KeePass y buenas prácticas

preguntitas

Pero el Google authentication no va con la cuenta de Google? Joder, me acabo de cagar encima.

Authy habéis dicho?

#1080 ¿a que te refieres con los códigos de acceso?

1 respuesta
preguntitas

Doble post por los nervios

1 respuesta
kassiusk1

#1082 Cuando tu añades 2FA a un servicio, este te da unos códigos de recuperación que se deben guardar. Imagina que pierdes el móvil y no tienes un backup, nunca podrás acceder a tu Bitwarden, Keepass etc.

A mayores de eso, segun comentan en la página anterior, hay servicios como Aegis, o Authy (creo que también, además ahí curra un mvdero si no me equivoco xd) que te permiten hacer bakcup, para tener un resguardo en caso de que pierdas el dispositivo que tienes configurado.

1 respuesta
Darkxenos

#1081 Nope, google funciona solo en el dispositivo que lo tienes configurado, Authy por ejemplo está vinculado a tu número de teléfono, por tanto si cambias de teléfono solo tienes que bajarte Authy y configurarlo de nuevo. Con Aegis supongo que funciona igual.

preguntitas

#1083 uff, pues me pongo a ello.¿ La opción de exportar cuentas de Google auth, pillar los qr y guardarlos, también funcionaria como backup?

1 respuesta
kassiusk1

#1085 Entiendo que con esto debería valerte, yo lo usé unos meses hace tiempo en mi empresa, pero no me acuerdo: https://passwordbits.com/how-to-back-up-the-google-authenticator-app/

1 respuesta
preguntitas

#1086 muchas gracias. Haré la copia, pero le pegaré un vistazo a aegis o al authy a ver.

Solo por curiosidad, ¿alguien sabe cómo funcionan los servicios 2fa?es decir, tu tienes por ejemplo el de Google, entras a una web y te pide el código, y metes el que te da Google, pero puedes tener perfectamente el móvil sin servicio, y la web sabe que es correcto. ¿Como se hace esa comprobación?

1 respuesta
kassiusk1

#1087 te refieres a TOTP, no? 2FA sería cualquier doble factor, como que te envíen un SMS cn un numerito o un numero al mail, o también el propio TOTP.

TOTP significa Time-based One-time Password, donde se genera un tiempo (los 30 segundos que tarda en cambiar) y una secuencia de números. Estos números los sabe la web, Bitwarden por ejemplo, y tú mirando en Authy o google Authenticator o el que toque.

edit: que me corrijan si me equivoco en algo que no soy experto, empecé con Bitwarden y Authy por este hilo xd

1 1 respuesta
preguntitas

#1088 si bueno, me refiero a eso, topt. Es que me resulta curioso su funcionamiento. Es decir, los números parecen al azar, pero no lo son ya que la web conoce el código que te está dando la app en ese momento.

Nuat

Es una mala idea tener guardadas las contraseñas de sitios comprometidos (banco, mail, etc) en un gestor de contraseñas? (Bitwarden en mi caso)

Tengo todas mis contraseñas autogeneradas con dígitos, carácteres y símbolos y obviamente es una ida de olla meterlas a mano cada vez que quiero acceder.

2 respuestas
Helzid

#1090 ni loco guardaría los datos de acceso a mi banco o a mi correo principal en la nube de Azure. Por muy open source que sea el programa o por muy auditado que esté.

Como mucho, lo haría en un gestor de contraseñas local como Keepass, y seguramente ni eso.

No seas flojo hombre, que tampoco es tan difícil memorizar dos contraseñas medianamente complicadas.

1 respuesta
FMartinez

#1091
Yo tengo algo del banco pero lo tengo como notas, y sin dar pistas sobre qué es esa passphrase.

m4a1sd

#1090 Ni se te ocurra, pendrive y fuera.

kassiusk1

Y usar otro gestor paras esas claves sin poner para lo que son? Porque yo si tengo todo en Bitwarden y me acabo de cagar vivo. Igual meto el mail principal y bancos en el de kaspersky o uno así y fuera.

1 respuesta
guillauME

#1094 No pongas algo tan sensible en un gestor…

La del banco te la aprendes.

1
nV8x

La del banco no hace falta porque los muy garrulos te la limitan a 6 caracteres... Y eso es igualmente crackeable te hackeen o no. Aunque si tienes varios bancos igual te compensa tenerlas en el password manager.

Todo lo demás, claro que sí. Para que usar un baúl si no confías en él sino?

Se han comentado muchas veces ya el tema de las security keys como 2fa, esa es la máxima protección que vas a tener. Los 2fa por app son inseguras en tanto que pueden ocurrir accidentes: si se te estropea el móvil y pierdes acceso a tu backup porque no recuerdas el passphrase para descifrarlo, o que no hayas cifrado y te lo roben, o que no siquiera hayas hecho un backup...

Solo tenéis que hacer un ejercicio mental y pensar en los accidentes que pueden ocurrir y cómo sería el proceso de recuperación a posterior tal como lo tenéis montado.

1
Desper4doS

Hasta donde yo se, Bitwarden al menos cifra todo en sus propios servidores, por lo que no se puede tener acceso a nada aunque quieran, de hecho si pierdes la masterkey estas jodido porque no se puede recuperar

1 respuesta
hda

#1097 el punto es si se exfiltan los vaults, como ha pasado con lastpass. Esta exfiltación también tiene las contraseñas cifradas. Todo será potencia de cálculo para crackerlas.

Es recomendable que además de en gestor, en sí mismas las pw de cada sitio tengan la mayor entropía que permita el sitio.

3 2 respuestas
kassiusk1

#1098 tuve que ir a l diccionario xd

Desper4doS

#1098 correctisimo, pero estamos hablando entonces que aproximadamente con la potencia de cálculo actual, una contraseña de 10 caracteres que incluye caracteres especiales ser tardaría mas de 300 años en crackear (fuerza bruta garantizada).

Que todo es relativo, y la potencia de calculo avanza a paso de gigante....

1 respuesta
Ivan69

#1100 en el robo de lastpass por ejemplo estaban sin cifrar las urls y correos. Si esta el de Trump por poner un ejemplo o una empresa top lo mismo si les merece la pena a un gobierno o grupo organizado poner esfuerzos sobrehumanos, para solo ciertos vaults dependiendo como este la tecnologia no publica el tiempo puede ser menor de lo que nos pensamos.

1 respuesta
hda

#1101 si yo tuviese esa exfiltración lo que haría sería un primer paso con Rainbow tables, hashes precomputados. Seguro que unas cuantas pw caen. Sobre todo en esas migraciones a gestor incompletas, ya sabéis, muchas veces al migrar el tedio de cambiar todas y cada una de las pw de los registros que vamos metiendo en el gestor es muy grande, así que dejas algunas sin cambiar o te dices "ya las cambiaré en otro momento". Estás pw basadas en creación típica humana, una contraseña de una palabra clave con variaciones, son ideales para rainbow tables.

2 1 respuesta
Garcia98

#1102 rainbow tables en 2023, busca en Google lo que es el salting y déjate de "exfiltaciones"

2 1 respuesta
hda

#1103 🤷‍♂️ he dicho que es lo que yo haría, que para nada controlo. Seguro que la técnica ha avanzado mucho 😊

1
Li3cht

Pues yo crearía una interfaz gráfica en Visual Basic, no sé vosotros

5
256

Yo no tengo la pass del banco en Bitwarden porque son literalmente 4 dígitos (una vergüenza) y ya me los sé de memoria. Pero sí tengo la info/pass de PayPal, y ésta está linkeada directamente al banco.

Asumiendo que roben las Vaults encryptadas de Bitwarden:

  1. Tendrían que descifrar el vault o descrifrar las contraseñas como habéis mencionado.
  2. Aun en el peor de los casos de tener esa info + contraseña, necesitarían tener acceso a los códigos 2FA.

No sé. No veo que mi cuenta de PayPal vaya a acabar comprometida en su totalidad como para que alguien tenga acceso a mi dinero. Si alguien tuviese mi login+pass y fallase el 2FA, me llegaría el email de alerta y cambiaría la info y ya está.

1 respuesta
guillauME

#1106 A mi lo que me jode por ejemplo es el 2FA con Apple que ya me jugó una pasada muy gorda. Me olvidé de la contraseña y para poder recuperarla tenía que recibir el SMS en el teléfono al cual logicamente no tenía acceso porque para entrar a leer el SMS debía poner la pass de Apple. Así que perdí absolutamente todo lo del teléfono. Menos mal que por aquel entonces tenía una copia en papel de los contactos xD porque no estaban todos en el icloud.

2 respuestas
256

#1107 yo por suerte (o desgracia según se vea o para quien) soy 100% android user, no me gusta nada iOS en general ni la abusividad de precios de sus productos. Asique en Android con Aegis estoy más que contento.

Hago backup del vault cuando añado algo importante y la guardo en una bóveda encryptada con cryptomator que luego paso a 2 USBDrives diferentes y a un servicio en la nube, junto con otras cosas.

Hace tiempo usaba Authy pero eso de tener el teléf linkeado no me gustaba nada la verdad.

Ah, y este mes supuestamente deberían de mandarme las llaves de Yubico que compré con la promo de Cloudflare. Asique usaré esas para Bitwarden, Proton, y otras cosas importantes como PayPal y derivados.

preguntitas

#1107 y poniendo la Sim en otro teléfono?

B

Yo la del banco no la tengo porque son 6 caracteres pero las del correo si que las tengo en bitwarden, teniendo 2FA, tanto de BW como del correo, no veo el problema.