Habeis empezado a usar passkeys?

KarlosWins

#29 Solo para su propio mecanismo, no para FIDO etc

Lecherito

#30 pues funciona que flipas cuando tienes un servicio que te firma un certificado con una OTP y a partir de ahi puedes hacer lo que quieras en los servicios con ello. Es increible lo bien que funciona

1 respuesta
Iwywnsb

#32 puedes contar más, porfa? Me interesa

1 respuesta
Lecherito

#33 no se exactamente los detalles al 100%, pero es algo que he usado en una empresa. Funciona en la web y por cli, por web una vez que pones tu usuario y contrase;a, pones el dedito en la yubikey y genera el OTP que el auth server valida. Con eso ya tienes acceso a absolutamente todos los servicios internos de la empresa. Ademas es super sencillo de implementar.

Y que pasa si quieres acceso a servidores o APIs? Pues tienes lo mismo, pero en cli, haces del tipo authcli, pones tu contrase;a y pones el dedito para el OTP y ten genera dos cosas, una cookie para tener acceso a las APIs, y firma tu certificado (que es valido solamente durante X horas) para que puedas entrar en los servidores.

Es lo mas comodo que he visto en mi vida, esta empresa en concreto era increible con la experiencia del developer y siempre siempre la tenia en cuenta.

1
ElJohan

No es normal la cantidad de cuentas que te creas a lo largo de tu vida, para cada web, para cada tienda para cada servicio te exigen crear una cuenta individual con sus exigencias personales...

1 1 respuesta
CaLaTa

#35 con todas las brechas que han pasado este mes me he propuesto empezar a pedir bajas y pasarme a un gestor de contraseñas.
He hecho busqueda en el mail de las palabras 'Registro/Register', 'Signup' y cosas asi que pudiesen devolver los emails de registros en servicios/web.

Me salieron unas 130 de las cuales me he podido cargar unas 60 porque no las uso o directamente desaparecieron.

Y de las que me quedan si que uso al cabo del año unas 50.

1 respuesta
NeV3rKilL

¿Una tecnología de google que controle mis logins a otros lugares haciendo que deje de crear passwords seguros en bitwarden?

Con la longevidad que le da google a la mayoría de sus proyectos sería la manera ideal para acabar perdiéndolo todo o teniendo que pasarlo todo a posteriori de nuevo a bitwarden de manera manual. No gracias.

Cuánto tardará en sumarse? https://killedbygoogle.com/

2 respuestas
Martita-

#37
Te puedes guardar los passkeys en bitwarden o 1password y loguear desde ellos, no tienes que dejar de usar tu gestor de contraseñas para usar las passkeys.

2
KarlosWins

#37 las passkeys tienen un estándar y nada que ver con Google, que solo lo acepta como método de login, igual que Apple o Microsoft https://es.m.wikipedia.org/wiki/Passkey

1 respuesta
Martita-

Lo que no entiendo de las passkeys, por ejemplo en Amazon, entro con la passkey y aun asi me pide la doble autenticacion...

isnotavail

#36 Yo he estado haciendo lo mismo, pero la mayoria ni se dignan en contestar, has mandado algun formulario especifico, o simplemente una peticion?

2 respuestas
CaLaTa

#41 si no tienen la opción de eliminar la cuenta con botoncito, pues email al soporte para que eliminen la cuenta.

1 respuesta
Drowan

#5

te haya cortado un dedo

De eso no tienes que preocuparte. Para que reconozca la huella el dedo tiene que tener pulso; si estas muerto o te lo han cortado, poco van a hacer ahí.

El tema es muy de hollywood, como cuando dicen: "amplía la imagen y limpia los píxeles" xD

Iwywnsb

#41 envía email a la persona encargada de protección de datos (suele salir su correo en la política de privacidad). Están obligados a responderte por ley, y si no lo hacen y tienes pruebas de que te has puesto en contacto con ellos puedes ir a la AEPD y abrir una reclamación.

1 respuesta
NeV3rKilL

#39 lo he mirado y apps como PayPal no aceptan otras carteras como bitwarden, solo la nativa de android de la wallet.

La misma pantomima de siempre.

1 respuesta
isnotavail

#42 #44 Las que tenian boton ya las he borrado, y en las que no he enviado email y algunas me contestaron como vsgamers y me la han borrado, pero hay otras que ni me han contestado.

La pregunta, era si hay algun tipo de formulario para rellenar y enviar para estos casos, o simplemente les envio un email al soporte diciendoles que quiero borrar la cuenta, que es lo que he estado haciendo .

1 respuesta
Iwywnsb

#46 A soporte, y si no te contestan al delegado de protección de datos (DPO). Su email y plazos que manejan para responder tiene que aparecer en la política de privacidad de la web

1 respuesta
Cryoned
#11Elinombrable:

SI saben tu password también pueden acceder a tu gestor de contraseñas y a todas las contraseñas que tengas guardadas en el dispositivo

si saben mi password no pueden acceder a nada sin robarme también físicamente mi yubikey que uso de 2FA.

Y si me van a robar físicamente la yubikey además del password, estás ya básicamente en la situación de xkcd y te da igual la protección que tengas.

Si tienes un gestor de contraseñas con el pass "patata" que te pueden romper en 2 horas y no usas un 2FA, es problema tuyo, no del sistema.

3 2 respuestas
Elinombrable

#48 Estoy contestando a #5 que plantea cosas como que puedan cortarte un dedo para obtener tu huella. Si nos ponemos en esos supuestos, te pueden robar tu yubikey o directamente secuestrar a tu familia y extorsionarte para que lo desbloquees tú mismo.

1
isnotavail

#48 que usas gestor de contraseña+yubikey? me quiero montar algo asi porque llevo un pitostio de la hostia, pero ando muy perdido, hay alguna guia? o similar para saber por donde tirar?

#47 la duda es si tengo que enviarles algo especifico, o simplemente decirles que me borren la cuenta, porque lo que hice es decirles si me podian borrar la cuenta porfavor, y algunos me contestaron y otros no, pero no se si hay algun escrito estandar rollo, me acojo al la ley tal, y blablablabla.

3 respuestas
Cryoned

#50 keepassXC (pc) / KeepassDX (android) + yubi nfc

es super sencillo de configurar, en plan que incluso sin tener ni idea de nada de tecnología, en 3 minutos con youtube lo haces y aparte hay un plugin para conectar la base de passwords con el navegador y tener los login de cualquier sitio a golpe de click.

https://keepassxc.org/docs/#faq-yubikey-howto

https://keepassxc.org/docs/KeePassXC_UserGuide

https://chromewebstore.google.com/detail/keepassxc-browser/oboonakemofpalcgghocfoadofidjkkk

por aquí mucha gente recomienda también bitwarden, que puede ser otra opción. Particularmente no lo uso porque no veo el sentido de pagar por el premium ninguna cantidad o quedarte fuera del 2fa cuando keepass me lo hace todo igual y gratis.

1 1 respuesta
isnotavail

#51 La yubi se puede comprar en amazon? o mejor en su web?

1 respuesta
Cryoned

#52 donde más barata la encuentres, hasta por wallapop. Mientras venga en su blister sellado sin problemas.

Ten en cuenta que necesitas 2 keys eso sí, la que lleves encima y la de backup. Planifica en ese sentido sobre si igual quieres una usb tipo C y una A, o dos C, o si quieres ambas NFC o demás.

lo normal es pillar dos tipo C nfc y si necesitas en PC en un A, le pones un cable A-C para además tener la yubi conectada al lado del teclado y au. El USB A está muerto en portátiles o móviles con lo que suele restar movilidad, pero eso ya cada uno.

1 1 respuesta
isnotavail

#53 mmm me lo tengo que mirar bien entonces, pero necesito algo asi.

Cryoned
#50isnotavail:

, hay alguna guia?

se me había olvidado también que hay un hilo específico del tema en mv

https://www.mediavida.com/foro/hard-soft/keepass-y-buenas-practicas-622825

1
Iwywnsb

#50 Lo que puedes decir es que, siguiendo las instrucciones de la Agencia Española de Protección de Datos, y para que sirva este correo como notificación oficial, solicitas el completo borrado de tu cuenta y de toda la información que tengan sobre ti.

Yo por lo menos suelo escribir algo así. No conozco ningún escrito que suene más legalista, pero al final mencionando a la AEPD ya saben que aunque sea eres mínimamente conocedor de tus derechos y ven que lo puedes escalar a un organismo oficial. La misma AEPD te dice que no puede tramitar nada si no tienes una prueba de que has solicitado ejercer tus derechos ARCO y les has dado un mínimo de 1 mes para responderte (si no recuerdo mal ese era el plazo). Si tienes esos correos de prueba y ha pasado más de un mes ya puedes escalarlo a la AEPD.

De todos modos es habitual que tarden bastante en contestarte.

Por otra parte, al igual que @Cryoned yo también uso KeePassXC + Yubikey. También tengo Yubikeys extra como copia de seguridad por si se me rompe la habitual, de todos modos, y esto quizás @Cryoned lo pueda confirmar, diría que puedes hacer una copia de seguridad del token que genera Yubikey y, en caso de que se te rompa o pierda la Yubikey, usar ese token (suele ser un código de ¿40? caracteres alfanumérico) -y que debes haber guardado previamente- para comprarte otra Yubikey y poner ese código en la nueva, lo que te permitiría usarla también sin tener que comprarte 2 o más de primeras.

1 1 respuesta
Cryoned

#56 Puedes clonar el slot 2 HMAC-SHA1 challenge response / OATH-TOPT de la yubi de una a otra, la secret-key vamos, pero la yubi en sí no puede ser clonada. Por ejemplo si la usas de 2FA para google o sistemas apple o demás, tienes 2 y si pierdes una, no puedes clonar esa, tienes que usar la yubi 2, borrar la autenticación 1 y crear otra en una nueva yubi.

Es decir, podrías crear un backup como tal guardando la secret-key para keepass, pero no puedes clonar una yubi perdida de la segunda yubi para recuperar la primera para esos servicios porque son distintas y una vez se ha escrito esa información, no puede leerse.

https://support.yubico.com/hc/en-us/articles/360016614880-Can-I-duplicate-or-clone-a-YubiKey

2
MacCulkin

#45 pues yo tengo la passkey de paypal configurada y guardada en bitwarden, lo único es que la configuración la hice desde iOS, creo que ya ahí depende de si han metido soporte para passkeys en bitwarden android.