KeePass y buenas prácticas

hda

Hace un mes (exactamente) leí un artículo que comparaba la seguridad de diferentes managers de contraseñas aquí y aquí.

Un gráfico interesante:


Cómo se compromete la seguridad de diferentes managers mediante Keylogging y Clipboard sniffing


@Hexan , llevo años con Keepass y estoy contento ( #1 , yo lo que hago es que tengo keepass en dropbox, luego en el movil le indico que siempre me mantenga la bbdd sincronizada, tengo keepass en el móvil también. Adicionalmente hago copias de seguridad periódicas en pinchos usb), ¿por qué recomendarías Bitwarden por encima de keepass?

En keepass puedes tener documentos integrados en la bbdd, por ejemplo yo tengo en mi bbdd mi certificado digital, ¿se puede hacer esto con bitwarden?

¿Para qué sirve Authy?

3 respuestas
eondev

#31 comodidad

1
HeXaN
#31hda:

¿por qué recomendarías Bitwarden por encima de keepass?

Comodidad, fundamentalmente.

#31hda:

¿Para qué sirve Authy?

Autenticación en dos pasos. Otra capa más de seguridad.

#31hda:

¿se puede hacer esto con bitwarden?

NPI, la verdad.

1
pakuko

¿Alguien ha probado Keeweb?

-

#30 ¿Para que un keylogger te infecte es necesário la ejecucion del mismo?

2 respuestas
HeXaN

#35 No.

AikonCWD

#35 No necesariamente, siempre pueden aprovechar alguna vulnerabilidad que permita ejecución de código local/remoto.

Paotero

Bitwarden sirve contra keyloggers que capturan también el portapapeles?

1 respuesta
AikonCWD

#38 Si le metes authy sí. El 2FA es lo único válido contra un keylogger.

1 respuesta
KaLaTa

#31 yo lo tenía como tu, pero me quité la app del móvil, ¿cómo sabes que la app no es maligna y está enviando tu .kdbx y tu master password a un servidor remoto?

1 respuesta
hda

#40 no lo he repasado, pero vamos, confío (como confío en keepass) en que sea auditado su código abierto: https://github.com/bpellin/keepassdroid

1 respuesta
P

El keepasx me come los huevos. Mi contraseña es "mernelada1234" para todo y me va todo perfecto. Ni puta idea tenéis.

2
KaLaTa

#41 el código de github no tiene por que reflejar para nada el código subido a la applestore / playstore. Me parece muy peligroso fiarte de una app así que ha hecho un random.

1 respuesta
hda

#43 hasta el momento en la rama principal son 35 autores, y el programa tiene 337 ramas.

Sobre fiarme de la apk... bueno, la enlazan directamente desde la web de keepass, cosa que me da suficiente confianza. Pero tienes razón, lo ideal sería compilarse tanto el keepass pc como el keepass android uno mismo.

B

#39 No entiendo, qué tiene que ver Authy para que un keylogger te coja la password del clipboard?

Ahora mismo podría tener un keylogger en el PC y no saberlo, a la que copie una password (queda almacenada en el clipboard) ya la pueden capturar, tenga authy o no. ¿O me equivoco?

2 respuestas
AikonCWD

#45 El keylogger te pilla las pulsaciones de teclas.

Con bitwarden o keepas no escribes ningún password, solo el masterpassword del bitwarden/keepas.
Si añades authy, da igual que capturen tu masterpassword, ya que no les servirá el token temporal de authy por mucho que te lo capturen.

1 2 respuestas
B

#46 Ah vale, pensaba que el clipboard también podían capturarlo.

1 respuesta
Cryoned

#45 Que con segunda autenticación no pueden hacer login por mucho que sepan el password ya que es dinámico y una vez usada una autenticación se desactiva inmediatamente para posteriores intentos de login pidiéndote la siguiente verificación temporal

AikonCWD

#47 Supongo que podrían, pero la idea es no usarlo. Bitwarden te rellena los passwords sin necesidad de pasar por el clipboard.
Keepass ni idea

1 respuesta
preguntitas

Pues me habéis animado a empezar a usar un gestor de contraseñas, asi que voy al lio.

Por cierto, he visto que bitwarden permite la doble autentificacion, ademas de authy, mediante la autentificacion de google. ¿Alguna pega para hacelo por google, o es mas recomendable authy?

Gracias.

1 respuesta
AikonCWD

#50 Ninguna pega, cualquier servicio de 2FA será valido

1 respuesta
B

#51 Para cambiar Authy por Google cómo se haría? no sabía que se podía hacer con google también. ¿Me ahorraría instalar una app en el móvil?

2FA en Google lo tengo activado, pero, ¿cómo lo vinculo a Bitwarden?

1 respuesta
AikonCWD

#52 Haz login en bitwarden desde la web, en ajustes tienes la opción para vincular diferentes gestores de 2FA, el de google te obliga también a tener una app en el movil, el Google Authenticator.

1 1 respuesta
B

#53 ¿Es necesaria la app? Me pone que los códigos serán enviados a mi correo electrónico.

1 respuesta
AikonCWD

#54 vaya coñazo abrir el mail para copiar y pegar el código temporal, no? Pero bueno, para gustos los colores.

1 respuesta
hda

#49 quizás estemos pensando en cosas diferntes, pero yo diría que claro que pasa por memoria. De hecho en el gráfico que he puesto en #31 se habla de Clipboard sniffin, y son totalmente susceptibles a este tipo de ataque cualesquiera programas de gestor de contraseña.

Si no recuerdo mal, para dificultar ese proceso lo que hacen es ir pasando por clipboard caracter a caracter, para que vaya a diferentes direcciones.

B

#55 Descargada.

1 respuesta
preguntitas

#57 en la web Ajustes->Verificacion dos pasos -> aplicacion de ¿autenticacion? -> gestionar

1 respuesta
B

#58 Pero no me sale Google Authenticator, solo me da la opción de recibir el código por correo electrónico.

1 respuesta
preguntitas

#59

Aplicación de autenticación
Utiliza una aplicación de autenticación (como Authy o Google Authenticator) para generar código de verificación basados en tiempo.

Por cierto, el google authenticator no manda notificacion push cuando te piden el codigo en algun servicio? authy si que lo hace? Es un rollo ir buscando la app...

1 respuesta