1password empresa, gmail y doble autenticacion

le_cactuar

Hola, en mi empresa hoy nos han obligado a poner el doble factor con 1password y a mí me parece un poco raro porque en mi idea era que el doble factor era usar otra plataforma que no tenga nada que ver, ya que si acceden a mi cuenta de 1password no sirve de nada el doble factor.

¿Alguien me explica en qué mejora esto a usar una única contraseña almacenada en 1password?

nerkaid

En que aunque se repite 200 veces, la gente sigue usando las mismas passwords para diferentes plataformas, entonces si alguien consigue tu contraseña de 1password de otro sitio, no puede acceder a tu cuenta porque tienes doble factor.

1 respuesta
le_cactuar

#2 el doble factor es en gmail, cuya contraseña ya está en 1 password me he explicado mal creo en el otro post

B

Si alguien consigue tu contraseña de gmail, le pedirá doble factor, y necesitarían no solo la contraseña de 1password para acceder a él, si no la SECRETKEY de 1password (además de saber el e-mail de la cuenta).

Si no tuvieses doble factor, entrarían del tirón. Si almacenar los secretos de doble factor junto al gestor de contraseñas es buena idea o no, es otra discusión, pero tiene sentido activar el doble factor en gmail siempre y cuando la contraseña de tu 1password sea diferente (que debería serlo) y en cualquier caso les faltaría la secret key.

1 respuesta
ESL_Kaiser
#4memeguy:

consigue tu contraseña de gmail

desde el desconocimiento, pero si consiguen tu contraseña de gmail, como interactua 1password si ya la tienen?

1 respuesta
B

#5 Pueden tener la contraseña de gmail, pero para iniciar sesión siguen requiriendo autenticar este intento de inicio de sesión con el two-factor.

Este two-factor puede llegar por sms, o puede generarse con una aplicación como Google Authenticator, o en este caso, 1password, el cual le das la secret key de ese two-factor y genera códigos cada 30 segundos.

Si tienen la contraseña va a dar igual porque no tienen acceso a 1password para el código de dos factores, y para acceder a 1password necesitan:

  • El email de la cuenta de 1password
  • La contraseña de 1password (que debería ser distinta a la de gmail)
  • La SECRET KEY que genera 1password cuando creas la cuenta.
2 respuestas
ESL_Kaiser

#6 vale que aparte de gestor de contraseñas actua como el authenticator de google, vale lo desconocía gracias

1 respuesta
B

#7 Correcto; técnicamente es un estándar que no tiene nada que ver con Google: https://es.wikipedia.org/wiki/Algoritmo_de_contrase%C3%B1a_de_un_solo_uso_basada_en_el_tiempo

Google lo implementa con su propia aplicación y a su manera, pero el estándar puede usarse en cualquier aplicación, como es 1password :thumbsup:

1
le_cactuar

#6 entiendo, gracias

Usuarios habituales