Gestion de contraseñas, servicios de pago o softwares

[kertsz]

Buf!, pues el problema era mas grande de lo que parecía.

Tenía la clave que usaba para lo que no es PayPal o cosas de dinero y mails (alguna cosa mas), pero si para todo lo demás... metida en la cuenta de FireFox.

Vamos ahí a pelo que me revientan esa en cualquier sitio (que la tenía metida en todos lados)... y tenían acceso a todo lo demás de forma fácil, no tenia ni 2 pasos ni comprobación por mail ni nada... que desastre jaja

Me ha llevado dos días, pero ya he generado una contraseña para cada sitio. La verdad que la implementación del navegador FireFox no es mala del todo, no ha sido muy complicado. Y con el mismo FireFox en Android también me vale para el móvil, que es algo importante.

Si que eche en falta, lo que tu dices Burt, que permitiese algo mas complejo o alguna opción mas a la hora de crear las contraseñas... pero bueno el asunto era no tener en todas la misma que era muy descarado (lo de tener la misma en la cuenta de FireFox ya es de traca).

Otra cosa que me pasa que no le encontré solución, mas que crear una contraseña tradicional segura y que no se me olvide, que la tenga apuntada en papel (aunque la tengo repe en varios sitios, por eso lo comento ya que no me gusta y a ver si hay otra solución).
Y son esas contraseñas de cuentas que me tengo que loguear sin ser en el navegador o desde el movil... por ejemplo el Discord, o Steam.

En esos casos no me interesa tener una contraseña muy compleja o aleatoria, por comodidad a la hora de introducirla... si le meto la que genera el navegador no me voy acordar.

Hice bien en mirarlo, tenía un agujero ahí bueno.

Burt el 1password que lo usas con Chrome?, vale para FireFox?, igual le echo un ojo... por que algo que creo haber detectado es que el FireFox solo genera una contraseña por sitio, y en el caso de que tenga que cambiar la contraseña no se como generara una nueva (esto todavía dudo que sea así).
De todos modos ese 1password te permite elegir la longitud y si lleva caracteres especiales, le voy echar un vistazo si.

EDITO:
Vale Burt, pero esto sustituiría completamente al gestor de FireFox ¿no es así?, no es solo una extensión para generar contraseñas.

[UltimaNeurona]

Muy buen hilo de debate compañeros. Como todos vosotros, me tomo muy en serio la seguridad informatica en general y opino que es muy importante que tomemos consciencia de ello.

Mi opinion personal, es que debemos dedicar tiempo a gestionar todos aquellos aspectos relacionados con la seguridad sobre los que podamos intervenir. La seguridad 100% no existe, siempre estamos expuestos, pero de esta manera podremos evitar o en gran medida mitigar mucho de los problemas.

Creo que hoy en día el gran caballo de batalla es el maldito phising y el malware, ambos en todas sus variantes. Los virus como los conociamos hace 20 años han desaparecido. Ahora todo esta enfocado a engañar al usuario via mail, sms, llamadas, webs fraudulentas, recopilar datos de usuario/personales, suplantaciones, ejecutables que te encriptan todos los discos o la red informatica o que convierten a tu equipo en un zombie.

Todo esto, a mi parecer, es casi que más importante a que nos puedan entrar a algun servicio independiente si se filtra una contraseña (importante por ello que cada sitio tenga una diferente).
Sin olvidar los password que como bien habeis expuesto, deberian ser de calidad, estar alamacenados en un lugar seguro y ser unicos en cada sitio.

Casi que me atreveria a decir que con las recomendaciones basicas de controlar el phising, descargas, passwords y mucho sentido comun, ya hay un gran camino hecho y estamos bastante seguros.


Las recomendaciones generales que me gusta adoptar sobre lo que podemos controlar nosotros tanto en lo que concierne a la seguridad offline como online:

-Primeramente aplicar cifrado a nivel de dispositivo de bloque: Con bitlocker para windows o dm-crypt cryptsetup en linux podemos aplicar cifrado a nivel de discos/particiones de sistema, discos de datos, medios externos, etc. Esto significa que si el dispositivo no se monta de forma adecuada, todo el contenido del mismosera una gran cantidad de datos aleatorios, sin forma de determinar el sistema de archivos ni los datos que contiene.
Para mejorar mas este punto del cifrado a nivel de bloque tambien podemos ayudarnos agregando a la ecuacion el uso de tpm.
Todo esto es especialmente interesante en el caso de robo de dispositivos portatiles, si entran en casa y se llevan las torres, medios externos, si inician nuestros equipos con sistema live,etc. Por nuestro lado podemos dormir tranquilos.

-Adicionalmente a lo anterior tambien me gusta aplicar sobre ciertos archivos y directorios cifrado a nivel de sistema de archivos. En Windows podemos utilizar de forma nativa efs atraves de certificado. Este certificado sirve para instalarlo en sitios de confianza y leer los datos (tras abrir el medio protegido con bitlocker). En linux fscrypt.

-Aplicar actualizaciones de seguridad, uso de firewall.
-Politica de backups 3,2,1.

-No almacenar credenciales de acceso en navegadores de forma local/cookies ni en servicios online.
-Las credenciales en un container cifrado. Si utilizamos software de terceros, como bien indicais, que sea algo auditado por la comunidad tipo keepass. A mi personalmente me gusta utilizar en linux un contenedor dm-crypt y generar las contraseñas con /dev/random de forma aleatoria.

-Respecto a las contraseñas: Robustas, diferentes en cada sitio, utilizar 2FA siempre que se pueda via generador de codigos en vez de sms.
-No al autologueo.
-No guardar formularios con datos personales.
-No guardar medios de pago. En las paginas en las que al final hay que agregar un metodo de pago, que sea virtual/paypal.
-Forzar https, dns sobre https o sobre tls, dnssec.

Estos puntos anteriores se pueden configurar en los navegadores. Que no guarden ni pidan guardar todos estos datos, asi como eliminarlos si los has guardado previamente, https, doh, etc. Configurar tambien que al cierre del navegador se eliminen las cookies por si hay inicios de sesion abiertos.

-Tratar archivos de forma aislada previamente:

-Podemos tener un par de equipos, uno "oficial" y otro de "cacharreo". Como esto no siempre es viable a mi me gusta utilizar mucho funciones como:

+Con windows version pro utilizo espacio aislado sandbox como sistema virtualizado. Esto permite probar tus aplicaciones sin que afecten al sistema anfitrión.
Tambien existe la posibilidad con win10/11 de utilizar proteccion de aplicaciones/navegacion aislada como contenedor. Si no tienes ninguna de estas caracteristicas podemos tener una maquina virtual.

+En linux dockerizar servicios o usar linux containers (lxc/lxd) que nos permiten tener un sistema levantado en segundos aislado del host. O lo que a mi me gusta más que es dockerizar dentro de lxd haciendo nesting.

-No registrarse en 200 sitios exponiendo tus datos. Al principio del hilo comentaba que deberiamos gestionar todo aquello sobre lo que podamos intervenir, pero por desgracia, hay aspectos que van mas allá como pueden ser la explotación de vulnerabiliadedes de servicios de terceros que originan filtrado de datos de todo tipo dando lugar a suplantaciones, robo de credenciales, banca, etc.
Los problemas muchas veces llegan porque X o Y sitio ha sido atacado. Como indicaba Tuelas, yo tambien huyo de sitios en la nube, gestores online, etc. Como se ha comentado en el hilo no estan exentos de problemas.

Gestionar una gran numero de contraseñas puede resultar engorroso para la mayor parte de los usuarios ya que no tienen o pueden dedicar tiempo a todo este sistema o simplente no quieran usar esta via.
Esta claro que en todos estos casos lo mejor es utilizar un gestor aunque no sea local, por supuesto.

Aunque hemos visto recientemente problemas con lastpass o bitwarden. En el caso de bitwarden no es un problema en si con el cifrado sino en un addon con el que la gente busca simplicidad y comodidad al entar a una web y loguearse automaticamente. Y aqui es donde vienen los problemas de seguridad, robo de contenedores con passphrase para el contenedor no adecuadas y los ataques de fuerza bruta.


Tambien hay soluciones dedicadas selfhost como el proyecto vaultwarden esta muy bien y poco a poco la apuesta de las grandes compañias por eliminar las contraseñas lo antes posible en favor del uso de llaves de seguridad, identificadores biometricos, generadores de doble factor, etc

Perdon por el toston y un saludo compañeros.

[Burt]

Pues ya he metido todas las web donde estoy registrado o soy consciente ello en KeepassXC (en Linux funciona sin ningún problema) con sus correspondientes user/password. En mis navegadores tenía como unos 450 inicios de sesión en diferentes lugares a lo largo de mi vida en la red xD, una barbaridad!. Muchos de estos lugares ya ni siquiera existen o pertenecen a dominios que se han vendido y ya nada tienen que ver con lo fue la web inicial o eran inicios de sesión de la misma cuenta pero unos con nick y otros mediante correo electrónico, así que los he eliminado.
Increíble la cantidad de lugares donde tenía el mismo password y en muchos casos el mismo usuario. Además, muchas de estas contraseñas eran absolutamente lamentables en cuanto a seguridad. Ahora, en cada lugar tengo un password como Dios manda y donde me lo ha permitido he activado el 2FA.
La limpieza ha sido tal que ahora mismo "solo" estoy registrado en unos 220 sitios de internet, entre tiendas, foros, cuentas de correo, etc etc...

En realidad, en muchos de estos sitos no hubíera ocurrido nada grabe si me los hubieran robado, porque son el tipo de sitios a los que nunca accedes y te registraste un día hace años y ya ni te acuerdas porque.
Ha habido webs en los que he podido dar de baja la cuenta, algo que debería ser posible hacer en todos los lugares pero lamentablemente no lo es, como aquí en N3D, por ejemplo. También he eliminado datos bancarios o de pago en todos los lugares excepto en Amazon xDD

Igualemente he instalado KeepassXC en mi smartphone Android y lo tengo sincronizado con una copia de mi base de datos en Google Drive.

Todavía no he renunciado a tener los user/password registrados en mi navegador Firefox (en Chrome los he eliminado) pero como mínimo me sirve para tener una base de datos documentada y a salvo.

Esto de cifrar los discos a nivel de bloque tengo que mirarlo. Siempre he temido que me entraran en casa y me robaran los PC o el NAS Synology y pudíeran extraer información.

Por cierto @UltimaNeurona, aunque no creo que implemente todo lo que has comentado, muy interesante todo! gracias

Un saludo.

[Burt]

Esto me parece terrorífico. Ya es perfectamente factible hackear tu smartphone o la domótica de tu casa con ultrasonidos.

Ahora pueden 'hackear' tu móvil con solo un sonido. El problema es que tú no lo vas a oír

Los ciberataques también pueden llegar a través del sonido, pero no es eso lo que debería preocuparte, sino que nunca serás capaz de escucharlos. Una investigación de profesores de Ingeniería Informática de la Universidad de Texas en San Antonio (UTSA) y la Universidad de Colorado (UCCS) han conseguido desarrollar una nueva forma de penetrar en otros dispositivos. Ha sido bautizada como NUIT (siglas en inglés de 'troyano casi inaudible por ultrasonidos') y, en esencia, consiste en reproducir ultrasonidos para dar órdenes a los asistentes de voz de Google, Apple, Amazon o Microsoft. Una vez reciben los comandos a través de sus micrófonos, queda poco que hacer.

Esto se debe a que los micrófonos de los dispositivos pueden captar y responder a las órdenes que les llegan mediante sonidos que se quedan al borde de ser ultrasonidos —en concreto, en la frecuencia que va de los 16 kHz a los 20 kHz—, algo que no consigue el oído humano. Ahora bien, ¿cómo los micrófonos de tu teléfono o altavoz inteligente pueden acabar escuchando ese sonido? Los investigadores explican que estos audios podrían ser colgados en cualquier página web o plataforma, incluyendo YouTube, a modo de anzuelos, para que alguien pique sin darse cuenta de la trampa.

[UltimaNeurona]

Esto de cifrar los discos a nivel de bloque tengo que mirarlo. Siempre he temido que me entraran en casa y me robaran los PC o el NAS Synology y pudíeran extraer información.

Por cierto @UltimaNeurona, aunque no creo que implemente todo lo que has comentado, muy interesante todo! gracias

Un saludo.

Denada compañero, me alegro de que te sirva.

Esto me parece terrorífico. Ya es perfectamente factible hackear tu smartphone o la domótica de tu casa con ultrasonidos.

Ahora pueden 'hackear' tu móvil con solo un sonido. El problema es que tú no lo vas a oír

Desde luego que las tecnicas hoy en dia cada vez son mas sofisticadas.
Son buenas noticias al fin y al cabo que se hagan este tipo de investigaciones en seguridad para protegernos cada vez mas.

En el telefono me gusta desactivar ese tipo de asistencias tipo "ey" o "oye", no me gustan nada.

[kertsz]

A mi lo que me da miedo del telefono es perderlo, con doble verificaciones, mails, paypal el banco... es que tengo todo ahi

Enviado desde mi querido Pixel 4a

[UltimaNeurona]

A mi lo que me da miedo del telefono es perderlo, con doble verificaciones, mails, paypal el banco... es que tengo todo ahi

Enviado desde mi querido Pixel 4a

Yo hago copia completa del telefono regularmente por lo que dices. Si se pierde o roban borrado completo a distancia y a otra cosa.
Como siempre, hay que tenerlo con un password fuerte y/o medidas de doble factor biometricas.

[Burt]

Yo hago copia completa del telefono regularmente por lo que dices. Si se pierde o roban borrado completo a distancia y a otra cosa.
Como siempre, hay que tenerlo con un password fuerte y/o medidas de doble factor biometricas.

El móvil, ¿como lo desbloqueáis, solo con la biométrica?, yo lo hago así y nunca he estado seguro de que sea la mejor opción.

[UltimaNeurona]

Hola Burt, pues tengo ambas cosas un codigo largo y el biometrico.

Ademas de lo anterior tengo:
- Tras X intentos fallidos de inicio de sesion que se eliminen los datos automaticamente
- Las aplicaciones que tengo instaladas que permiten que al abrirlas soliciten biometria tambien lo activo.
- Restricciones a nivel del so como por ejemplo que no se pueda entrar en ajustes a modificar cuentas agregadas, cambiar el codigo de acceso, instalar apps, eliminar apps, etc. De esta forma por ejemplo si durante un robo te obligan a meter el codigo o usar la biometria y se lo llevan desbloqueado, poco podran hacer xD.

[Burt]

Hola Burt, pues tengo ambas cosas un codigo largo y el biometrico.

Ademas de lo anterior tengo:
- Tras X intentos fallidos de inicio de sesion que se eliminen los datos automaticamente
- Las aplicaciones que tengo instaladas que permiten que al abrirlas soliciten biometria tambien lo activo.
- Restricciones a nivel del so como por ejemplo que no se pueda entrar en ajustes a modificar cuentas agregadas, cambiar el codigo de acceso, instalar apps, eliminar apps, etc. De esta forma por ejemplo si durante un robo te obligan a meter el codigo o usar la biometria y se lo llevan desbloqueado, poco podran hacer xD.

En esto pensaba, precisamente xD