KeePass y buenas prácticas

B

#60 La app para Google es la de Authy también? Requiere tener cuenta en authy si o si para poder usar Google authenticator?

1 respuesta
preguntitas

#61 , no, es el apartado de "por aplicacion" y puedes usar google o authy. Simplemente van igual y puedes usar el que quieras.

Tu dale, que sale el QR.

1 1 respuesta
B

#62 Vaaaaaale, ahora sí, pensaba que ese código era para solo para Authy, no me había dado cuenta que también servía para Google.

polaritySYS

Estoy probando el bitwarden por consejos de aquí y va bastante bien. Cumple.

Es el Aunthy el que no tengo tan claro si es necesario, ya que el telefono (por ej) ya trae autenticadores en 2 pasos. Se me escapa algo?.

EDIT Bitwarden tiene alguna característica para crear pass random?.

1 respuesta
B

#64 Como hemos hablado, tienes dos opciones de 2FA, el de Authy o Google Authenticator, puedes elegir el que quieras que la función es la misma. Es necesario porque si te cazan la password maestra, sin 2FA pueden acceder a la base de datos.

#64polaritySYS:

Bitwarden tiene alguna característica para crear pass random?.

Sí.

1 1 respuesta
polaritySYS

#65 Justo lo acababa de ver y ya iba a editar, gracias de todas formas.

Como habilito la comprobación en 2 pasos?

1 respuesta
B

#66 https://www.mediavida.com/foro/hard-soft/me-hackean-cuenta-twitch-sale-mal-628986/4#105

1 1 respuesta
polaritySYS

#67 Gracias, le echo un ojo.

beltez

Lastpass y msecure GG

SaKio

Bitwarden esta bien, pero le falta mejorar el autorrellanado que en Lastpass va fenomenal

polaritySYS

El generador de claves junto con los campos del bitwarde. Me ha parecido de 10. Me queda probar el aunthy y ver cómo anda todo.

Probaré el lastpass también aunque el bitwarden me pareció cojonudo.

@AikonCWD buenos gif tutoriales. Se agradecen.

elfito

Pregunta sobre bitwarden. Existe la posibilidad de usar un archivo como desbloqueador?

#29

Desde luego que no es mejor xD. De hecho sería más recomendable que pongas frases celebres de confucio antes que reglas memotécnicas.

Huelga hablar de cierto hacker en la defcon que le pillaron la regla memotécnica replicable y tuvo que dejar la conferencia (de la que era ponente) a medias xD

1 respuesta
AikonCWD

#72 Creo que no hay keyfile. El 2FA es infinitamente mejor y más seguro.

Por cierto, el password correcthorsebatterystaple aparece en 114 veces en leaks de passwords. Hay gente que lo ha llegado a utilizar xddddd

1 2 respuestas
elfito

#73 La gente no dejará de sorprenderme nunca xD

hda

#73 qué maravilla xDDDDDDDDD

Por cierto, no me has contestado a #56 y me he quedado pillado porque igual me estoy saltando algo.


Acerca de bitwarden debo decir que me siento reticente a tener mi vault en una nube privada. Creo que he visto que puedo montar el vault en un servidor propio, ¿sí?

Además de que es un servicio freemium.

2 respuestas
polaritySYS

#75 O dejarlo tal cual en bitwarden. Mientras no te levanten la clave maestra . Yo había pensado lo de la nube, pero es que no me acabo de fiar. Como dicen x ahí arriba el F2S puede funcionar mejor.

Pero escucho ideas . Tengo claves de las cryptos, PP, que son críticas .

1
AikonCWD

#75 Bitwarden no utiliza el clipboard para hacer el autologin, así que un keylogger que controle el clipboard no debería afectarle. Si luego tu entras en tu vault, y copias el password entonces sí, claro.

Fíjate como funciona el autorelleno, no pasa por clipboard. Se puede automatizar para que ni tengas que hacer click derecho.

A tu segunda pregunta: Que problema tienes con que el vault esté en la nube y no en local?

2 1 respuesta
hda

#77 No entiendo la justificación que das. Aunque hagas click con el ratón o con un shortcut eso pasa por memoria sí o sí, por tanto se podría sniffear. ¿Qué me estoy perdiendo? xD

Acerca de lo que se guarde en una nube privada me da respeto por si cambian el TOS en cualquier momento y el servicio que hasta ahora es freemium pase a ser 100% premium (una vez tengan una cuota de mercado grande). Lo que más me tira para adelante es el 2FA, porque es una capa muy interesante.

A mí me gusta tener mi vault en local y saber que puedo manejarla como quiera, pero lo del 2FA me tira mucho. También me tira lo que comentaba antes, poder incrustar en el vault documentos (como mi certificado digital, por ejemplo). Esta opción la tiene bitwarden solo apoquinando. Entiendo que es una empresa y que tiene que sacar beneficio.

No sé, estoy muy tentado a migrar. Siempre puedo migrar e ir exportando periódicamente las pw a keepass (¿bitwarden permite esto, no?). Lo cierto es que llevo una praxis pésima porque uso asimismo el vault integrado de chrome...

3 respuestas
polaritySYS

#78 El último párrafo de tu duda no lo comprendo. Das a entender que keepass si deja meter el certificado digital? En bitwarden correcto, hay que ponerse premium.

A qué nube privada comentas? Por qué por ej, Dropbox hace 1 año que tuvo una filtración. Y ahora mismo uso Drive para documentos inocuos.

1 respuesta
AikonCWD
#78hda:

No entiendo la justificación que das. Aunque hagas click con el ratón o con un shortcut eso pasa por memoria sí o sí, por tanto se podría sniffear. ¿Qué me estoy perdiendo? xD

Que en la práctica no es viable hacer un sniffer así. El creador del sniffer debería hardcodear las direcciones de memoria dónde se almacena el cuadrito de texto en cada aplicación. Teniendo en cuenta que cualquier update de dicha aplicación (un update del chrome/firefox) movería esas direcciones y el sniffer dejaría de ser efectivo.

Otra opción sería un hook a la librería memcpy() o similar, pero eso tampoco es viable, ya que eso snifaría cualquier movimiento de memoria en el sistema, siendo imposible discriminar el dato que el sniffer necesita y rechazar la ingente cantidad de datos que no necesita y sí pasan por memcpy(). Lo viable es monitorizar el clipboard con una API y ya, así que mientras te alejes del clipboard, no veo modo efectivo de construir ningún keylogger sniffer que sea capaz de mantener una base de datos perfectamente actualizada de las zonas de memoria a dumpear de todas y cada una de las aplicaciones, idiomas del proceso, actualizaciones, etc...

1 1 respuesta
AikonCWD

#78 bitwarden es de código abierto, si eso que dices ocurre simplemente exportas y migras a otro vault.
Un vault en local añaden una opción más a que te roben el vault en tu PC/USB o se te rompas el disco duro y lo pierdas.
Creo que en keepas puedes incrustar archivos, por lo que comentas de tu certificado.
Puede importar y exportar en bitwarden a diferentes plataformas

El vault integrado de chrome es una basura, no lo uses. Cualquier mierda de malware cutre-chino tienen APIs para dumpear los vaults de IE, chrome y firefox. Meter cualquier dato ahí es un suicidio xd

1 respuesta
hda

#79 en keepass puedes meter documentos. Desconozco el tamaño máximo, pero puedes. Y bien cifraditos que quedan.

#80 #81 gracias por la respuesta. Entiendo que es demasiado complicado. Pero el caso es similar con keepass, yo cuando ejecuto el shortcut el programa coloca los datos en los campos (y si no recuerdo mal hace eso de ir poniéndolos char a char para que sea más difícil de trazar la dirección de memora, ahora busco sobre esto, creo que lo leí hace un par de años).

Entiendo que permite un fácil export bitwarden por si pasase algo así.

@polaritySYS hablo de la nube donde se guarda el vault en bitwarden, que es de su compañía. No tienes acceso a manejar la bbdd. Pero si, como dice Aikon, se puede exportar no habría demasiado problema.

Es muy posible que migre entonces.

Ref: https://keepass.info/help/v2/autotype_obfuscation.html
Ref2: https://keepass.info/help/base/security.html#secmemprot

1 3 respuestas
AikonCWD

#82 Ya veo, esa ofuscación de clipboard que comentas es opcional y deshabilitada por defecto, ya que solo funciona en ventanas window y browsers, no en terminales ni juegos. Keepass por ejemplo te limpia el clipboard tras utilizarlo para mayor seguridad.

Si estás contento con keepas, no cambies. A mi de bitwarden me ha gustado mucho su diseño y su integración con el smartphone. Si entro en una App del movil o en una web que me pide login, lo reconoce y selecciona el credencial correcto de mi vault (previa validación de mi huella dactilar). Por esta razón uso bitwarden.

1 respuesta
hda

#83 lo valoraré. Realmente el 2FA me tira mucho para adelante. Y esa integración de la que hablas para la auto-identificación (previa huella digital, por ejemplo) me parece buena forma de facilitar la vida. Si al final estoy tirando del vault de chrome integrado es porque me resulta más fácil eso que ir manualmente al KP, buscar el registro, seleccionarlo y activar el shortcut para que pegue user&pass.

Quizás debiera buscar algún plugin contrastado de KP que haga algo parecido xD

De 2FA no hay nada posible, al estar la bbdd en local no tiene sentido.

1 respuesta
polaritySYS

#82 Vale, es que estoy en el bus y pensaba que hablabas de las nubes, no lo asocie a la del amvault. Perdón.

Sobre lo que dice aikon. Me ha parecido muy cómoda la bitwarden aunque tiene sus taras, para cosas concretas funciona de maravilla. Voy a probar el keepass también, pero el BIT y el aunthy canela en rama.

A

#84 Keepass tiene el plugin Kee que hace lo mismo que la captura de Aikon

1 respuesta
hda

#86 ¿me lo podrías enlazar?

1 respuesta
P
#46AikonCWD:

El keylogger te pilla las pulsaciones de teclas

Ya, pero yo jamás pulso las mismas teclas con los mismos dedos cuando meto contraseñas, por lo que ahí estoy a salvo.

A

#87 https://keepass.info/plugins.html#kee tambien tienes plugins de OTP pero no los he usado en mi puta vida pero te hacen el apaño de 2FA

1
tiche

#82 sssstiaputa!, y yo que con 32 registros ya pensaba que tenía un cojón de claves en KeePass... lo tuyo ya es demencial a mi lado xD

2 respuestas