KeePass y buenas prácticas

FMartinez

#240

Las paginas suelen tener limites, usa una de 20 caracteres mas o menos, eso si, usando numeros, mayusculas, simbolos, etc.

aLeX

#239 Me estás dando la razón. Un segundo factor es una capa extra de seguridad. Almacenar las claves y las semillas en el mismo sitio es literalmente diluir esa segunda capa de seguridad. Estás poniendo todos los huevos en la cesta de Bitwarden.

Lo inteligente es tener tus contraseñas por un lado y las semillas por otro. Como es algo a lo que previsiblemente no tendrás que recurrir con frecuencia, puedes almacenarlas perfectamente en un fichero de Keepass dentro de un pendrive (o en dos). Y si no eres paranoico, en un Dropbox, Gdrive o similar.

Y por otro lado, Authy como segundo factor de Bitwarden puede ser un peligro. No se si has activado el multidispositivo en Authy y tienes un segundo móvil/pc con ello instalado. Pero si no es así, prepárate para el proceso de recuperación de cuenta como un día te casque el móvil o lo pierdas. Te adelanto que 24 horas mínimo para recuperarla, y eso si les facilitas sufiente info para que validen que la cuenta te pertenece, cosa que no siempre es así. Imagínate que necesitas una credencial y el móvil no enciende, no podrás acceder Authy y por ende a Bitwarden. Plan sin fisuras. Suerte!

Dicho esto, yo creo que el mejor ratio seguridad-usabilidad lo tiene almacenar las credenciales delicadas (banco, correo, etc) en un Keepass. Las credenciales de otras webs menos críticas, como mediavida en el gestor del propio navegador. Y ese navegador que sea Firefox, que te permite proteger las credenciales con una contraseña. El de Chrome delega la seguridad del cifrado en la api de Windows y por tanto cualquier app que lances con tu usuario podrá descrifrar el fichero de Chrome. Y siempre, en todos los servicios que lo permitan, doble factor. Ese doble factor lo puedes tener en la app que prefieras, y las semillas en otro fichero Keepass aparte. Teniendo las semillas no necesitas backup a la nube de ningun proveedor de 2FA.

2 respuestas
B

Como os gusta complicaros. Te compras un par de yubikeys, una la llevas en el llavero y la otra la guardas en tu casa. Y ya está, no necesitas guardar códigos en papelitos ni ostias.

1 respuesta
aLeX

#243 No todos los sitios soportan U2F. De hecho algunos soportan solo su app propietaria de mierda (hola battlenet!). Y la alternativa de usar yubikey + su generador de tokens es aún más engorrosa.

1 respuesta
AikonCWD

#242 No me has entendido.

Estás plantenado un escenario en el que alguien consigue entrar en mi cuenta de BW, no? Y que al tener ahí mis claves A2F en el propio BW, quedaría todo comprometido, no?

Bien, lo que te estoy diciendo es que mi cuenta de BW necesita A2F para acceder. Así que si conocen mi A2F es porque han podido entrar en mi cuenta de Authy. Y en ese momento todas mis cuentas A2F también estarían comprometidas. Tenerlo separado no añadiría ninguna capa adicional de protección


Y lo que comentas luego, creo que estás confundido en cómo funciona authy. No dependes del terminal, ni del movil, ni de que se te rompa ni se te pierda... Está vinculado a tu número de teléfono. Si eso pasa, simplemente pides un duplicado de SIM, compras un movil nuevo y re-activas tu cuenta de authy en menos de 2 minutos.

Y lo último que comentas de utilizar el gestor de credenciales de firefox o chrome.... dios no. Son vulnerables todos. Hay multitud de herramientas y malware que dumpean esa info. Está a la orden del día.

1 respuesta
Odercra

#244 Battlenet y Steam con sus mierdas, y Twitch con Authy :(

1
aLeX

#245 Por partes

#245AikonCWD:

Estás plantenado un escenario en el que alguien consigue entrar en mi cuenta de BW, no? Y que al tener ahí mis claves A2F en el propio BW, quedaría todo comprometido, no?

Es el ejemplo de cómo accediendo a un único lugar logran saltarse todos los dobles factores que tengas. Ese único punto de fallo es grave.

#245AikonCWD:

Y lo que comentas luego, creo que estás confundido en cómo funciona authy. No dependes del terminal, ni del movil, ni de que se te rompa ni se te pierda... Está vinculado a tu número de teléfono. Si eso pasa, simplemente pides un duplicado de SIM, compras un movil nuevo y re-activas tu cuenta de authy en menos de 2 minutos.

Creo que nunca has pasado por un proceso de recuperación de Authy y por ello dices eso. Es más, ni siquiera has hecho click en el link que te he pasado (y aprovecho para pasarte de nuevo) donde te explican que aun teniendo un duplicado de la SIM, si no tienes otra instalación de Authy, no puedes recuperar la cuenta sin pasar por el proceso de recuperación.

Authy por defecto no tiene habilitada la opción de multi instancia. Si ya lo instalaste en un móvil, se te rompe, e intentas instalarlo en otro móvil aún con el mismo número, Authy te peina y te manda al proceso de recuperación de cuenta. Yo lo he vivido y Authy lo dice claramente en su web.

En el momento que instales un segundo Authy e intentes enrolarlo te van a decir que ya lo tenías instalado en otro dispositivo. Si tienes multi-dispositivo, entonces te pedirán un token generado en el primero. Y si no lo tienes activo, te mandarán a recuperar tu cuenta.

#245AikonCWD:

Y lo último que comentas de utilizar el gestor de credenciales de firefox o chrome.... dios no. Son vulnerables todos. Hay multitud de herramientas y malware que dumpean esa info. Está a la orden del día.

Eso pasa con Chrome, y no necesitas ninguna herramienta. Instálate Firefox u Opera y verás como te importa las credenciales guardadas. ¿Brujería? No, simplemente Chrome usa la api de Windows para cifrar la base de datos SQLite donde guarda tus credenciales. Una llamada a la API con tu usuario y cualquier app, sea o no maliciosa, podrá leer las credenciales.

Firefox es otro cantar a día de hoy. Antaño si guardaba las credenciales salteadas con SHA-1, y eso era fácilmente reventable. Pero desde que sacaron Lockwise le han dado un repaso a su seguridad y ya no está tan lejos de otras soluciones. Eso si, hay que proteger el fichero con un master password.

Y termino diciendo que con esto me refiero a mejor ratio seguridad-usabilidad. Con esta idea en Firefox guardas las contraseñas de los foros y sitios random. Las del banco o tu correo, a un Keepass con un buen cifrado. Y ojo con dónde lo abres.

1 respuesta
AikonCWD

#247 Es que el ejemplo que pones no explica nada. Si acceden a BW es porque ya han accedido a mi Authy (ya que necesitas sí o sí el A2F para acceder). En el escenario que tú planteas, para poder comprometer mi BW han de comprometer mi Authy también. Así que no añade ninguna capa de seguridas.

#247aLeX:

Creo que nunca has pasado por un proceso de recuperación de Authy

Claro que sí, cuando me cambié de movil. Hace poquito. No tuve que hacer nada de eso que comentas. Authy comprueba el número de teléfono y no el terminal: https://authy.com/blog/how-the-authy-two-factor-backups-work/
Y lo pude comprobar hace relativamente poco, quizás cuando lo hiciste tú era más complicado, no lo sé.

1 respuesta
aLeX

#248

https://support.authy.com/hc/en-us/articles/115012672088-Restoring-Authy-Access-on-a-New-Lost-or-Inaccessible-Phone#new_noapp

Y esto ha sido así siempre

1 respuesta
Y

#242 "Teniendo las semillas no necesitas backup a la nube de ningun proveedor de 2FA."

Esto no lo entiendo, ¿me lo puedes explicar? Veo que tengo en authy la opción marcada de respaldo del autentificador y no sé muy bien qué función tiene.

1 respuesta
AikonCWD

#249 No tuve que esperar 24h, estoy casi seguro. Simplemente seguí sus instrucciones:

Habrán cambiado el protocolo? Ni idea

1 1 respuesta
HeXaN

RPV: no hay un sistema de seguridad perfecto. Elegid el mal menor y listo.

3 2 respuestas
aLeX

#250 Cuando lees un QR con Authy, Google Authenticator o whatever, lo que estás leyendo es un código alfanumérico con el que tu aplicación sabe qué Token generar en cada momento. De ahí el nombre de semilla; de ese código salen todos los demás.

Authy guarda esos códigos en sus sistemas y los cifra con tu contraseña de modo que nadie pueda acceder a ellos. Es la opción que llaman "Respaldos"

Pero no basta con tener un duplicado de tu SIM y saber tu contraseña para recuperar tu cuenta y los respaldos. Tu contraseña te la pueden robar y tu SIM duplicar. Lo que hace Authy es poner otra capa más de seguridad; por defecto sólo puedes tener su app instalada en un dispositivo. Así nadie te puede robar la cuenta de Authy porque directamente al instalar la aplicación les dirá que ya hay una instalación previa.

El problema está en que si tú mismo necesitas volver a instalar Authy (porque pierdes o rompes el móvil) tienes que pasar por un proceso para validar que tú eres el dueño de tu cuenta de Authy. Proceso que como poco tarda 24 horas. Porque durante esas 24 horas te van a mandar mails para asegurarse de que no es otro quien ha iniciado el proceso. Y te van a pedir documentación y se van a tomar su tiempo. Y esto lo se #251 porque me tocó pasarlo hace más de tres años y fue un coñazo. Además en fin de semana que me tocó.

Si usas Google Authenticator no tienes estos problemas. Si pierdes el móvil no hay proceso de recuperación porque directamente no hay backup xD Y a lo que me refería antes es que, si guardas tus semillas en un lugar seguro (como keepass) no necesitas backup a ninguna nube como la de Authy. Solo tenerlas a buen recaudo.

Para pasar un QR a texto hay mil aplicaciones, algunas online, otras para el móvil. Simplemente tened cuidado de cual usais no sea que se lo queden.

Y como dice #252 no hay ninguno perfecto. Hay que ponderar seguridad vs usabilidad.

2 1 respuesta
Y

#253 Mejor explicado imposible, muchas gracias.

B

#252 Vaya con el pato de Rivia.

espikiller

Yo uso Firefox para lo habitual sin nada comprometido, me gustaría meter en el móvil o en una aplicación (keepass) para iOS la pass de mi correo principal por ejemplo. Al final si generas contraseñas tienes que guardarlas en algún sitio.

C

Lastpass funciona a las mil maravillas y es gratis.

2 respuestas
SaKio

#257 La version gratis va bastante bien, y el interfaz es mas intuitivo para gente nueva que la mayoria

1 respuesta
Narop

#258 y las opciones de capar dispositivos, networks y países tampoco está mal... o el vault de emergencia para familia

B

#257 recuerdo haber leído que esos fueron hackeados múltiples veces

B

Yo uso LastPass pero las contraseñas uso dos o tres diferentes... Unas más complicadas que otras, pero el tema que me mosquea y por el que no uso generadores aleatorios es que si un día esa app se va al carajo, que hago? Me quedo sin todo.

No se... Y tenerlo en papel tampoco ayuda, por que esta bien, es más seguro tenerlo en casita escondido, pero si necesitas acceder a algún servicio fuera de casa? En un pc en la uni o en casa de alguien? Meh, ando rayao

1 respuesta
HeXaN

#261 Pues cada X tiempo exportas tu ficherito cifrado y listo.

1 respuesta
B

#262 esto en Last Pass donde se hace? Lo instale hace bien poco, y está tarde quería ponerme a mirar eso que habéis ido poniendo de bitwarden o eso...

1 respuesta
Y

Por cierto, ¿dónde soléis guardar los recovery codes de las autentificaciones de 2 pasos? Yo en un pendrive encriptado con veracrypt

1 1 respuesta
Odercra

#264 yo encriptado con Cryptomator en la nube y en mis dispositivos físicos

Narop

#263 La ciberseguridad response a los mismos patrones que la seguridad fisica-militar y es por tanto cuestion de tiempo que sea penetrada. Cuando se crea un blindaje especifico, es cuestion de tiempo que se desarrolle la municion con penetracion especifica.

No hay sistema perfecto, incluso Dashlane que probablemente para mi sea la mejor, suiza, 4096, etc. ha tenido problemas con alguna app o alguna extension. Informate de todas bien y decide.

Yo uso LastPass porque curre para ellos hace anos y pienso que es mejor una aplicacion que tenga una compania solvente detras (incentivo economico y tal), pero aun asi limito ciertas cosas como extensiones, autofill, devices, etc.

Ah, si lo que quieres es seguridad, activa el 2FA or el MFA de LastPass, desde tema biometrico etc y eso reduce a casi 0% las posibilidades de hackeo efectivo (en cualquier programa). Tambien hay llaves fisicas si te emparanoya todo

1 respuesta
B

#266 tengo el desbloqueo biometrico pero no se...

También te digo, la app es una apk de un sitio de confianza pero aún así jajaja ya eso ha hecho que pierda algo de valor la app.

Estoy un poco emparanoyado por que hace poco intentaron acceder a mis cuentas de Google desde Tailandia, pero no pudieron, y también recientemente a un Instagram que tenía para dibujos (ya en desuso, pero que me aviso a mi Gmail).

Por ello quiero ponerme pass generadas automáticamente y lo más jodidas posible

1 respuesta
HeXaN

LastPass ha sido penetrado varias veces. No hay motivo para usarlo teniendo BW.

2 respuestas
B

#268 ok, esto quería saber. Gracias y me cambio

LoBezNo

He estado leyendo el hilo y me parece una genialidad esto de los gestores de contraseñas ya que a día de hoy que tenemos que tener en mente tantas credenciales para tantos servicios.

Me gustaría ponerme con ello y cambiar todas mis putamierdas de contraseñas “manuales” a un gestor, y por lo que he leído la mejor opción sería Bitwarden.
Podéis recomendar algún tutorial o pap para crear un entorno bien configurado con las herramientas necesarias y hacer la migración, que esté enfocado a alguien que no tiene casi ningún conocimiento de encriptado o ciberseguridad? Es decir, para dummies xD

Mi entorno principal es Windows, para temas personales, juegos, aplicaciones… Pero para trabajar utilizo una partición con Ubuntu en la que también me gustaría poder tenerlo integrado. Y también en mi dispositivo móvil.

Entiendo que la mayor complicación sería que tuviese que logear con una de mis cuentas en un equipo externo a mi entorno, pero supongo que en ese caso podría acceder mediante la app del móvil y consultar la contraseña actual y picarla a mano.

La cosa que no me ha quedado clara es si esto también se puede utilizar para proteger contraseñas integradas en launchers tipo los de los videojuegos (steam, epic, bnet)

1 respuesta