[Descargo de responsabilidad: trabajo para AgileBits , creadores de 1Password , un administrador de contraseñas y billetera segura.]
Recordar las contraseñas es malo para la salud de tu contraseña
Es genial que estés considerando un administrador de contraseñas. Ahora está en una posición fantástica para tener una mejor seguridad de contraseña que la mayoría de las personas. Como dice el investigador de seguridad Troy Hunt: ” La única contraseña segura es la que no puede recordar “.
- ¿Estados Unidos no puede hacer frente a la avalancha de hackers rusos?
- ¿Cuál es la mejor manera de mejorar la seguridad de un almacén?
- Si un país tuviera piratas informáticos altamente calificados casi ilimitados, ¿qué tipo de daño podrían infligir a China?
- Cómo descargar la mejor versión gratuita y descifrada de un antivirus
- Si Windows 7 no viene con software antivirus, ¿vendrá con virus?
Muchas personas se aferran firmemente a su deseo de usar contraseñas que puedan recordar, lo que en realidad termina lastimándolas desde una perspectiva de seguridad. Elijo usar un administrador de contraseñas porque ofrece una seguridad mucho mejor que el uso de contraseñas lo suficientemente débiles para recordarlas o, lo que es peor, volver a usarlas.
No conozco ninguna de mis contraseñas
La idea detrás de un administrador de contraseñas como 1Password es que solo necesita recordar una contraseña maestra. Luego, 1Password genera, almacena y llena de manera segura todas sus contraseñas individuales por usted. No tiene que recordar nada siempre y cuando nunca pierda su contraseña maestra. (Mantener una copia de seguridad en una segunda ubicación segura es una gran idea. Es posible que desee completar el Kit de emergencia de 1 contraseña por completo).
No todos los administradores de contraseñas son iguales
1Password ofrece algunas características y tiene ciertas características de seguridad que otros administradores de contraseñas no tienen. Uno puede compartir algunos de ellos y otro puede compartir otros, pero la combinación específica a continuación no se comparte con ningún otro administrador de contraseñas. Debe, por todos los medios, investigar todas sus opciones, pero si desea “marcar todas las casillas” a continuación, 1Password puede estar en la parte superior de su lista.
- 1Password no es un servicio al que te conectas o inicias sesión . En cambio, funciona completamente manteniendo su datos encriptados y almacenados en sus dispositivos. No tenemos ninguno de sus datos de ninguna forma. Esto tiene dos grandes beneficios:
- Como no tenemos ninguno de sus datos, no podemos perderlos, usarlos o abusar de ellos, incluso si fuéramos (obligados a ser) malvados.
- Esta arquitectura de seguridad significa que no tenemos un sistema de autenticación para defender. Sus datos están protegidos a través de un sistema de solo cifrado, sin ninguna de las amenazas que enfrentan los sistemas basados en autenticación.
- 1Password protege sus datos utilizando un formato documentado públicamente. Es completamente compatible con la palabra de moda: cifrado autenticado: AES-256-CBC y HMAC-SHA256; derivación clave: PBKDF2-HMAC-SHA512, pero, lo que es más importante, el formato utilizado por 1Password está disponible para que usted y la comunidad de seguridad en general lo analicen. Tienes secretos nosotros no Por qué nuestro formato de datos es público. Por supuesto, no puedo pensar en muchas mejores formas de mostrar qué tan bien 1Password protege sus datos que enfrentar la herramienta de descifrado de contraseña preeminente `hashcat`: los crackers informan excelentes noticias para 1Password 4.
- 1Password es el único administrador de contraseñas que ha ganado un premio de diseño. Como Steve Jobs dijo una vez: “La gente piensa que es esta chapa, que los diseñadores reciben esta caja y les dicen: ‘¡Que se vea bien!’ Eso no es lo que pensamos que es el diseño. No es solo lo que parece y se siente. El diseño es cómo funciona. ”1Password es un ganador del premio Ars Design.
- 1Password se integra directamente con todos los principales navegadores. Safari, Chrome, Firefox, Opera e Internet Explorer son compatibles con el escritorio. En iOS, 1Password incluso completa Safari y aplicaciones de iOS de terceros que han agregado soporte para la extensión 1Password. Esto no solo hace su vida mucho más simple sino que mantiene los datos confidenciales fuera del portapapeles. Se llena de forma segura con su aprobación explícita. En Mac, por ejemplo, Command- \ lo registrará en cualquier sitio web para el que haya guardado un inicio de sesión, seguro y conveniente.
- 1La contraseña se sincroniza con Mac, Windows, iOS, Android. Usar contraseñas fuertes y únicas que no puedas recordar no es bueno si no tienes acceso a ellas.
- 1Password ofrece una opción para usar su propia red Wi-Fi privada para sincronizar. Puede sincronizar sin usar un servicio en la nube como Dropbox o iCloud. Ningún dato sale de su propia red local. Nuevamente, usted tiene el control de sus propios datos. (Puede estar detectando un tema aquí).
- 1Password no cobra tarifas mensuales o anuales. Una vez que tenga una licencia de Windows, por ejemplo, puede usarla en todas las PC que pueda pagar. Del mismo modo para Mac, etc.
- 1Password admite numerosos formatos de importación y le permite exportar todos sus datos a CSV estándar o nuestro propio formato de intercambio de 1Password en cualquier momento. Creemos que le gustará 1Password lo suficiente como para que no necesitemos encerrarlo artificialmente. Queremos usuarios felices y no atrapados.
Pero antes de que esto se convierta en nada más que un argumento de venta, permítanme compartir algunos consejos para evaluar los administradores de contraseñas. Esto te será útil incluso si no terminas eligiendo 1Password. Puede verificar la seguridad de una aplicación estudiando los datos que está (1) leyendo / escribiendo y (2) enviando / recibiendo. Primero, echemos un vistazo a este último.
Uno no puede compartir accidentalmente lo que no tiene
Los datos que envía y recibe cualquier aplicación es bastante fácil de monitorear. Algunas aplicaciones incluso proporcionan una guía que describe toda la actividad de red que puede esperar de la aplicación. Para una aplicación que no requiere que inicies sesión en un servicio en línea, la actividad de la red puede ser completamente opcional.
En ese caso, una aplicación que no requiere una conexión de red puede funcionar completamente manteniendo su datos encriptados y almacenados en sus dispositivos. Si la empresa que crea la aplicación no tiene ninguno de sus datos, obtendrá los dos grandes beneficios que mencioné anteriormente:
- Si no tienen ninguno de sus datos, no pueden perderlos, usarlos o abusar de ellos, incluso si fueran (obligados a ser) malvados.
- Tal arquitectura de seguridad puede significar que no tienen un sistema de autenticación para defender. Sus datos pueden protegerse a través de un sistema de solo cifrado, sin ninguna de las amenazas que enfrentan los sistemas basados en autenticación.
¿El producto, servicio o aplicación que está evaluando tiene una copia de sus datos ? ¿Necesita autenticarse en un servicio para acceder a sus datos? Estas son algunas buenas preguntas para hacer.
Ahora no tiene que preocuparse de que alguien “se vuelva malvado” para que esa distinción tenga importancia. Si alguien tiene la capacidad de hacer daño, puede hacerlo por accidente. Si alguien no tiene la capacidad de hacer daño, entonces no podría hacerlo ni siquiera por accidente.
No hay secretos sino los tuyos
“Un criptosistema debe ser seguro incluso si todo lo relacionado con el sistema, excepto la clave, es de conocimiento público”. – Principio de Kerckhoffs
Los datos que una aplicación lee y escribe son críticos para su función. ¿Se documenta públicamente su formato de datos? ¿Ha sido publicado para beneficiarse del escrutinio de expertos públicos? Si bien un individuo puede no tener el conocimiento necesario para analizar dicho tomo, es importante que esté disponible para los expertos en seguridad que sí lo tienen.
Si tiene acceso al diseño del formato de datos, puede verificar que la aplicación utiliza implementaciones de biblioteca criptográfica estándar y confiables . Los expertos en criptografía están de acuerdo: no hay necesidad de lanzar nuestra propia criptografía.
¿Qué medidas toma la aplicación para frenar los intentos de craqueo? ¿El desarrollador tiene una buena relación con la comunidad de seguridad? Para el caso, ¿cómo ve la comunidad de cracking la aplicación?
Estas son solo algunas de las preguntas que puede comenzar haciendo. Espero que te ayude a tomar una decisión informada. ¡Mantente a salvo allí!