KeePass y buenas prácticas

B

#450 Interesantísimo. Sirve como password manager tambien.

AikonCWD

Bendita la función de bitwarden pro para comprobar si algún password de todas tus cuentas ha sido violada en algún momento.
La de picroma ya la tengo controlada pero es que me la suda esa cuenta. De todas formas como estoy aburrido voy a pegarme una ronda para actualizar passwords.

2 4 respuestas
B

#452 No tienes contraseñas generadas en esos sitios o qué? En la de amazon al menos.

1 respuesta
AikonCWD

#453 La cuenta la usa mi mujer y si le pongo una pass generada con símbolos le da una embolia.
Ya la he cambiado por una que ella ha elegido y no está leakeada.

1 respuesta
aLeX

Voy a preguntar algo aquí por si suena la flauta

Alguno tiene experiencia configurando Keycloak como solución 2FA basada en webauth (con llaves fido), y rizando el rizo, que esas mismas llaves sean usadas como PIV para inicio de sesión en windows?

Estoy usando keycloak como solución saml para integrarla con apps y ahora necesito una solucion 2FA para inicio de sesión en windows, y utilizar AzureAD no es una opción.

AeRoS

#454 Por lo menos en amazon puedes meterle el authy..

1
bardoX

#449 Iba a hacerlo pero veo bastantes críticas de la app en la play store y veo que la app no la actualizan des del agosto.

No me acaba de dar mucha confianza.

1 respuesta
kidandcat

#449 Eem, Google authenticator tiene exportación, osea que puedes mover todos tus 2fa a donde te de la gana copiando un QR.

1 respuesta
B

#452 Aikon ¿self hostearías bitwarden? Más concretamente en un NAS. Lo peor que puede pasar es que fallen todos los discos del NAS a la vez (en raid) y pierda todas las passwords xD

#457 Es lo que siempre se ha recomendado aquí y en todos lados pero bueno.

#458 Pues ni lo sabía.

1 respuesta
AikonCWD

#459 Aunque bitwarden es de código abierto, creo que no existe la opción de self-host.

De todas formas no lo necesitas. El vault de bitwarden está encriptado y la única forma de desencriptar es poniendo el password. Es imposible romper el ciffrado. Ni la propia compañía puede. El password que usas jamás viaja a los servidores de bitwarden y por eso es tan seguro.

Tan seguro que si pierdes el pass te quedas sin acceso al vault xd. No necesitas hostear tu propio vault en local ya que el hecho de que esté en la nube no supone ninguna brecha de seguridad.

1 respuesta
FMartinez

#460 Soporta self-host

1 respuesta
AikonCWD

#461 Pues lo acabo de buscar y es cierto: https://bitwarden.com/help/article/install-on-premise/

De todas formas lo veo overkill, además que añade más inconvenientes que ventajas... ya que tendrás que asegurarte que tu servidor no se vaya al carajo xd. Si os asusta la nube, cambiad a Keepass que es siempre self-host y a correr.

1 respuesta
Tencru

Se pueden pasar las cuentas de google auth a authy?

1 respuesta
SaKio

#463 Te toca pasarlas de una en una

Ya me toco hacerlo desde Lastpass authenticathor para migrar a Authy+Bitwarden y te estas un buen rato

Akaoni

Si alguie lo conoce , subir archivos encriptados a bitwarden pro, solo funciona con el ordenador?? O también en el móvil?

darkange

#452 Desconocía que Bitwarden Pro tenía lo de buscar las contraseñas expuestas... ha sido ver eso y hacerme premium.

Y

#462 Algún programa de iOS para keepass? Porque no existe y únicamente son alternativas de terceros.

Había visto https://strongboxsafe.com/ que es opensource pero no sé hasta qué punto confiar en una app así puede llegar a exponerte.

kassiusk1

#452 a mi me salen varias, una de ellas la de icloud que es la misma que uso para otroservicoi y el otro no sale, que raro. Cambiando pass.

Estos días configuraré el authy y el bitwarden PRO que me acabo de poner hoy, es probable que venga aquí a dar la chapa.

edit: Lo siyo es proteger a saco el Paypal, Amazon, mis dos cuentas de correo, y con eso es suficiente, no? RRSS, foros, o tiendas online, no tengo tarjeta puesta en ningun sitio, eso aunque me entren no me pueden robar nada, ni dinero ni cuentas ni nada porque al mail no tienen acceso.

1 respuesta
FMartinez

#468 la idea de bitwarden es seguridad y gestor de contraseñas, guarda todo ahi xd

Derik

Qué opináis de 1password? Es mejor bitwarden?

2 respuestas
FMartinez

#470 Teniendo una alternativa open source que cada 2x3 está pasando auditorias satisfactorias... pasate a Bitwarden sin duda.

Por cierto, en llaves U2F como yubikey y así, el tema del 2FA por hardware... es vulnerable a keyloggers?

1 1 respuesta
B

voy preparando un hilo de security keys...

9
kassiusk1

Yo lo de authy no termino de entenderlo. Si pierdo el, no se si podré entrar desde otro, o desde el navegador. Mucho me queda por leer estos días.

2 respuestas
FMartinez

#473 Estos programas 2FA te permiten crear backup encriptados de tu base de datos. Lo suyo es guardarlo en un lugar seguro, por si se te rompe tu dispositivo movil o el PC, poder restaurarlo en otro. Como le pase algo a tu dispositivo preferido y no tengas un backup, estás jodido.

guillauME

#473 Es lo que me ocurre a mi y creo que a #439 que nos da mucho miedo lo de Authy por si pierdes acceso al teléfono porque entonces de nada te sirve la contraseña maestra de Bitwarden.

No he entendido si por ejemplo pierdes el dispositivo(teléfono) donde tienes Authy si puedes recuperar el contenido de Authy de alguna manera o estás vendido. Es que provoca que el teléfono tengas que defenderlo a vida o muerte. He leído lo de la contraseña maestra de Authy y los backupa pero no me ha quedado claro para que sirven.

Es que me parece una locura que puedas perder acceso a Bitwarden debido al F2A.

1 1 respuesta
AikonCWD

#471 Pues me he estado informando.

La yubikey es en realidad un teclado USB. Windows detecta el USB como tal, como un teclado. Al pulsar la tecla se escriben las letras que te dan acceso.
Es "vulnerable" a un keylogger en cuanto a que podrían capturar esas letras que manda la yubikey, pero en realidad eso no compromete nada.

Todo es random, se incluye unos bits con el número de usos y el TOTP generado cambia cada 30 segundos. Es exactamente igual que si un keylogger te captura el código que generas con Authy... queda invalidado a los 30 segundos con el añadido que la yubikey los códigos caducan a los 30 segundos y en el primer uso.

1 1 respuesta
DjScream3

#476 y que opináis de este tipo??

https://store.google.es/product/titan_security_key

Daidum

#475 En los ajustes de authy puedes crear un respaldo de los tokens que tengas añadidos a authy, es tan sencillo como meter una contraseña segura y esa contraseña guardarla.

Pierdes el movil, vuelves a descargar authy, la cuenta de authy va vinculada al número de telefono por lo que ten envian un sms para verificar que eres tu, una vez dentro aparecen los tokens pero no los puedes usar, metes la contraseña que creaste para el respaldo y los tokens se desencriptan y ya los puedes usar.

Yo he hecho este proceso la semana pasasa al haber cambiado de móvil, y ningún problema.

También puedes permitir el multidispositivo en la cuenta y tener otro de backup por si pierdes el principal.

2 1 respuesta
Fwend

Otro que se va a hacer bitwarden pro, llevo usandolo desde que se creo el hilo y contentísimo, solo toca los huevos cuando toca meter a mano una contraseña de estas en la SmartTV o derivados xdd

4
kassiusk1

#478 Eso todo lo gestionas donde? en la propia app o en la web?

1 respuesta