Re: Gestion de contraseñas, servicios de pago o softwares
Buf!, pues el problema era mas grande de lo que parecía.
Tenía la clave que usaba para lo que no es PayPal o cosas de dinero y mails (alguna cosa mas), pero si para todo lo demás... metida en la cuenta de FireFox.
Vamos ahí a pelo que me revientan esa en cualquier sitio (que la tenía metida en todos lados)... y tenían acceso a todo lo demás de forma fácil, no tenia ni 2 pasos ni comprobación por mail ni nada... que desastre jaja
Me ha llevado dos días, pero ya he generado una contraseña para cada sitio. La verdad que la implementación del navegador FireFox no es mala del todo, no ha sido muy complicado. Y con el mismo FireFox en Android también me vale para el móvil, que es algo importante.
Si que eche en falta, lo que tu dices Burt, que permitiese algo mas complejo o alguna opción mas a la hora de crear las contraseñas... pero bueno el asunto era no tener en todas la misma que era muy descarado (lo de tener la misma en la cuenta de FireFox ya es de traca).
Otra cosa que me pasa que no le encontré solución, mas que crear una contraseña tradicional segura y que no se me olvide, que la tenga apuntada en papel (aunque la tengo repe en varios sitios, por eso lo comento ya que no me gusta y a ver si hay otra solución).
Y son esas contraseñas de cuentas que me tengo que loguear sin ser en el navegador o desde el movil... por ejemplo el Discord, o Steam.
En esos casos no me interesa tener una contraseña muy compleja o aleatoria, por comodidad a la hora de introducirla... si le meto la que genera el navegador no me voy acordar.
Hice bien en mirarlo, tenía un agujero ahí bueno.
Burt el 1password que lo usas con Chrome?, vale para FireFox?, igual le echo un ojo... por que algo que creo haber detectado es que el FireFox solo genera una contraseña por sitio, y en el caso de que tenga que cambiar la contraseña no se como generara una nueva (esto todavía dudo que sea así).
De todos modos ese 1password te permite elegir la longitud y si lleva caracteres especiales, le voy echar un vistazo si.
EDITO:
Vale Burt, pero esto sustituiría completamente al gestor de FireFox ¿no es así?, no es solo una extensión para generar contraseñas.
Re: Gestion de contraseñas, servicios de pago o softwares
Muy buen hilo de debate compañeros. Como todos vosotros, me tomo muy en serio la seguridad informatica en general y opino que es muy importante que tomemos consciencia de ello.
Mi opinion personal, es que debemos dedicar tiempo a gestionar todos aquellos aspectos relacionados con la seguridad sobre los que podamos intervenir. La seguridad 100% no existe, siempre estamos expuestos, pero de esta manera podremos evitar o en gran medida mitigar mucho de los problemas.
Creo que hoy en día el gran caballo de batalla es el maldito phising y el malware, ambos en todas sus variantes. Los virus como los conociamos hace 20 años han desaparecido. Ahora todo esta enfocado a engañar al usuario via mail, sms, llamadas, webs fraudulentas, recopilar datos de usuario/personales, suplantaciones, ejecutables que te encriptan todos los discos o la red informatica o que convierten a tu equipo en un zombie.
Todo esto, a mi parecer, es casi que más importante a que nos puedan entrar a algun servicio independiente si se filtra una contraseña (importante por ello que cada sitio tenga una diferente).
Sin olvidar los password que como bien habeis expuesto, deberian ser de calidad, estar alamacenados en un lugar seguro y ser unicos en cada sitio.
Casi que me atreveria a decir que con las recomendaciones basicas de controlar el phising, descargas, passwords y mucho sentido comun, ya hay un gran camino hecho y estamos bastante seguros.
Las recomendaciones generales que me gusta adoptar sobre lo que podemos controlar nosotros tanto en lo que concierne a la seguridad offline como online:
-Primeramente aplicar cifrado a nivel de dispositivo de bloque: Con bitlocker para windows o dm-crypt cryptsetup en linux podemos aplicar cifrado a nivel de discos/particiones de sistema, discos de datos, medios externos, etc. Esto significa que si el dispositivo no se monta de forma adecuada, todo el contenido del mismosera una gran cantidad de datos aleatorios, sin forma de determinar el sistema de archivos ni los datos que contiene.
Para mejorar mas este punto del cifrado a nivel de bloque tambien podemos ayudarnos agregando a la ecuacion el uso de tpm.
Todo esto es especialmente interesante en el caso de robo de dispositivos portatiles, si entran en casa y se llevan las torres, medios externos, si inician nuestros equipos con sistema live,etc. Por nuestro lado podemos dormir tranquilos.
-Adicionalmente a lo anterior tambien me gusta aplicar sobre ciertos archivos y directorios cifrado a nivel de sistema de archivos. En Windows podemos utilizar de forma nativa efs atraves de certificado. Este certificado sirve para instalarlo en sitios de confianza y leer los datos (tras abrir el medio protegido con bitlocker). En linux fscrypt.
-Aplicar actualizaciones de seguridad, uso de firewall.
-Politica de backups 3,2,1.
-No almacenar credenciales de acceso en navegadores de forma local/cookies ni en servicios online.
-Las credenciales en un container cifrado. Si utilizamos software de terceros, como bien indicais, que sea algo auditado por la comunidad tipo keepass. A mi personalmente me gusta utilizar en linux un contenedor dm-crypt y generar las contraseñas con /dev/random de forma aleatoria.
-Respecto a las contraseñas: Robustas, diferentes en cada sitio, utilizar 2FA siempre que se pueda via generador de codigos en vez de sms.
-No al autologueo.
-No guardar formularios con datos personales.
-No guardar medios de pago. En las paginas en las que al final hay que agregar un metodo de pago, que sea virtual/paypal.
-Forzar https, dns sobre https o sobre tls, dnssec.
Estos puntos anteriores se pueden configurar en los navegadores. Que no guarden ni pidan guardar todos estos datos, asi como eliminarlos si los has guardado previamente, https, doh, etc. Configurar tambien que al cierre del navegador se eliminen las cookies por si hay inicios de sesion abiertos.
-Tratar archivos de forma aislada previamente:
-Podemos tener un par de equipos, uno "oficial" y otro de "cacharreo". Como esto no siempre es viable a mi me gusta utilizar mucho funciones como:
+Con windows version pro utilizo espacio aislado sandbox como sistema virtualizado. Esto permite probar tus aplicaciones sin que afecten al sistema anfitrión.
Tambien existe la posibilidad con win10/11 de utilizar proteccion de aplicaciones/navegacion aislada como contenedor. Si no tienes ninguna de estas caracteristicas podemos tener una maquina virtual.
+En linux dockerizar servicios o usar linux containers (lxc/lxd) que nos permiten tener un sistema levantado en segundos aislado del host. O lo que a mi me gusta más que es dockerizar dentro de lxd haciendo nesting.
-No registrarse en 200 sitios exponiendo tus datos. Al principio del hilo comentaba que deberiamos gestionar todo aquello sobre lo que podamos intervenir, pero por desgracia, hay aspectos que van mas allá como pueden ser la explotación de vulnerabiliadedes de servicios de terceros que originan filtrado de datos de todo tipo dando lugar a suplantaciones, robo de credenciales, banca, etc.
Los problemas muchas veces llegan porque X o Y sitio ha sido atacado. Como indicaba Tuelas, yo tambien huyo de sitios en la nube, gestores online, etc. Como se ha comentado en el hilo no estan exentos de problemas.
Gestionar una gran numero de contraseñas puede resultar engorroso para la mayor parte de los usuarios ya que no tienen o pueden dedicar tiempo a todo este sistema o simplente no quieran usar esta via.
Esta claro que en todos estos casos lo mejor es utilizar un gestor aunque no sea local, por supuesto.
Aunque hemos visto recientemente problemas con lastpass o bitwarden. En el caso de bitwarden no es un problema en si con el cifrado sino en un addon con el que la gente busca simplicidad y comodidad al entar a una web y loguearse automaticamente. Y aqui es donde vienen los problemas de seguridad, robo de contenedores con passphrase para el contenedor no adecuadas y los ataques de fuerza bruta.
Tambien hay soluciones dedicadas selfhost como el proyecto vaultwarden esta muy bien y poco a poco la apuesta de las grandes compañias por eliminar las contraseñas lo antes posible en favor del uso de llaves de seguridad, identificadores biometricos, generadores de doble factor, etc