KeePass y buenas prácticas

JuGuLaToR

Pues algo estarán haciendo entonces. Al menos ahora se que no es problema mío xD

B

#718 Lo mismo en Android, Windows y web

R4ven

A mi con huella y pw me logea sin problema en android y windows

JuGuLaToR

Ya lo han arreglado. Vuelve a funcionar sin problema.

20 días después
Daidum

Aviso a navegantes.

https://www.bleepingcomputer.com/news/security/lastpass-users-warned-their-master-passwords-are-compromised/

Gente que useis lastpass, cambiad la master.

1 respuesta
nV8x

#725 3a o 4a vez que los hackean ya? Éstos no aprenden

1 mes después
bLaKnI

Hello!
¿Que recomendáis para simplemente tener un repositorio ordenado por temáticas?
No necesito que me loguee ni nada. Algo con 2FA en donde pueda ir apuntando passwords y ya… básico.

2 respuestas
AikonCWD

#727 keepass o bitwarden. keepass es local y tienes que salvaguardar el fichero maestro.

bitwarden en la nube

1
B

#727 Yo uso vaultwarden como servidor y bitwarden de cliente... Pero no es una tarea trivial tener el servidor corriendo con certficado. Tengo realizada una documentacion sencilla para montarlo en raspberrypi si te interesa el asunto.

1 1 respuesta
bLaKnI

Pero no hay un sitio web tipo LastPass? Un sitio en el que entres con un password maestro y 2FA en el movil y ya?
Te metes dentro, buscar tu password y ya?
Nada de cliente y servidor o historias locales, etc…

2 respuestas
AikonCWD

#730 bitwarden

3 1 respuesta
B

#730 bitwarden lo puedes usar mediante la infraestructura ofrecida desde los desarrolladores de bitwarden https://bitwarden.com o montartelo tú en un servidor casero https://bitwarden.com/open-source/

Al ser open-source pues salen implementaciones en otros lenguajes como vaultwarden https://github.com/dani-garcia/vaultwarden (Desde Asturias para el mundo jeje)

Por cliente me refiero a usar las aplicaciones de móvil, escritorio, navegador... para consultar tus contraseñas.

Resumiendo, lo que pides lo encuentras desde: https://vault.bitwarden.com/#/register (La versión personal gratuita)
Si quieres consultar otros planes: https://bitwarden.com/pricing/

2 1 respuesta
bLaKnI

#731 #732 Gracias a ambos.
Mirare entonces un free plan de Bitwarden. Al final lo unico que quiero es tener un sitio en el que apuntar pwds de distintos entornos y consultarlos a voluntad. Sin mucho mas.

1 1 respuesta
AikonCWD

#733 pues te va a servir para eso. ya lo verás

instala el cliente en tu movil y la extension en tu chrome o firefox

2
B

#729 Yo llevo unos meses utilizando vaultwarden y más de una vez me he planteado volver a la forma oficial, más que nada porque es mucho menos probable que los servidores de ellos peten a que pete el mío y tengo backups igualmente pero siempre queda ahí la cosa.

1 respuesta
B

#735 si... todas las opciones tienen sus riegos. Y gastas mas (electricidad + internet) en casero que dejandote 10 euros al año.
Yo personalmente lo tengo en la rpi por que me gusta trastear con wstas cosas y tengo mas servicios que vaultwarden. Al menos lo tengo en raid 1 y si me peta un disco tengo otro. Por temas de hackeos y tal tengo cero preocupacion (porque lo tengo todo lo controlado que se puede).

1 respuesta
B

#736 Claro, yo también lo tengo en mi NAS con más servicios y lo mismo digo, es bastante improbable que me entren al servidor por lo que lo único que me llega a preocupar es que le pase algo a los discos y/o la cague yo con el software.

5 meses después
zazgan

La he liado pardisima.

Ayer me pille una borrachera como un piano y perdí el móvil.

Tenia el authy y bitwarden y por lo menos el código de atuhy no lo guarde...

Lo bueno es que tengo el bitwarden en el PC y tengo acesso a mails y demás, pero en cuanto me pida algo meter el código de authy debería estar fucked. ¿verdad?

1 respuesta
Daidum

#738 Tenías hecho el respaldo de los token en Authy (con una *master password)?, si es sí, la cuenta de authy la recuperas por el nº de movil y los token por el respaldo.

1 1 respuesta
zazgan

#739 Pues diría que no (fallo gordo por mi parte) creo que instale el authy y ya.

¿Es eso que a veces al abrir te sale? En plan que te pide que pongas un código? Edit: vale debe de ser la master pass esa... osea fuuuuuucked.

Aparte de authy tenía la de Microsoft con los mails, en la de autht tenia paypal, amazon y algun mail creo.

Pudiendo entrar en mails y demás puedo desvincular authy? O te pide entrar en authy al desvincular.

Doble edit: es que creo que ni de authy ni otros como el de MS tengo los codigos la master key esa, de bitwarden la tengo apuntada en alguna libreta.

Vaya liada.... Supongo que si me pongo en contacto con ya sea el soporte de los mails y demas dando mis datos / foto copia DNI se podría recuperar supongo...

Otro edit XD : Lo buerno es que de muchas cosas se puede recuperar con un SMS al telefono, ahora a la tarde iré hacer un duplicado y hasta pasadas 24h no se activa pero bueno.

3 respuestas
Daidum

#740 Para este tipo de cosas es importante tener o bien, habilitado el multi-device y tener el authy en otro dispositivo (yo lo tengo en el móvil y en el pc) o tener el respaldo de los token habilitado. (o los 2 xd).

Si tienes acceso al bitwarden no estás muy fucked entonces..

1 respuesta
Yekale7

#740 Exporta las claves de bitwarden. Authy no te va a dar acceso a nada, si no has hecho las medidas preventivas... olvídate....

1 1 respuesta
B

#740 y no tienes los codigos de recuperación 2fa que te dan cuando activas el 2fa en las cuentas/webs? Normalmente cuando activas el 2fa te suelen dar uno o varios códigos de reespaldo para esa cuenta en concreto

1 respuesta
zazgan

#741 Pues sí, precavido un poco pero no mucho. -.- supongo que aprenderé de esta vez.

Dentro de lo malo es que tengo TODAS las pass en bitwarden, lo malo por ej al entrar ahora en gmail me pide verificación ya sea código o mandando un SMS a mi número y como digo hasta mañana a esta hora no tendré la sim activada.

#742 No se cuantas cosas me pedirá entrar con authy, PAYPAL diría que 100% al menos la última vez tuve que entrar usándolo creo, si puedo entrar con un SMS habría forma de desvincular authy / google /MS authenticator?

#743 Pues diría que solo el de Bitwarden.

Lo "bueno" creo es que tengo la verificación en la mayoría de cosas tanto por SMS como por aplis de auth

Si me dices que puedo desvincular todo al poder entrar por SMS me vale...

1 respuesta
B

#744 pues yo aparte de lo que tenga o no en bitwarden tengo códigos de recuperación para cada cuenta en la que tenga activada el 2FA. Es algo bastante normal que te den los códigos al activarlo, otra cosa es que te los apuntaras xD

Ahora ya sabes, backup de lo que tengas siempre que puedas. Te guardas todos los códigos de recuperación de todas las cuentas en una carpeta, la encryptas con cryptomator o veracrypt y haces varias copias de seguridad. Física en un pendrive y otra en la nube en cualquier plataforma.
Sino siempre puedes tirar por la vieja confiable y apuntarlos en un papel.

1 1 respuesta
zazgan
#745_Morrigan:

pues yo aparte de lo que tenga o no en bitwarden tengo códigos de recuperación para cada cuenta en la que tenga activada el 2FA. Es algo bastante normal que te den los códigos al activarlo, otra cosa es que te los apuntaras xD

Es que eso es lo normal pero yo como soy un poco dejado... Pues tendré que mirar, se que de bitwarden si que lo tengo un pen en un cajón que no lo uso nunca pero el resto nanai.

#745_Morrigan:

Ahora ya sabes, backup de lo que tengas siempre que puedas. Te guardas todos los códigos de recuperación de todas las cuentas en una carpeta, la encryptas con cryptomator o veracrypt y haces varias copias de seguridad. Física en un pendrive y otra en la nube en cualquier plataforma.
Sino siempre puedes tirar por la vieja confiable y apuntarlos en un papel.

Libreta, sin ninguna duda lo mejor, cajón y libreta y te olvidas de si pierdes / se jode PEN.

Lo que dije antes ¿Si puedo entrar con la verificación via SMS podré desvincular authy o otras aplis parecidas?

El móvil lo tenía bloqueado con patrón / huella. ¿Debería preocuparme por cambiar TODO? Sin patrón solo pueden acceder al TLF por USB a archivos / fotos no? Lo cual me la pela.

De todas maneras mañana cuando tenga la SIM activada cambiaré todo.

1 2 respuestas
Daidum

#746 Si tienes acceso al correo donde tienes vinculados los 2fa o con sms no deberías tener mucho problema para desactivarlo. El móvil si puedes borrar el contenido en remoto, mejor (tanto android como iphone tienen esa función). El que lo encuentre nunca sabes hasta donde puede llegar.

2 1 respuesta
B

#746 una vez estés logeado no creo que tengas fallo en eliminarlos. Y si algun sitio te pide verificacion por 2nda vez imagino que te dejará verificar por SMS.

Al final es un coñazo y una pereza tener bien montado todo y al día, cuando te pones a hacerlo lleva su tiempo, pero es mejor perder una tarde que luego estar rompiendote la cabeza con problemas si pasa algo como te ha pasado a ti por desgracia.
Y authy/googleauth aún son relativamente cómodos porque tienen backup de los códigos en la nube automático, como uses otra app de 2FA como Aegis tienes que hacerlo tú manualmente o tener el backup automático en algun sitio de 3eros.

1 1 respuesta
zazgan
#747Daidum:

Si tienes acceso al correo donde tienes vinculados los 2fa o con sms no deberías tener mucho problema para desactivarlo.

Tengo acceso a todos los mails o al menos a los mas importantes ya que los tengo vinculados a la apli de windows de los correos (Aun que debería usar otra quizas mejor) aparte de que todos están con mi TLF.

#747Daidum:

El móvil si puedes borrar el contenido en remoto, mejor

El hijo de puta que lo encontró lo apagó si no se conecta estoy fucked en ese sentido.

#748_Morrigan:

una vez estés logeado no creo que tengas fallo en eliminarlos. Y si algun sitio te pide verificacion por 2nda vez imagino que te dejará verificar por SMS.

Pues lo dicho, im good ya que tengo TODO con vericación con SMS / authy

#748_Morrigan:

Al final es un coñazo y una pereza tener bien montado y al día, cuando te pones a hacerlo lleva su tiempo, pero es mejor perder una tarde que luego estar rompiendote la cabeza con problemas si pasa algo como te ha pasado a ti por desgracia.

Pues sí y dentro de lo malo soy algo precavido peor sería no tener nada XD

A partir de hoy instalo todo y todo apuntado a libreta y authy y demás instalado en un móvil viejo en un cajón.

#748_Morrigan:

Y authy/googleauth aún son relativamente cómodos porque tienen backup de los códigos en la nube automático, como uses otra app de 2FA como Aegis tienes que hacerlo tú manualmente o tener el backup automático en algun sitio de 3eros.

Na solo authy google auth y el de MS, despues cuando vuelva d hacer el duplicado miraré a ver si por suerte tengo apuntado / pen en algún lado.

Me va librar gracias a tener todo con el número de tlf también.

1
26 días después
nV8x

https://www.muylinux.com/2022/09/07/bitwarden-inversion-100-mdd/

7 2 respuestas