Pregunta ¿Cómo puedo almacenar y administrar de forma segura 180 contraseñas?


Tengo alrededor de 180 contraseñas para diferentes sitios web y servicios web. Todos están almacenados en un solo documento de Excel protegido con contraseña. A medida que la lista se alarga, me preocupa cada vez más su seguridad.

¿Qué tan seguro, o debería decir inseguro, es un documento de Excel protegido con contraseña? ¿Cuál es la mejor práctica para almacenar esta cantidad de contraseñas de una manera segura y fácil de administrar?

Creo que el método Excel es bastante fácil, pero me preocupa el aspecto de seguridad.


146


origen


Los productos comerciales como CyberArk satisfacen sus necesidades. - Ivan Chau


Respuestas:


Mi herramienta de almacenamiento de contraseña favorita es KeePass:

enter image description here

¿Qué es KeePass?

Hoy necesitas recordar muchas contraseñas. Necesita una contraseña para el inicio de sesión de la red de Windows, su cuenta de correo electrónico, la contraseña de FTP de su sitio web, las contraseñas en línea (como la cuenta de miembro del sitio web), etc. etc. La lista es interminable. Ademas, deberías usar contraseñas diferentes para cada cuenta. Porque si usa una sola contraseña en todas partes y alguien obtiene esta contraseña, tiene un problema ... Un problema grave. El ladrón tendría acceso a su cuenta de correo electrónico, sitio web, etc. Inimaginable.

KeePass es un administrador de contraseñas de código abierto gratuito que te ayuda a administrar tus contraseñas de forma segura. Puede poner todas sus contraseñas en una base de datos, que está bloqueada con una clave maestra o un archivo de clave. Por lo tanto, solo tiene que recordar una sola contraseña maestra o seleccionar el archivo de clave para desbloquear toda la base de datos. Las bases de datos se cifran utilizando los mejores y más seguros algoritmos de cifrado actualmente conocidos (AES y Twofish). Para más información, vea el página de características.


¿Hay algún límite en cuanto a la cantidad de contraseñas que puede almacenar en él?

Solo en teoría. Puede colocar tantas entradas en la base de datos como desee, pero en algún momento su llave USB o disco duro estará lleno.

¿Hay alguna manera de sincronizar automáticamente las contraseñas modificadas?

No, no como lo esperas.
Querrá que sea un proceso manual y regular. Esto no puede y no debería ser automatizado

Me gusta configurar fechas de vencimiento para todas mis entradas de contraseña: enter image description here
Entonces recuerdo cambiar mis contraseñas regularmente. Guardo la URL del sitio web con la entrada de contraseña, por lo que es un proceso rápido.

¿Puedo iniciar sesión automáticamente en un sitio web como Facebook usando este software?

No no automáticamente cualquiera (al menos que yo sepa). Pero aquí es donde Tipo automático entra en juego. Por ejemplo, para Facebook, esta es mi configuración de tipo automático:

enter image description here

Como puede ver, he creado 3 configuraciones para diferentes títulos de navegador. Esto me permite simplemente ir a facebook.com, prensa Ctrl+Alt+UN, y el nombre de usuario y la contraseña se ingresarán automáticamente y yo iniciaré sesión.

Si tiene varias combinaciones de nombre de usuario / contraseña para mismo título de la ventana, obtendrá una ventana emergente preguntándole qué entrada de contraseña debe usarse.

¿Qué hay del móvil?

Hay aplicaciones que admiten el formato de contenedor KeePass en dispositivos móviles. Pero me mantengo alejado de esos. Simplemente no me gusta la idea de mi base de datos KeePass en mi teléfono.

Prefiero solo transferir contraseñas únicas usando el Generador de código QR enchufar. Te permite generar un Código QR desde una contraseña, que luego puede escanear con su teléfono. Ayuda tener Una aplicación que puede copiar el contenido escaneado al portapapeles.

enter image description here


207



Si lo coloca en Dropbox puede abrirlo en cualquier lugar (hay una versión portátil), incluso en su teléfono. Además, se puede importar a Lastpass. Gran elección - Ivo Flipse♦
@Oliver Esta parece ser la herramienta que necesito. Definitivamente voy a darle una oportunidad. ¡La función de fecha de vencimiento es dulce! Y el auto-tipo es bastante simple. Entiendo que algunos sitios web pueden requerir que confirme un cambio de contraseña haciendo clic en un enlace que envían por correo electrónico, por lo que cualquier característica de sincronización automática de la forma en que imaginé que no se sincronizaría y actualizaría automáticamente la contraseña. Es una ventaja que esto funcione en otros sistemas operativos además de Windows. Danke Oli! ;) - Samir
Si desea seguridad adicional para usar en Dropbox, use un archivo de clave junto con una contraseña y cópielo manualmente en cualquier computadora o dispositivo al que desee tener acceso a sus contraseñas (no almacene la clave en Dropbox). AFAIK esto solo funciona con dispositivos iOS con Android y rooteado ya que necesitas acceso al sistema de archivos, pero sin el archivo de clave el archivo de contraseña es casi imposible de descifrar. - Chad Levy
Tenga en cuenta que KeePass 2 es solo para Windows (al menos, los intérpretes gratuitos de Mono en Linux lo ejecutaron muy mal). Hay un clon más viejo de KeePass 1 llamado KeePassX que uso en Mac y Linux y funciona muy bien. - Reid
@Reid: según mi experiencia, KeePass2 funciona bien en Mono; es feo, y eso es algo de Mono vs .NET. - grawity


Parece que hay varios crackers de contraseñas de Excel fáciles de usar.

Yo usaría un sistema de administración de contraseñas como 1contraseña o Ultimo pase que funcionan en varios sistemas operativos, incluidos los móviles.

Estos tienen complementos para la mayoría de los navegadores que pueden completar contraseñas y otra información en el formulario web. 1 contraseña también puede configurar un marcador en el navegador que se iniciará automáticamente (Todos los usos de la aplicación requieren primero el uso de una contraseña maestra)

1 contraseña también puede almacenar notas, cuenta (por ejemplo, correo electrónico, ftp) y plantillas para ayudar a almacenar la tarjeta de crédito, la cuenta bancaria y otra información. Aunque es comercial, puede obtener una demostración gratuita que permite la entrada de hasta 20 artículos.

Una diferencia entre los dos es que 1contraseña solo almacena los datos localmente (aunque puede sincronizar los datos encriptados usando Dropbox o similar), Lastpass puede (¿debe alguien corregir esto?) Almacenar los datos en su sitio web que permite el acceso web al datos y sin necesidad de Dropbox, etc.


68



Las contraseñas de Excel son muy fáciles de descifrar. Cracker de contraseñas de Google Excel y verá muchas opciones. +1 para Lastpass. Solía ​​usar Roboform, pero me gustaba Lastpass porque es multiplataforma. Utilizo su generador de contraseñas para aleatorizar contraseñas. - Kendor
+1 para LastPass: es desafortunado que la respuesta con todos los buenos formatos e imágenes sea para KeePass, ya que LastPass es muy superior: hace todo lo que hace KeePass, pero también tiene complementos para todos los principales navegadores, sistemas operativos y plataformas móviles. También almacena datos en línea para que nunca tenga que preocuparse por perderlo (y lo almacena en caché localmente, por lo que nunca tendrá que preocuparse de que sus servidores vayan a la baja), sin embargo, encripta todo usando TNO (no confíe en nadie), por lo que LastPass nunca puede ver sus contraseñas. Hay muy pocos programas que llamo absolutamente perfecto, pero LastPass es uno de ellos. - BlueRaja - Danny Pflughoeft
LastPass ahora también es compatible con la autenticación de 2 factores a través de Android / iPhone ahora, lo que significa que alguien primero tendría que robar su teléfono para iniciar su aplicación Authenticator (que genera un código aleatorio cada 30 segundos) para acceder a sus contraseñas. - glenneroo
@Sammy: Sí, la mayoría de las características son gratis para siempre los solo características que debe pagar son las aplicaciones móviles y la autenticación de múltiples factores, que requieren una "cuenta premium" ($ 12 / año). El autor no está tratando de enriquecerse con el programa: no uso las características premium, pero igual pago por una cuenta premium para mostrar mi gratitud. Normalmente solo hago donaciones a proyectos de código abierto, así que eso te dice algo :) - BlueRaja - Danny Pflughoeft
LastPass es conveniente, pero es principalmente de código cerrado y adquirido por LogMeIn. Los servidores de LastPass se han violado (al menos parcialmente) varias veces, y su cliente ha permitido "leer contraseñas de texto plano para dominios arbitrarios de la bóveda de un usuario de LastPass cuando ese usuario visitó un sitio web malicioso"y actualmente (Mar2017)"el binario LastPass ... permite que los sitios web maliciosos ejecuten el código de su elección. Incluso cuando el binario no está presente ... permite que los sitios maliciosos roben contraseñas de la bóveda de LastPass protegida." Ver en.wikipedia.org/wiki/LastPass#Security_issues para referencias - Xen2050


He usado Ultimo pase por un tiempo ahora y lo recomiendo altamente. Tiene algunos complementos de navegador maravillosos y un montón de características que hacen que sea más fácil tener contraseñas más seguras.

El complemento del navegador completará automáticamente la información de inicio de sesión (cuando haya iniciado sesión en el complemento). También tiene una función de exportación, por lo que puede recuperar su base de datos e importarla a KeePass por ejemplo. También utiliza la autenticación en dos pasos para mayor seguridad.

Cliente de escritorio:

desktop client

Plugin para el navegador:

browser plugin


49



@PITaylor ¡Gracias! Definitivamente probaré LastPass. Pero por ahora le daré a KeePass más tiempo para evaluarlo. - Samir
La razón principal por la que me gusta LastPass es porque es fácil compartir un conjunto de contraseñas en múltiples computadoras fácilmente y siempre puedes acceder a tus pases en una computadora aleatoria a través de la interfaz web. - PlTaylor
Uso el último paso, sin embargo, hay 2 inconvenientes. 1) El servidor puede caerse (ya sea por problemas técnicos, o la empresa se cierra, etc.) 2) Algunas empresas no lo permiten, ya que está enviando información de paso de la empresa. - Keltari
LastPass es conveniente, pero es principalmente de código cerrado y adquirido por LogMeIn. Los servidores de LastPass se han violado (al menos parcialmente) varias veces, y su cliente ha permitido "leer contraseñas de texto plano para dominios arbitrarios de la bóveda de un usuario de LastPass cuando ese usuario visitó un sitio web malicioso"y actualmente (Mar2017)"el binario LastPass ... permite que los sitios web maliciosos ejecuten el código de su elección. Incluso cuando el binario no está presente ... permite que los sitios maliciosos roben contraseñas de la bóveda de LastPass protegida." Ver en.wikipedia.org/wiki/LastPass#Security_issues para referencias - Xen2050
Voy a dejar este enlace aquí, porque el Sr. Hunt lo dice mucho mejor que yo. troyhunt.com/... - PlTaylor


Contraseña Hasher el complemento (para Firefox) es lo que uso personalmente.

Cómo ayuda Password Hasher:

  • Genera automáticamente contraseñas seguras.
  • Una clave maestra produce contraseñas diferentes en muchos sitios.
  • Actualice rápidamente las contraseñas "golpeando" la etiqueta del sitio.
  • Actualice una clave maestra sin actualizar todos los sitios a la vez.
  • Admite contraseñas de diferente duración.
  • Admite requisitos especiales, como dígitos y puntuación.
  • Admite restringir una palabra hash para que no use caracteres especiales. (¡Nuevo!)
  • Guarda todos los datos en la base de datos de contraseñas segura del navegador.
  • Genera una página HTML portátil con las etiquetas de su sitio y la configuración de opciones que le permite generar sus palabras hash en cualquier navegador en   cualquier máquina sin la extensión instalada. (¡Nuevo!)
  • Puede agregar botones de marcador para desenmascarar contraseñas en cualquier sitio web. (¡Nuevo!)
  • ¡Extremadamente simple de usar!

enter image description here


10



Deben almacenarse en algún lugar o de lo contrario serían olvidados - Mark
También hay puertos para Chrome. - rishimaharaj
Por @kutschkem: No, las contraseñas no necesitan almacenarse en ningún lado. Lo que el plugin probablemente haga (al menos así es como lo haría yo), es cortar la concatenación de la etiqueta del sitio y la contraseña maestra, lo que dará lugar a una contraseña diferente (y supuestamente fuerte) para cada sitio (sin almacenar nada). , ¿ver?). Por supuesto, su contraseña maestra aún tendría que ser fuerte. La ventaja es que no solo todas las contraseñas serán diferentes, serán muy diferentes (al menos si la función de hash es buena). - Der Hochstapler
También hay un puerto para IE, escrito por una persona muy hermosa - BlueRaja - Danny Pflughoeft
@Matthew: Eso es cierto de cada solución de almacenamiento de contraseña ... - BlueRaja - Danny Pflughoeft


Yo personalmente uso PasswordMakerpara generar contraseñas a partir de una contraseña maestra y la URL del sitio. El proyecto es bastante maduro, de código abierto y estable. Está disponible para Firefox (como una extensión), Linux CLI, Android, etc.

Cómo funciona:

Advertencia: ¡jerga técnica en esta sección! Tu provees   PasswordMaker dos piezas de información: una "contraseña maestra" - que   una, contraseña única que le guste, y la URL del sitio web que lo requiera   una contraseña. A través de la magia de los algoritmos hash de una vía,   PasswordMaker calcula un resumen del mensaje, también conocido como digital   huella dactilar, que puede usarse como su contraseña para el sitio web.   Aunque los algoritmos hash unidireccionales tienen una serie de interesantes   características, el capitalizado por PasswordMaker es que el   La huella digital resultante (contraseña) "no revela nada sobre el   entrada que se utilizó para generarlo ". En otras palabras, si alguien tiene   una o más de sus contraseñas generadas, es computacionalmente   no es factible para él derivar su contraseña maestra o calcular su   otras contraseñas Computacionalmente inviable significa incluso computadoras como   esto no ayudará!


9





Es arriesgado confiar un aplicación de terceros para almacenar sus contraseñas importantes, especialmente aquellas aplicaciones que son potencialmente capaz de conectarse en línea o aquellos a quienes los autorizas acceder a los procesos de otro programa; y más importante para confiar fuente no abierta unos.

Una forma más segura, en mi opinión, es almacenar sus contraseñas importantes en un Archivo de texto (.TXT) y luego encriptar el archivo con Algoritmo AES por dsCrypt.exe. Debes ingresar tu contraseña principal en dsCrypt sólo una vez y podrás encriptar / descifrar ingresa el archivo de texto de la contraseña muchas veces sin pedirle que vuelva a ingresar la contraseña principal siempre que se esté ejecutando dsCrypt. Puede ejecutar automáticamente dsCrypt con su inicio de Windows e ingresar su contraseña principal una vez; y lo que necesitas entonces es solo para arrastrar y soltar su archivo de contraseña (.txt) en dsCrypt para de / encrypt cuando lo necesites tus contraseñas


4



Reemplazar dsCrypt con PGP / GPG, derivados de TrueCrypt, LUKS, etc. sería igual de bueno, aún +1 - Xen2050
pero hay un error en su respuesta: dsCrypt.exe ES un software de terceros :-)! Prefiero confiar en un programa de código abierto, que puedo recompilar, a través de un exe - spiritoo


yo recomiendo KeePassXC que es un tenedor de la comunidad de KeePassX, un puerto nativo multiplataforma de KeePass Password Safe, con el objetivo de ampliarlo y mejorarlo con nuevas funciones y correcciones de errores para proporcionar un administrador de contraseñas de código abierto moderno, completamente multiplataforma y rico en características.

Este cliente también es recomendado por Vigilancia Autodefensa.

Principales características KeePassXC:

  • Almacenamiento seguro de contraseñas y otros datos privados con encriptación AES, Twofish o ChaCha20
  • Multiplataforma, se ejecuta en Linux, Windows y macOS sin modificaciones
  • Compatibilidad con el formato de archivo con KeePass2, KeePassX, MacPass, KeeWeb y muchos otros (KDBX 3.1 y 4.0)
  • Integración del agente SSH
  • Auto-Type en todas las plataformas compatibles para rellenar automágicamente formularios de inicio de sesión
  • Archivo clave y soporte YubiKey desafío-respuesta para seguridad adicional
  • Generación TOTP (incluida Steam Guard)
  • Importar CSV desde otros administradores de contraseñas (por ejemplo, LastPass)
  • Interfaz de línea de comando
  • Contraseña autónoma y generador de frase de paso
  • Medidor de intensidad de contraseña
  • Íconos personalizados para las entradas de la base de datos y descarga de favicons de sitios web
  • Funcionalidad de combinación de base de datos
  • Recarga automática cuando la base de datos se modificó externamente
  • Integración del navegador con KeePassXC-Browser para Google Chrome, Chromium, Vivaldi y Mozilla Firefox.
  • (Heredado) Soporte KeePassHTTP para usar con KeePassHTTP-Connector disponible para Mozilla Firefox y Google Chrome, y passafari para Safari.

0





Yo uso Notepad y archivos .txt. Si quiere mi consejo, le aconsejo que no use un software de terceros. ¿De dónde sabes que no están robando tus contraseñas?
Entonces, usar los archivos de texto sería lo mejor.
Además, si es un programador, le sugiero que cree uno sencillo que use codificación para proteger los datos. Esa es la mejor solución.


-4



Me arriesgaré a que la base de datos del administrador de contraseñas encriptadas sea más vulnerable que el archivo de texto sin formato, ya que esta última será aprovechada por la siguiente pieza de malware que hace una búsqueda rápida de la palabra en mi computadora. contraseña. - Twisty Impersonator
Al menos cifre su archivo de texto sin formato con gpg / pgp o algo así, cualquier cosa, y luego recuerda esa contraseña - Xen2050