KeePass y buenas prácticas

AikonCWD

#387 Authy no tiene usuario/password. Usa tu número de teléfono como acceso.
Alguien tendría que robarte el móvil. Además authy se desbloquea solo tras completar el patrón/huella.

Aquí un poco de info sobre como funciona authy por dentro: https://authy.com/blog/how-the-authy-two-factor-backups-work/

#388 xddd que palo, en el link anterior está explicado

1 respuesta
kassiusk1

#390 yo es que me estoy pensando pagarlo, la verdad

guillauME

#386 #391 Muchas gracias. Lo que más miedo me da de todo esto es perder el acceso a mis cuentas porque me pasó una vez hace años con Apple y el iphone después de activar el 2FA y perdí teléfonos, fotos, documentos,etc porque perdí el código de recuperación.

Lo de Bitwarden lo he entendido pero lo de Authy es que me genera un montón de dudas por si pierdes acceso al teléfono no puedes entrar a ningún sitio y estás totalmente vendido. Lo que dices básicamente es que en vez de usar el F2A de Steam que te manda un Email con un código o el de otras páginas que te manda un SMS usas Authy en su lugar.

Al final Authy es una barrera más para entrar a tu Bitwarden si lo he entendido bien pese a que este también necesita una contraseña maestra. Para entrar necesitarían acceso a tu teléfono(Authy) y además conocer tu contraseña de bitwarden.ç

Para los que vayáis a poneros a ellola guía de Authy: https://authy.com/guides/bitwarden/

1 respuesta
AikonCWD

#393 Tienes la opción de almacenar un backup de Authy si le añades un password. Pero claro, este password no deberías tenerlo únicamente en bitwarden, si no te quedas "encerrado" entre 2 candados xd.

1 respuesta
guillauME

#394 Vamos que al final tienes que tener un password que solo tú sabes y que más vale que tengas apuntado en un lugar seguro físicamente. Ya sea este password el de Bitwarden o el de Authy como última barrera que más te vale no perderlo o el mundo se va a la mierda.

¿No se si visto lo visto igual merece la pena usar Bitwarden sin Authy? El riesgo de perder acceso al teléfono es muy alto, se puede perder, se puede romper, te lo pueden robar,etc. Lógicamente eso es una barrera de seguridad inferior.

Estoy leyendo sobre Authy pero será que soy muy espeso y un torpe para estas cosas.

Entiendo que para empezar lo ideal es empezar con bitwarden si o si aplicando bien lo de la contraseña maestra y luego meterme con Authy cuando tenga claro como funciona y como de factible es perderlo todo si la lio parda.

Muchas gracias y perdona la pesadez.

4 respuestas
kassiusk1

#395 yo llevo bastante usando bitwarden con una pass maestra que solo uso ahi, no la pongo en ningun otro lugar. O hackean bitwarden, o me ponen un keylogger, o no entran.

AikonCWD

#395 A ver, intento explicarlo mejor aunque así escrito es una mierda. Siempre re-leo las cosas que explico y nunca suenan como me gustaría.

2FA es un nombre común que se le da a la opción de pedir un código adicional durante un proceso de autenticación. Principalmente hay 4 tipos de 2FA:

  • Código random enviado al movil
  • Código random enviado al mail
  • Algoritmo privativo de la app de turno
  • Algoritmo OTP

Los 2 primeros no los voy a comentar demasiado. Básicamente configuras un número de teléfono y/o mail en la cuenta y cada vez que haces login te mandan un código de verificación al móvil o e-mail. Este método es el menos seguro dentro de la família 2FA, aunque ya añade una capa adicional de protección interesante.

El algoritmo privativo es un 2FA propio dela app, ejemplos reales: Blizzard Autenticator y Steam Guard. Deberían ser seguros, pese a que no son de código abierto y jamás sabremos si Blizzard/Steam/otro lo han implementado correctamente. El principal inconveniente es que terminas con 40 apps de autenticators en el móvil, una app única para cada servicio. Y eso es un problema.

El último método (OTP) es el mejor de todos. OTP es un algoritmo público, open source, conocido y seguro. Además es compatible con cualquier app de "autenticator". Todos los servicios que usamos deberían utilizar y ofrecer OTP. Te da la libertad de centralizar la gestión de esos 2FA en la app que te guste, por ejemplo: Authy, Google Autenticator o el propio Bitwarden (sí, la versión Pro+ de Bitwarden es también un generador de OTP.

Lo bueno de OTP es que no hay comunicación externa con nadie. Tu dispositivo puede generar los códigos sin necesidad de conectarse a ningún sitio, ni acceder a internet ni nada. Tu movil perdido en la Antártida podrá seguir generando códigos OTP para acceder a tus cuentas.


En el momento que queremos proteger una cuenta con OTP, el proveedor genera un token único, tú lo introduces en tu autenticator y la cuenta queda vinculada. Cualquiera que tenga ese token podrá generar códigos para acceder a esa cuenta. Normalmente este proceso se hace a través de un QR. El token queda almacenado en tu app/móvil, por eso puedes generar códigos sin necesidad de tener acceso a internet.

Genial! Pro aquí aparece un problema como comentas.... Qué pasa si pierdo el móvil?

Bien, los tokens de cada cuenta con 2FA están dentro de tu movil. Si lo pierdes, se rompe o te lo roban... te quedas sin acceso. Authy solventa este problema con un sistema de backups muy curioso. Generas un password para Authy, con ese password se encripta tu base de datos de tokens y se envía encriptada a Authy. Si por alguna razón pierdes el móvil, solo necesitas ese password para poder recuperar tus tokens y seguir generando 2FA.

El password de authy jamás viaja al servidor. Ni la propia empresa conoce ese password, así que sería uno de esos a guardar en un papelito en tu casa.

Muchas cuentas, cuando habilitas el 2FA, te proponen un método para saltarte el 2FA en caso de que pierdas el acceso/autenticator/token. Suelen generarte un password gordo que deberás introducir para deshabilitar el 2FA. Esas claves las guardo en las notas de Bitwarden... por seguridad por si algñun día pierdo todo.


Y finalmente si Authy te resulta demasiado volátil debido a su seguridad... puedes usar otro autenticator. El propio Bitwarden tiene el suyo própio. En el momento que activas el 2FA, copias el token a mano dentro de Bitwarden. Si es un QR deberás descifrarlo a mano previamente. Así tengo yo alguna cuenta dentro de mi Biitwarden:

Como puedes ver, tengo en Bitwarden mi pasword de Github, y el propio bitwarden genera el 2FA/OTP en el momento. Abajo en las notas que he tapado tengo la recuperación para saltarme el 2FA en caso de pérdida. Y finalmente como tengo el token TAMBIÉN en authy, tengo un backup de mis tokens encriptados en la nube.

Se entiende? xd

14 4 respuestas
kassiusk1

#397 tu tienes el de pago?

1 respuesta
AikonCWD

#398 Sí! Son poco más de 8€ al año.

1
B

#395 Puedes asociar más de un dispositivo a Authy si lo que te preocupa es perder el teléfono. Yo lo tengo asociado al teléfono y a mi PC personal y tengo desactivado la opción de añadir un nuevo dispositivo para mayor seguridad.

1 respuesta
B

Pillo sitio para leer mañana que estoy hasta la polla de contraseñas y de cambirlas y de leaks y de su madre

2 1 respuesta
KsR

#401 Yo peor aun, me echo la picha un lio tanta contraseña y programita por culpa el aikon xdd

1
Daidum

El respaldo de authy la verdad es que es muy cómodo, justo la semana pasada cambié de móvil, vinculo dispositivo nuevo, meto password y se desencriptan los tokens. Si tienes que tirar de los códigos de respaldo de cada uno de los token almacenados en su respectiva web...si los tienes claro xddd

2 1 respuesta
AikonCWD

#403 Exacto. Los códigos de respaldo es más por si ocurre un desastre. Lo uso es restaurar backup tal y como hiciste.

kassiusk1

Y el gestor donde los guarda iOS para desblouear con Face ID? Lo veis seguro?

Esit: Sacando que alguiente enga una foto con vuestra cara, que funciona.

1 respuesta
AikonCWD

#405 La encriptación de iOS es muy segura. Ya sea un pin o la huella. El FaceID creo que está medio bug por lo de la foto, pero en resumen, la encriptación interna es robustísima. Recordáis el iphone de ese terrorista que la CIA no pudo ni acceder a los datos? tuvieron que contratar hackers israelies, si no me falla la memoria.

2 1 respuesta
Daidum

#406 Fueron los mismos que desbloquearon el de Diana Quer.

2
KsR

#397 Entonces recomiendas combo bitwarden +authy?? Veo demasiadas capas y lugar a una hecatombe como revientes el movil.

1 respuesta
AikonCWD

#408 Bitwarden + 2FA sí. Usa el gestor de 2FA que más te guste; el propio de bitwarden (pro), el de google, authy o incluso puedes programarte el tuyo propio (OTP es un protocolo público y fácil de implementar en python, etc...)

sPoiLeR

¿Que ventaja tiene bitwarden sobre apple Keychain?

Me lo he instalado y veo que la ventaja es ser multiplataforma pero en ios su llavero con faceid esta muy bien integrado también.

D4rKiTo

#397 ¿Qué pasa si alguien consigue acceso a tu bitwarden? (Te entra un troyano, te pillan la pass de BW y acceden por remoto en tu propio equipo sin enterarte) Tienes los códigos de un solo uso en el mismo sitio, no necesitarían 2fa para entrar a las cuentas.

PD: Ignorando que comentas que tienes 2fa en el propio BW que lo veo como otro problema más.

Y ya más general, ¿dejáis las sesiones abiertas siempre en el navegador? Veo impensable tener la sesión de Google cerrada por ejemplo. Por otro lado no sé cómo evitar que te jodan todo si te infectan el pc y lo dejas encendido. Pueden crearse una vpn en tu propio pc sin que te enteres (bastantes troyanos lo permiten), copiarte las cookies y "clonar" tu pc de forma que entren en tus sesiones sin que el propio servicio se entere (tienen tu ip, tienen tus cookies con la sesión iniciada...).

1 respuesta
Y

#400 Donde está la opción de no permitir más dispositivos? Porque no la encuentro.

1 respuesta
Daidum

#412 ajustes-dispositivos-permitir multi dispositivo.

1 respuesta
Y

#413 Coño pensaba que si quitaba eso se me cerraban todas las sesiones menos la del móvil.

aButreCa

Leo mucho últimamente a gente aconsejar alejarse de LastPass, qué tiene de malo? yo llevo usándolo desde que tengo memoria.

1 respuesta
FMartinez

#415 Pues lo de siempre con el software privativo, que no te queda otra que confiar 100% en esa empresa.

1 1 respuesta
denimH

Como guardais físicamente los códigos de recuperación de, por ejemplo, Bitwarden?

La mejor solucion a la que he llegado es tenerlos triplicados, dos en casa y uno en otro sitio por si se me quema la casa.

2 respuestas
FMartinez

#417 Yo lo que hago es guardar estas cosas en un fichero encriptado que meto en un pendrive, o en la nube por ejemplo.

1 1 respuesta
D

#417 los tengo en mi mail cifrados con mailvelope, que no deja de ser cifrado PGP pero sencillo de usar para los mortales

kassiusk1

Yo por mi trabajo uso 3 apps de codigos para auth. El de google, el de Microsoft y otro que es RSA Sercurid Auth (o algo asi). Me compensa rehusar alguno o que? Porque bajar otro más al teléfono es bajón.

1 respuesta