#29 Solo para su propio mecanismo, no para FIDO etc
#30 pues funciona que flipas cuando tienes un servicio que te firma un certificado con una OTP y a partir de ahi puedes hacer lo que quieras en los servicios con ello. Es increible lo bien que funciona
#33 no se exactamente los detalles al 100%, pero es algo que he usado en una empresa. Funciona en la web y por cli, por web una vez que pones tu usuario y contrase;a, pones el dedito en la yubikey y genera el OTP que el auth server valida. Con eso ya tienes acceso a absolutamente todos los servicios internos de la empresa. Ademas es super sencillo de implementar.
Y que pasa si quieres acceso a servidores o APIs? Pues tienes lo mismo, pero en cli, haces del tipo authcli, pones tu contrase;a y pones el dedito para el OTP y ten genera dos cosas, una cookie para tener acceso a las APIs, y firma tu certificado (que es valido solamente durante X horas) para que puedas entrar en los servidores.
Es lo mas comodo que he visto en mi vida, esta empresa en concreto era increible con la experiencia del developer y siempre siempre la tenia en cuenta.
No es normal la cantidad de cuentas que te creas a lo largo de tu vida, para cada web, para cada tienda para cada servicio te exigen crear una cuenta individual con sus exigencias personales...
#35 con todas las brechas que han pasado este mes me he propuesto empezar a pedir bajas y pasarme a un gestor de contraseñas.
He hecho busqueda en el mail de las palabras 'Registro/Register', 'Signup' y cosas asi que pudiesen devolver los emails de registros en servicios/web.
Me salieron unas 130 de las cuales me he podido cargar unas 60 porque no las uso o directamente desaparecieron.
Y de las que me quedan si que uso al cabo del año unas 50.
¿Una tecnología de google que controle mis logins a otros lugares haciendo que deje de crear passwords seguros en bitwarden?
Con la longevidad que le da google a la mayoría de sus proyectos sería la manera ideal para acabar perdiéndolo todo o teniendo que pasarlo todo a posteriori de nuevo a bitwarden de manera manual. No gracias.
Cuánto tardará en sumarse? https://killedbygoogle.com/
#37 las passkeys tienen un estándar y nada que ver con Google, que solo lo acepta como método de login, igual que Apple o Microsoft https://es.m.wikipedia.org/wiki/Passkey
Lo que no entiendo de las passkeys, por ejemplo en Amazon, entro con la passkey y aun asi me pide la doble autenticacion...
#36 Yo he estado haciendo lo mismo, pero la mayoria ni se dignan en contestar, has mandado algun formulario especifico, o simplemente una peticion?
#41 si no tienen la opción de eliminar la cuenta con botoncito, pues email al soporte para que eliminen la cuenta.
te haya cortado un dedo
De eso no tienes que preocuparte. Para que reconozca la huella el dedo tiene que tener pulso; si estas muerto o te lo han cortado, poco van a hacer ahí.
El tema es muy de hollywood, como cuando dicen: "amplía la imagen y limpia los píxeles" xD
#41 envía email a la persona encargada de protección de datos (suele salir su correo en la política de privacidad). Están obligados a responderte por ley, y si no lo hacen y tienes pruebas de que te has puesto en contacto con ellos puedes ir a la AEPD y abrir una reclamación.
#39 lo he mirado y apps como PayPal no aceptan otras carteras como bitwarden, solo la nativa de android de la wallet.
La misma pantomima de siempre.
#42 #44 Las que tenian boton ya las he borrado, y en las que no he enviado email y algunas me contestaron como vsgamers y me la han borrado, pero hay otras que ni me han contestado.
La pregunta, era si hay algun tipo de formulario para rellenar y enviar para estos casos, o simplemente les envio un email al soporte diciendoles que quiero borrar la cuenta, que es lo que he estado haciendo .
#46 A soporte, y si no te contestan al delegado de protección de datos (DPO). Su email y plazos que manejan para responder tiene que aparecer en la política de privacidad de la web
#11Elinombrable:SI saben tu password también pueden acceder a tu gestor de contraseñas y a todas las contraseñas que tengas guardadas en el dispositivo
si saben mi password no pueden acceder a nada sin robarme también físicamente mi yubikey que uso de 2FA.
Y si me van a robar físicamente la yubikey además del password, estás ya básicamente en la situación de xkcd y te da igual la protección que tengas.
Si tienes un gestor de contraseñas con el pass "patata" que te pueden romper en 2 horas y no usas un 2FA, es problema tuyo, no del sistema.
#48 que usas gestor de contraseña+yubikey? me quiero montar algo asi porque llevo un pitostio de la hostia, pero ando muy perdido, hay alguna guia? o similar para saber por donde tirar?
#47 la duda es si tengo que enviarles algo especifico, o simplemente decirles que me borren la cuenta, porque lo que hice es decirles si me podian borrar la cuenta porfavor, y algunos me contestaron y otros no, pero no se si hay algun escrito estandar rollo, me acojo al la ley tal, y blablablabla.
#50 keepassXC (pc) / KeepassDX (android) + yubi nfc
es super sencillo de configurar, en plan que incluso sin tener ni idea de nada de tecnología, en 3 minutos con youtube lo haces y aparte hay un plugin para conectar la base de passwords con el navegador y tener los login de cualquier sitio a golpe de click.
https://keepassxc.org/docs/#faq-yubikey-howto
https://keepassxc.org/docs/KeePassXC_UserGuide
https://chromewebstore.google.com/detail/keepassxc-browser/oboonakemofpalcgghocfoadofidjkkk
por aquí mucha gente recomienda también bitwarden, que puede ser otra opción. Particularmente no lo uso porque no veo el sentido de pagar por el premium ninguna cantidad o quedarte fuera del 2fa cuando keepass me lo hace todo igual y gratis.
#52 donde más barata la encuentres, hasta por wallapop. Mientras venga en su blister sellado sin problemas.
Ten en cuenta que necesitas 2 keys eso sí, la que lleves encima y la de backup. Planifica en ese sentido sobre si igual quieres una usb tipo C y una A, o dos C, o si quieres ambas NFC o demás.
lo normal es pillar dos tipo C nfc y si necesitas en PC en un A, le pones un cable A-C para además tener la yubi conectada al lado del teclado y au. El USB A está muerto en portátiles o móviles con lo que suele restar movilidad, pero eso ya cada uno.
#50isnotavail:, hay alguna guia?
se me había olvidado también que hay un hilo específico del tema en mv
https://www.mediavida.com/foro/hard-soft/keepass-y-buenas-practicas-622825
#50 Lo que puedes decir es que, siguiendo las instrucciones de la Agencia Española de Protección de Datos, y para que sirva este correo como notificación oficial, solicitas el completo borrado de tu cuenta y de toda la información que tengan sobre ti.
Yo por lo menos suelo escribir algo así. No conozco ningún escrito que suene más legalista, pero al final mencionando a la AEPD ya saben que aunque sea eres mínimamente conocedor de tus derechos y ven que lo puedes escalar a un organismo oficial. La misma AEPD te dice que no puede tramitar nada si no tienes una prueba de que has solicitado ejercer tus derechos ARCO y les has dado un mínimo de 1 mes para responderte (si no recuerdo mal ese era el plazo). Si tienes esos correos de prueba y ha pasado más de un mes ya puedes escalarlo a la AEPD.
De todos modos es habitual que tarden bastante en contestarte.
Por otra parte, al igual que @Cryoned yo también uso KeePassXC + Yubikey. También tengo Yubikeys extra como copia de seguridad por si se me rompe la habitual, de todos modos, y esto quizás @Cryoned lo pueda confirmar, diría que puedes hacer una copia de seguridad del token que genera Yubikey y, en caso de que se te rompa o pierda la Yubikey, usar ese token (suele ser un código de ¿40? caracteres alfanumérico) -y que debes haber guardado previamente- para comprarte otra Yubikey y poner ese código en la nueva, lo que te permitiría usarla también sin tener que comprarte 2 o más de primeras.
#56 Puedes clonar el slot 2 HMAC-SHA1 challenge response / OATH-TOPT de la yubi de una a otra, la secret-key vamos, pero la yubi en sí no puede ser clonada. Por ejemplo si la usas de 2FA para google o sistemas apple o demás, tienes 2 y si pierdes una, no puedes clonar esa, tienes que usar la yubi 2, borrar la autenticación 1 y crear otra en una nueva yubi.
Es decir, podrías crear un backup como tal guardando la secret-key para keepass, pero no puedes clonar una yubi perdida de la segunda yubi para recuperar la primera para esos servicios porque son distintas y una vez se ha escrito esa información, no puede leerse.
https://support.yubico.com/hc/en-us/articles/360016614880-Can-I-duplicate-or-clone-a-YubiKey
#45 pues yo tengo la passkey de paypal configurada y guardada en bitwarden, lo único es que la configuración la hice desde iOS, creo que ya ahí depende de si han metido soporte para passkeys en bitwarden android.
