KeePass y buenas prácticas

SaKio

Acabo de cambiar de Lastpass a Bitwarden, que pereza me dio inicialmente, pero se nota que no va sobre javascript como Lastpass, que a veces le costaba al navegador, aunque tenga un buen pc

Lo unico que el 2fa sigo con el del lastpass y si lo cambio por migrar todo, necesito alguno que tenga backup, no vaya a ser que pierdas el movil y te la veas morado para recuperarlo

2 respuestas
KarlosWins

.

1 respuesta
SaKio

#362 Pues de lastpass cada vez me parecia mas pesada y cambie a la extension de bitwarden, que al menos va mas ligera

B
#361SaKio:

necesito alguno que tenga backup, no vaya a ser que pierdas el movil y te la veas morado para recuperarlo

Corregidme si me equivoco, pero creo que con Authy se te vincula al número del móvil, o sea que si pierdes el teléfono no pasaría nada.

RESPALDO
Authy puede guardar una copia encriptada de todas tus cuentas. De esta forma puedes restaurarlas con facilidad si pierdes tu dispositivo.

Ingresa un password para tus respaldos y Authy guardará una copia de seguridad encriptada de todas tus cuentas.

Acabo de hacer la prueba. Para iniciar sesión primero te pide un pin que te mandan por SMS, y luego, la contraseña que pusiste como respaldo.

1 2 respuestas
Daidum

#364 Estás en lo cierto.

SaKio

Estilo Authy de codigo abierto, imagino que no hay ninguna que haga copias de seguridad en la nube,no?

Lo peor del 2FA es que tienes que ir desahabilitandolo uno a uno para meterlo en el nuevo programa

1 respuesta
B

#366 Authy hace las copias en la nube. Desconozco si hay más de este estilo.

https://authy.com/blog/how-the-authy-two-factor-backups-work/

NeV3rKilL

#364 Sí, lo cual le quita un montón de seguridad al método, pero estamos en lo de siempre. Comodidad vs Seguridad.

2 respuestas
B

#368 ¿Por qué? si se sube ya encriptado a la nube, es decir, según tengo entendido el proceso de cifrado/descifrado lo hace en el teléfono antes de cargarse en la nube.

SaKio

#368 Me recuerda a cuando los antivirus y/o cortafuegos los pones a en modo paranoico vs a modo automatico

Si lo pones extremo, es intragable la seguridad, era por no usar el 2fa de Bitwarden, que teniendolo de pago, siempre puedo optar a el

3 meses después
robb

pregunta a los que usáis bitwarden @AikonCWD @HeXaN , os fiais de meter vuestras pwds de bancos, myinvestor/brokers etc etc?

4 respuestas
B

#371 tu banco permite meter passwords mayores de 6 caracteres? XD son la hostia

1 respuesta
robb

#372 no he usado bitwarden aún, daba por hecho que podías elegir el num de carácteres

2 respuestas
B

#373 bitwarden sí permite elegir el número de caracteres. Yo me refería a que los bancos te suelen limitar de forma absurda la longitud máxima de la password, con lo que da un poco igual que la generes o no con un gestor de contraseñas. Yo en mi caso no la guardo en bitwarden pero bueno, que lo puedes hacer, si la pierdes, yendo a la oficina podrás recuperar el acceso fácilmente.

2 1 respuesta
AikonCWD

#371 Sí.

Bitwarden es de código abierto y pasa regularmente auditorías de seguridad. Si metes info en bitwarden (la que sea), solo se puede recuperar teniendo tu password maestro. Ni los propios creadores/admins de bitwarden podrán entrar en tu BD encriptada sin ese password.

De hecho, no existe la posibilidad de "olvidé mi password". Si te olvidas de tu master password, no se puede recuperar el contenido de tu vault. De ahí que sea tan seguro.

#373 En bitwarden puedes almacenar todo tipo de información, desde contraseñas de 1 caracter hasta textos o info detallada. Lo importante es tener un master-password robusto e único, y la autenticación F2A en TODO lo que puedas.

1 1 respuesta
robb

#374 Realmente la pregunta no iba tanto por recordar las pws de los bancos (que por ejem en mi caso tengo varios y sería más comodo) si no por la seguridad de que bitwarden no sea comprometido y tus pws públicas (he leído por ahí que estaban cifradas)

robb

#375 En mi caso he comprado una YubiKey para Bitwarden F2A, pero tengo entendido que hay muchas apps/servicios que no soportan YubiKey de manera nativa (por ejemplo, Apps de los bancos creo que no lo soportan). En tu caso, además de F2A en BW lo usas en el resto de servicios/apps?

Gracias :)

1 respuesta
AikonCWD

#377 Yo TubiKey y similares no uso.
Utilizo Authy para centralizar y gestionar mis F2A.
Utilizo F2A en Bitwarden y en cualquier otro servicio que tenga F2A disponible. Principalmente en aquellos donde puedo comprar cosas y en el mail (que suele ser vector de entrada a las opciones de "olvidé mis password" de mis otras cuentas.

1 1 respuesta
HeXaN

#371 Sí.

1 1 respuesta
B

#371 Sí.

1 mes después
guillauME

#378 #379 La cuenta de Bitwarden la creáis con algún Email especial tipo protonmail (por ejemplo) o con vuesto gmail habitual. Por si tiene alguna importancia para ir más allá en seguridad.

La filtración de Google me ha emparanoyado y voy a pasarme a bitwarden con Authy.

2 respuestas
AikonCWD

#381 da igual. No puedes recuperar el password de bitwardennpor el mail original

1 respuesta
B

#381 han hackeado google? no he visto nada relacionado en los sitios web que suelo visitar

2 respuestas
Y

#383 https://cybernews.com/news/largest-compilation-of-emails-and-passwords-leaked-free/

guillauME

#382 Muchas gracias! ¿Tú usas gmail de correo habitual? Tengo por ahí la cuenta de Protonmail pero tengo que recuperar contraseña y resetea todo (No la tengo asignada a nada ahora mismo) y no se si merece la pena pasarse de Gmail a Protonmail.

Ahora estado viendo videos y guías de como usar bitwarden y entonces estoy entendiendo lo de usar Authy para el F2A para entrar en Bitwarden y usarlo en otras cuentas que requieran de F2A.

Usar Authy solo para Bitwarden y seguir usando los F2A habituales en las otras cuentas lo ves un problema de seguridad y es mejor todo en Authy o no tiene tanta importancia.

#383 https://www.mediavida.com/foro/off-topic/filtracion-contrasenas-gmail-668492

1 respuesta
AikonCWD

#385 Sí, uso gmail como cuenta principal.

Mírate este FAQ sobre el master-password de bitwarden: https://bitwarden.com/help/article/master-password/
Tal y como leerás, ni ellos mismos pueden recuperar el password si te lo olvidas. Escoge un buen password para bitwarden que sea fácil de recordar, único, nuevo y con alta entropía. Mírate el cómic de Correct-Horse-Battery-Staple para ver un ejemplo.

El F2A lo deberás utilizar en cualquier cuenta que tengas, que permita usar F2A. Si tienes una cuenta en mediavida.com y mañana hackean el servidor, tu password podría quedar expuesto. Al tener un F2A te proteges de que nadie pueda acceder incluso conociendo tu password de mediavida.com

EL F2A es súmamente importante para proteger el mail que utilizas para registrarte en el resto de servicios (vamos a poner un ejemplo Steam). Ya que si alguien accede a tu gmail, simplemente tendrán que ir a Steam y pulsar "recovery: send my password to e-mail" y te robarán la cuenta de Steam. Al tener F2A en gmail, por mucho que intenten hacer recovery de otro servicio, jamás podrán leer el mail de recovery.

Finalmente, añade F2A a cualquier cuenta de servicio (por ejemplo, de nuevo Steam). Cualquier intento de login a ese servicio quedará invalidado sin su correspondiente F2A, incluso si se produce un leak de Steam.


Como has podido ver, a partir de ahora vas a tener que gestionar diferentes F2A, uno para cada cuenta. Lo mejor es centralizar la gestión usando una App segura: Authy.

Y también habrás cambiado el password de todas tus "cosas" (gmail, steam, etc...) por passwords autogenerados de forma random tipo así: z3@5G&oj*hX%eU5H. Así que necesitarás centralizar toda esta información en un gestor: Bitwarden.

Finalmente, querrás utilizar un password sencillo de introducir en Bitwarden (este es el único password que utilizarás para acceder al resto de cuentas) y por ello protegerás también con F2A el acceso a Bitwarden.

9 3 respuestas
Tencru

#386 so si hackean authy estás fucked no?

2 respuestas
Yekale7

#386 Ahora otro post ante una pérdida del móvil y lo has clavado :grin:

1 respuesta
Y

#387 Necesitarían tu clave de bitwarden.

1
B

el ultimate combo es: bitwarden de pago que incluye generador de f2a + 2 yubikeys usandolas como único 2fa en bitwarden

sencillo y máxima seguridad, pero hay que gastarse pelas

1 1 respuesta