KeePass y buenas prácticas

FMartinez

#420 Por que tienes 3?

1 respuesta
kassiusk1

#421 Por la empresa, para acceder a distintos sitios, algunos equipos usan una y otros otra..

1
espikiller

Yo tengo una duda, usando l extensión de Bitwarden en Firefox no consigo que me pida F2A cada vez que entro, en cambio vía web si.

2 respuestas
Daidum

#423 Eso es porque la extensión en vez de cerrar sesión (que también lo hace) bloquea la caja fuerte y solamente con meter la password ya es suficiente, esto es muy útil si vas a estar delante del pc para no tener que estar metiendo todo el tiempo el 2fa.

En los ajustes de bitwarden, es configurable.

B

#423 el f2a solo te lo pide la primera vez que logueas un dispositivo nuevo. Y puedes además evitar meter la master password usando un PIN cada vez que accedes al baul.

1 respuesta
FMartinez

#425 Crees que es una buena idea lo del PIN?

1 respuesta
B

#426 si estás seguro de que sólo tu tienes acceso físico a ese Movil o pc, sí. Yo lo uso. En el movil además, si lo reinicias te pide la máster sí o sí.

AikonCWD

#411 Si ocurre eso, poco se puede hacer me temo. Lo suyo no sería tener instalado authy en el propio PC. Así nunca podrán acceder a tu bitwarden

guillauME

#397 Te he entendido tras ver el video en el otro hilo pero madre mía que comida de cabeza todo esto. Me va a explotar.

Entiendo el funcionamiento pero es que el riesgo de quedarte sin acceso a tus cuentas es elevado como hagas algo mal usando Authy y Bitwarden a la vez.

#418 ¿Y si por cualquier motivo ese pendrive se estropea o pierdes acceso a la nube? He estado leyendo que recomiendan tenerlo físicamente escrito y en caja fuerte o en un lugar bien escondido.

3 respuestas
AikonCWD

#429 Solo tienes que guardar a buen recaudo (es decir, en papel en alguna caja fuerte de tu casa) el master password de bitwarden y el de backup de authy.
Teniendo acceso siempre a esas 2 cosas, podrás recuperar ante cualquier desastre que pueda imaginar.

Para bitwarden recomiendo un password de palabras, 4 y un número.

1
Y

#429 Pues desactivas uno por uno las 2fa y vuelves a crearlo y guardar los respaldos. Yo por ejemplo tengo los respaldos en un pendrive con veracrypt a buen recaudo, pues si me lo roban pues como sigo teniendo acceso al authy no hay problema.

Muchas casualidades te deberían de pasar para quedarte sin todo... lo más así que veo es que se te olviden las 2 contraseñas que te tienes que aprender (la del gestor y la del authy).

-S17-

Duda de principiante:

Qué mejora hay en tener un 2FA via app de autenticator +OTP por encima de una yubikey ( o más de una) y una master key escondida en el puto averno?

Con el primer combo sigues teniendo el riesgo de un duplicado de SIM o robo de dispositivo ( o las 2 cosas)

2 respuestas
FMartinez

#429 Pues en otro pendrive, no se, la probabilidad de que se rompa todo es mínima. No creo que sea mejor una caja fuerte.

Lo unico que tengo escrito en papel, y sin indicar qué es, obviamente, es la contraseña para desencriptar ese fichero que tengo en un pendrive y en la nube.

B

#432 Son lo mismo, pero la yubikey es más conveniente en el sentido de que te despreocupas de hacer backups en papelitos. Pero tendrías que tener 2 al menos para dormir tranquilo, una que siempre está contigo y otra a buen recaudo por si rompes o pierdes la primera.

1
rayka

una preguntilla referente a los alias de las cuentas de microsoft. Si yo tengo una cuenta de correo de hotmail u outlook, llamémosla "aaaa", que es la que utilizo para registrarme en los distintos sitios, y ha sido comprometida en un leak de estos, si me creo otra cuenta de correo "bbbb" y la pongo de alias en la anterior, seleccionándola como principal, ¿podré seguir usando la "aaaa" para registrarme en los sitios, porque seguiré recibiendo los correos, pero sólo podré acceder a ellos si conozco la dirección de la cuenta "bbbb"? Igualmente, para acceder a ambas cuentas, ahora se haría desde la bbbb únicamente, ¿verdad?.

Edit: confirmo. Creas un alias, lo pones de principal, deshabilitas el inicio de sesión con la otra dirección et voila. De esta manera, la dirección con la que inicias sesión sólo la conoces tú, no la tienes por ahí en ninguna página o foro, sólo en tus servicios microsoft. Mientras tanto, usas los alias secundarios y, si obtienen alguno, aunque sepan tu pass no podrían acceder a tu cuenta de correo al estar deshabilitada esa dirección. Por no hablar, claro, del 2fa. Esto nos sirve a los que nos rallamos al ver en el registro de actividad intentos de inicio de sesión fallidos. Así no pueden siquiera intentarlo.

AikonCWD

#432 Los tokens de los 2FA de authy se guardan en tu terminal. Si compras un nuevo terminal y pones tu SIM (o una duplicada), no tendrás los tokens.
Para recuperar los tokens en un nuevo terminal necesitas previamente habilitar el backup con password.

En resumen, un atacante tendría que capturar tu password del backup de authy.
Y si alguien tiene tus tokens tampoco podrá entrar sin el password principal de cada cuenta.

1 1 respuesta
B

#436 Espera espera, entonces algo estoy haciendo mal o lo he entendido mal.

Cambio de Rom cada 2x3 y siempre que vuelvo a instalar authy solamente me pide mi número de teléfono y la password maestra de authy. Por lo que he entendido debería pedirme otra contraseña más, ¿no?

1 respuesta
AikonCWD

#437 no, el pasa de authy es ese que sirve para restaurar los toke s. si lo pierdes te quedas sin authy

-OnE-

#395 te he estado leyendo y tienes exactamente las mismas dudas que yo

Cuenta qué acabas haciendo please.

Yo estoy por pagar la versión pro de Bitwarden, pero lo de Authy me da miedete.

2 respuestas
B

Es fácil chicos:

  1. Opción gratis: Bitwarden + authy
  2. Opción de pago: Bitwarden Pro (10$/año) + 2 Yubikeys NFC (50€) como 2fa de Bitwarden

Con 1) teneis que hacer backup de authy sí o sí, y tal como se expone, es más fácil liarla por algun accidente.
Con 2) estáis más a salvo (nadie os va a hackear nunca la yubikey) y más conveniencia al no tener que hacer buckups y por estar usando el 2fa de Bitwarden (una única app para todo)

1 respuesta
AikonCWD

#439 tienes que usar 2fa, es lo único que te protege de leaks. A partir de ahí usa la app que más te guste

Odercra

#440 pero teniendo el 2fa en bitwarden pones todos tus huevos en una cesta. Si piratean bitwarden, tienen tus 2fa, estás jodido... Si lo tienes aparte, tendrían que hackear ambos bitwarden y authy

2 respuestas
kassiusk1

Una duda, si teniendo Bitwarden PRO para los códigos dejas de pagar, pierdes ese 2FA para todas las cuentas almacenadas?

1 respuesta
B

#442 Así es. Pero es MUY dificil que pase un hackeo como tal. Tendrías que ser objetivo de alguien (en ese caso tienes un problema mucho más jodido xd) o que hayas sido infectado por algun virus que aproveche alguna vulnerabilidad crítica 0 day, pero teniendo en cuenta que el proyecto cuenta con un desarrollo activo y sano (auditorias satisfactorias), la probabilidad de que pase eso es de 0.1%?

AikonCWD

#443 el token sigue siendo visible, así que podrías migrar a otro autenticator

1
Daidum

#442

https://bitwarden.com/help/article/what-encryption-is-used/

Si llegasen a comprometer el algoritmo que usa bitwarden para encriptar los datos, a nivel mundial creo que sería el menor de nuestros problemas.

1
Pinchejotron

Viva el 2fa

bardoX

Llevo semanas con google autenticator pero me tira para atras el no ooder recuperar cuenta si pierdo o me peta el smartphone.

Que tal authy? Y el de microsoft?

1 respuesta
B

#448 Cámbiate a authy cuanto antes.

Google aunthenticator no vale para nada, en cuanto te cambies de movil tienes que volver a poner todos los 2fa de nuevo.

1 2 respuestas
FMartinez

Hace tiempo estuve mirando 2FA por hardware y vi que Onlykey lo recomendaban mucho. Alguien tiene uno de estos?

1 respuesta