el ladrón probablemente solo quiera borrar su computadora y venderla. Muchos serán oportunistas entrometidos, pero si golpean algo en lo que no pueden meterse, no vale la pena intentar separarlo, de nuevo, a menos que sea importante que merezca su atención específica.

Tener un plan de recuperación

Por último, no cometa el error que muchas personas hacen cuando se trata de seguridad y asuma que nunca va a fallar. Haga un plan para cuando lo haga. Aquí es donde un administrador de contraseñas también lo ayudará. Lo más probable es que si se ve comprometido, los atacantes solo tienen una copia de los datos, y no el original. Si ha hecho un plan, debe poder cambiar rápidamente sus contraseñas más críticas y otros detalles para evitar, o al menos mitigar, cualquier daño grave lo antes posible. Si le roban su tarjeta de crédito, llame al banco y la cancele. Si sus contraseñas se han visto comprometidas, puede cambiarlas todas, o al menos las críticas.

Además, cambiar sus contraseñas críticas de manera regular es otra forma de mitigar cualquier riesgo. Si ha sido víctima de una violación de datos y le han robado un archivo de contraseña cifrado como parte de él, es probable que los piratas informáticos no hayan podido acceder de inmediato (de nuevo, es muy probable que no un objetivo específico ). Mi (ahora) ex esposa y yo tuvimos una vez nuestras tarjetas bancarias comprometidas, pero debido a que cambio mi PIN cada 30 días, los ladrones no pudieron sacar nada de mi cuenta, y de hecho levantaron una bandera roja en mi intentarlo, mientras que mi ex había usado el mismo PIN durante más de 10 años y descubrió que su cuenta bancaria estaba vacía.

Si recuerda y reutiliza las contraseñas

Supongamos que haces lo que hace la mayoría de la gente. Recuerdas una pequeña cantidad de contraseñas que reutilizas. Cuando un sitio que usa una contraseña reutilizada se viola de una manera que un atacante puede descubrir su contraseña, entonces el atacante tiene acceso a todos los demás servicios que use con la misma contraseña.

Creo que es útil mirar esto desde los huevos en una analogía de canasta. Cada contraseña distinta que usa es su propia “canasta” y todos los sitios y servicios para los que la usa son los huevos que están en esa canasta. Si la contraseña se revela desde uno de esos sitios, entonces todo lo que está en esa misma canasta queda expuesto.

Entonces, bajo ese sistema, tiene una pequeña cantidad de canastas, cada una con varios huevos, y las canastas están muy mal protegidas.

Papel y lapiz

Tenga en cuenta que defiendo que las personas mantengan una copia de seguridad en papel de sus contraseñas maestras para su sistema de administración de contraseñas. Pero eso es para respaldo, no para uso.

Una dificultad con una lista de papel y lápiz es que es lo suficientemente inconveniente como para fomentar la reutilización de contraseñas. A menos que solo tenga un número muy pequeño de sitios y servicios para los que necesita una contraseña, entonces una lista en papel es insostenible para mantener una contraseña única para cada servicio. Entonces, para casi todos, el papel y el lápiz terminan convirtiéndose en la “reutilización de contraseña”, con su problema de poner múltiples huevos en cestas muy mal protegidas.

Cuando una lista en papel se usa solo para copias de seguridad, se puede almacenar la seguridad en una caja de seguridad o similar. Pero si se va a usar activamente, estará en lugares donde está mucho más expuesto a la captura. Ahora puede haber personas para quienes, una lista en papel es una solución razonable, pero será difícil mantener la disciplina para evitar reutilizar la contraseña.

Sistema de inicio de sesión único

Usar cosas como “iniciar sesión con Facebook” o “iniciar sesión con Google” tiene el mismo problema de “huevos en una canasta” que está tratando de evitar, además de que implica ceder el control de los inicios de sesión a un tercero cuyos intereses pueden no coincidir siempre con los suyos. En esos casos, entre otras cosas, está permitiendo que Facebook o Google sepan exactamente en qué sitios está iniciando sesión y cuándo. Tampoco está claro en qué posición estaría si la naturaleza del servicio de inicio de sesión único cambiara.

Entre los administradores de contraseñas, hay mucha variedad a este respecto. Varían en la medida en que mantiene el control de sus datos. Con 1Password, compras el software y eso es todo. Si tuviéramos que desaparecer de la faz del planeta o volvernos malvados, aún tendría el control total de sus datos. No estamos “informados” cuando usa 1Password. Consulte ¿Cómo mantiene 1Password mis datos privados? para los detalles completos

Protegiendo tu cesta

A menos que sea una de las personas extremadamente raras que pueda recordar de manera confiable 80 o más contraseñas únicas y fuertes, entonces debe usar algún tipo de canasta que esté fuera de su cabeza. Por lo tanto, debe prestar atención a cómo se protege esa canasta.

Una de las dificultades que enfrentan las personas al mirar los administradores de contraseñas es que todos usan encriptación de “grado militar” en el sentido de que los algoritmos de encriptación fuertes están fácilmente disponibles para cada desarrollador, lo cual es una gran cosa. (Soy un hombre viejo, que recuerda las Guerras Crypto; así que sé que esto no era un hecho). Pero también es un hecho triste que en realidad es muy fácil usar mal las herramientas criptográficas.

Mire el error criptográfico en el diseño de WhatsApp. (Ver error crítico de cifrado de WhatsApp amenaza la privacidad del usuario, advierten los investigadores) Es exactamente el tipo de error que es fácil de cometer si no tienes criptógrafos profesionales que examinen tu diseño. WhatsApp usó todos los ingredientes correctos, pero los mezcló mal.

Nadie puede prometer que su sistema de seguridad es perfecto, pero una cosa a tener en cuenta es cuán abierto es el diseño al escrutinio externo y hasta qué punto los desarrolladores entienden por qué ciertos diseños funcionan o no.

De todos modos, si decide usar un administrador de contraseñas, si está diseñado correctamente, entonces el “punto más débil” será su contraseña maestra. Así que eche un vistazo a Hacia mejores contraseñas maestras

Jesse Hollington

Me gusta el consejo de Matt y agregaría que el uso de cualquier programa de contraseña significa que siempre debe mantener una copia de seguridad completa y segura de su lista de contraseñas, ya sea en papel / lápiz o almacenada electrónicamente en una ubicación encriptada.

También debe usar los programas principales siempre que sea posible por razones de soporte, pero también para garantizar que mantenga el control y el acceso total a sus datos, sin permitir el acceso a un tercero. Son sus contraseñas que equivalen a “autoridad para actuar en su nombre”, así que trátelas con cuidado.

Lo que sí es cierto es la necesidad de asegurarse de utilizar contraseñas diferentes para cada sitio. Me doy cuenta de que es un dolor para la mayoría de las personas, pero durante cualquier tipo de violación limita su exposición significativamente (a menos que su lista de contraseñas se haya visto comprometida como se mencionó anteriormente).

Recuerde que el hacker de hoy puede obtener sus credenciales de inicio de sesión pirateando un sitio web que frecuenta. Son lo suficientemente inteligentes como para girar los pomos de las puertas de otros servicios y sitios web que también podría usar, ya que la mayoría de las personas usan el mismo nombre de usuario y contraseña para cada sitio que visitan.

Los programas de contraseña que almacenan sus datos cifrados son mejores que los que no lo hacen, a los que solo tiene acceso incluso con una contraseña maestra.

Yo uso Roboform, pero hay muchos por ahí que son buenos.

Jesse Hollington

Es una decisión de gestión de riesgos. Sus opciones son:
– Intente crear y recordar contraseñas lo suficientemente complejas para lidiar con adversarios como Crunching the Top 10,000 Websites Password Password and Controls. Pros: no hay trozos de papel o software para tratar. Contras: olvidar las contraseñas, intentar crear muchas contraseñas seguras.
– Use papel y tinta (visible o no), para almacenar sus contraseñas y si es como yo, ese papel está destinado a la lavadora seguida de la secadora, o lo perderá y nunca sabrá dónde yo fui. Luego use Diceware para generar contraseñas.
– Elija otra opción, junto con los pros y los contras asociados.
– Exprime tus manos y desearía que hubiera una opción perfecta, que no existe.

La mejor de las suertes.

Miguel de la Ossa

¡Esas no son tus dos únicas opciones! Personalmente uso Keepass 2 en todas mis computadoras (y Keepass2Droid en mi teléfono) y mantengo el archivo sincronizado usando Bittorrent Sync.

BTSync significa que nadie puede acceder a mi archivo de contraseña sin la clave de sincronización, lo que mantengo bien protegido para empezar (también es un software realmente bueno). Keepass2 tiene un diseño bien probado y un formato de archivo sólido, y los pasos que puedo ver que el desarrollador ha tomado con Keepass2droid implican que saben lo que están haciendo.

Jeffrey Goldberg

No conozco personalmente esta aplicación que mencionas.

Uso LastPass y me siento razonablemente seguro, porque mis contraseñas no están almacenadas en el anuncio de mi computadora, si veo algo sospechoso, siempre puedo cambiar mi contraseña maestra.

Miguel de la Ossa

Puede desarrollar su memoria o puede confiar en una solución como Keeper. Utilizo Fortify y no encontré ningún problema con respecto a la seguridad. Tu decides.

Miguel de la Ossa

More Interesting

Cómo usar un troyano

¿Qué tan seguros pueden ser BitLocker y EFS cuando las contraseñas de Windows son notoriamente fáciles de hackear?

¿Cuál es la mejor manera de verificar de manera confiable la seguridad de una contraseña creada por el hombre y no generada por computadora de una manera algo segura?

¿Por qué muchas contraseñas requieren 1 carácter no alfanumérico?

¿Qué usan más los probadores, Metasploit o mimikatz? ¿Y cuáles son los escenarios más comunes que se realizan con cada uno?

¿Cuál es el papel de la GPU en el descifrado de contraseñas?

¿Las máquinas de bajo nivel como los automóviles y los aviones corren riesgos de seguridad cibernética?

¿Qué software es el mejor para obtener virus, malware y spyware en una PC?

¿Cómo se etiqueta el conjunto de datos de CTU como tráfico de botnet o no?

¿Cuáles son las razones por las que el cifrado simétrico funciona rápido?