Otra más que le ha pasado lo mismo, pero tenía autenticación en 2 pasos y ahí se ha quedado la cosa. Cambio de password y a pastar
#208 Opino lo mismo, luego te sale una noticia que han hackeado su cloud y a tomar por culo todo. Que si, que esta cifrado y bla bla bla pero torres mas altas han caido.
Prefiero tenerlo en local con la privacidad que ello conlleva.
#212 Probablemente tu PC local sea más fácil de hackear (por fallo del usuario, básicamente) que su nube (Microsoft Azure). Por otro lado, al estar todo cifrado, sin tu clave maestra poco pueden hacer. También han superado con nota análisis de seguridad de terceras empresas: https://blog.bitwarden.com/bitwarden-completes-third-party-security-audit-c1cc81b6d33
Como extra, al ser un software libre, puedes montártelo para ti solito: https://help.bitwarden.com/article/install-on-premise/
Podrían publicar las bases de datos y nadie conseguiría desencriptarlas sin tu password maestro.
Ponte en el siguiente caso que podría ser real:
- Suponemos que te han capturado tu BD de passwords (ya sea keepas o bitwarden).
- Te instalan un keylogger en tu PC y te pillan escribiendo tu password maestro
Con keepass estarás vendido, ya que tendrán una copia de tu BD y el password para desencriptar.
Con Bitwarden estarás protegido, ya que puedes pedir validación Authy para hacer intentar desencriptar la BD con el password maestro.
#215 El mismo nivel de ataque contra un PC concreto que contra un cloud de un gigante VS el mismo numero de recompensa, las pass de un user cualquier que millones de pass y datos jugosos.
Cada uno lo ve una manera.
#215 Hay veces que no sé si no te da para enterarte de verdad de las cosas o si dices esas chorradas por el personaje.
La mayoría de robos de credenciales hoy día se producen por robos de DBs de usuarios, foros, servicios, empresas, etc. y no te hablo de forolavadoras.com, se han robado DBs de Sony, Adobe, MySpace, Linkedin y otras compañías con cientos de miles/millones de usuarios, que superan vastamente todos esos ataques a PCs concretos que comentas.
Que los ataques a equipos de usuario existen, obviamente, igual que el phising y demás, pero a nivel de obtener credenciales, resulta mucho menos productivo invertir 1000 horas en acceder a 100 PCs que 1000 horas en acceder a una DB con 300K usuarios.
por cierto, por si alguien quiere curiosear el mundillo de los leaks:
uno de los blackmarkets para comprar bds: https://raidforums.com/Thread-Database-Trading-Buying-Selling
bds gratuitas: https://hashes.org
Y en caso de utilizar pass autogeneradas en pcs ajenos ? Toca esta instalando la aplicacion o accediendo a la pagina para cada acceso no ?
#219 Esto de acuerdo contigo. Pero en el caso de bitwarden (o cualquier compañía que implemente bien la protección de sus BDs) es diferente. Esos leaks de compañías famosas se producen siempre, el tema es que dichas compañías no almacenen los password en texto plano o con un encriptado reversible.
Ahora mismo se podría producir un leak de bitwarden, publicar todas las BDs y nadie podría revertir ninguna de ellas sin el password maestro de cada una de ellas. Además que si alguien tiene un password débil en su BD, no serviría para desencriptar las del resto.
Leaks van a suceder, lo importante es que la BD no se pueda revertir y ya.
Chavales, por que no hacemos un hilo de seguridad en contraseña a ver si llegamos todos a la mejor conclusión?
#224 No existe una mejor manera. Si no, sería la que todo el mundo usase. Sopesa pros y contras y elige la que más se adapte a ti.
#223 Sí, si no hablo de Bitwarden concretamente, el problema es que en 2019 seguimos viendo leaks de DB con las pw en plano. Y a esto hay que sumar los nuevos usos que se están dando, tu estarás al tanto también de las campañas de spam de "Buenas te he juanqueado, tu email es este y tu pw esta otra, te he grabao' en el PC zurrándote la sardina, entregame 100 rupias en esta cuenta de BTC o se lo paso a tus contactos".
Obviamente es scam, ni te han grabado ni nada, pero simplemente por recibir en tu correo un mail así con una pw que realmente has usado en algún momento a la gente sin conocimientos se le ponen de corbata, todas las semanas desde hace unos meses recibo algún email de alguna compañía que nos escriben asustados incluso indicándonos que si les podemos ayudar a hacer el pago porque "afectaría mucho a la imagen de la compañía y prefieren pagar y no andarse con líos".
En cualquier caso, parece que poco a poco las grandes/medianas empresas con los últimos escándalos y el tema de los ransom se están poniendo más las pilas en seguridad últimamente.
Los que tenéis bitwarden os habéis descargado la aplicación de escritorio o es una simple extensión de chrome por ejemplo?
#228 Gracias voy a ponerme manos a la obra por que últimamente me salta el aviso también en mi caso no de twitch pero si de PSN aunque ya no tengo la ps3 en cuestión, supongo que será por el email que está pwned gracias a HLTV.org
#217 Y cómo se hace exactamente para pedir validación Authy para desencriptar la BD con el password maestro? Ahora mismo el Authy me lo pide solamente para cuando logeo en la web de Bitwarden, en la extensión o app de escritorio no me pide Authy nunca.
#231 Imagino que cuando te has logueado en la extensión, le has dado a recordar, por eso no te pide authy de nuevo
Mecagoenlaostia, me ha saltado aviso de Twitch de que han entrado en mi cuenta desde "Cambodia".
No recuerdo si tenía medios de pago pero ahora ya no.
Estoy hasta los huevoxxxx
La semana pasada EA.
Esta semana twitchtv
Hace 10 años tuve que borrar todo un mail por este motivo.
Me entraron hace 2 años en mi cuenta principal de mail.
Como atajo este problema tios... empiezo a estar muy preocupado.
Reset de todo y nuevas passwords?
#234 tirate unas horas recopilando todas las webs importantes, con posibles datos de riesgo, y renueva el password, cada web un password unico y complejo.
y a cada web que te registres igual.
#235 Y quién se acuerda de tanta pass. Ahora mismo las tengo en la acc del navegador... He empezado a crear passwords con un patrón pero es que llegan las webs con una mayuscula un numero 8 cracteres y uno de ellos especiales y me hacen el lío.
En fin, menos quejarme y a la faena, que ya es hora.