KeePass y buenas prácticas

SniperWoolf

Hace un mes que hice el pedido de las yubikey y siguen sin mandarlo ... madre mia. ¿Alguien mas esta esperando que hagan el envio?

1 2 respuestas
Iwywnsb

#1021 Yo sigo esperando también. Pedido hecho el 3 de noviembre. El 15 de noviembre recibí este correo de ellos:

spoiler

En teoría pone en el seguimiento de mi pedido que el 2 de diciembre se enviaba, pero estamos a 3 y aquí no se ha movido nada...

1 respuesta
SniperWoolf

#1022 Yo tambien recibi ese correo. Hice mi pedido el 25 de octubre y pone "Expected to ship by November 30, 2022" pero nada.. Han muerto del exito con la promoción

2 respuestas
Iwywnsb

#1023 Les he escrito esta tarde, cuando me digan algo te comento

1
Unrack

#1021 estoy igual...

1
Iwywnsb

#1023 Me han contestado. Básicamente dicen que puedo cancelar el pedido y me devuelven el dinero, o que hasta mediados de enero de 2023 nada. Quizás lo envíen antes, pero la fecha estimada es mediados de enero de 2023. Yo voy a esperar porque no tengo prisa, pero se va a dos meses y medio desde la fecha del pedido para que lo envíen...

spoiler
1 respuesta
SniperWoolf

#1026 Yo tambien esperare porque el descuento es muy grande y quiero usar las yubikey pero joder, madre mia sin comentarios. No estaban preparados para esta promoción desde luego.

Amazon

Es que, qué prisas, ya os llegará

Es normal que no estuvieran preparados, no os quejéis por quejar tampoco, los pobres

BigFish

Aegis no está para iOS?

1 respuesta
Garcia98

#1029 no, lo más parecido es Raivo

2
FMartinez

Los informes de bitwarden web se agradecen mucho.

Iwywnsb

Para los que estamos con las Yubikeys, @AikonCWD ha escrito este post que es muy interesante, aunque desgraciadamente ya no podemos contar con él por MV, ya que me genera dudas sobre si con KeePass (al ser en local) también sería necesario tener Internet para usar la Yubikey: Yubikey - Destripando sus secretos, ¿vale la pena?

No me mola eso que comenta de las llamadas al servidor de Yubikey y depender de sus servidores para utilizarlas. Si es como comenta, qué pasará si un día cesan su actividad?

2 respuestas
nV8x

#1032 gracias por compartirlo, no tenía ni idea de eso que se comenta, ni de esa página, asi que allí se fueron "todos" xD Se lo han montado bien jaja.

Yo también he hablado del tema aquí mismo https://www.mediavida.com/foro/hard-soft/2fa-fisico-security-keys-668550.
Empezaré a mirarme las alternativas pues.

1
Garcia98

#1032 pero que cojones es ese artículo, ni las claves privadas se mandan a los servidores de Yubico, ni dependes de los servidores de ellos para nada, vaya forma de inventarse un artículo sin saber nada del tema.

1 respuesta
horvathzeros

#1034 deberías leer la parte

Encriptación AES-128 (pinchazo final)

del enlace que han puesto. Es lógico que sea así.

Aunque menciona que yubi te da el SDK para que montes tu server de autenticación

1 respuesta
FMartinez

Hostia... y yo que estaba tan agusto con mis yubikey. Aun asi tener la aplicacion en el movil, que es susceptible de ser hackeado.. no me hace gracia. Y tener un smartphone sin acceso a internet como solo uso de los codigos TOTP me parece algo engorroso xD

Garcia98

#1035 vamos a ver, el modelo de autenticación que se emplee en un servicio determinado depende del desarrollador no del usuario, las YubiKeys soportan una multitud de protocolos entre los cuales el más destacado es WebAuthn que es un estándar abierto y descentralizado.

Por alguna razón el autor del artículo decide centrarse exclusivamente en el protocolo de Yubico OTP, como si fuera el único que soporta aunque sea prácticamente irrelevante existiendo WebAuthn. Es cierto que cuando se fabrica cada YubiKey se guarda una clave en un slot del dispositivo y otra en los servers de YubiCloud, esta clave se usará cuando un desarrollador implemente un sistema de autenticación haciendo uso del API de YubiCloud, y en ningún otro caso más. Si un desarrollador en un entorno empresarial decide usar el protocolo de Yubico OTP podrá programar las YubiKeys de la empresa de tal forma que guarden en otro slot una nueva clave simétrica generada en el momento, que a su vez se guardará en un servidor de validación independiente de Yubico.

Si algún día los servidores de Yubico se caen, sólo afectarán a los servicios que usan Yubico OTP usando a su vez los servicios de YubiCloud, no a los servicios que usan WebAuthn, U2F, OATH, PGP... y sería responsabilidad del desarrollador establecer un plan de actuación en caso de que esto ocurriera, igual que si implementa un login usando Google SSO y algún día los servidores de Google mueren.

8 3 respuestas
Iwywnsb

#1037 Entiendo entonces que si utilizo la Yubikey para abrir mi vault de KeePassXC (además de mi contraseña maestra) no habría problema? Haría falta Internet? Tengo KeePass bloqueado por firewall a las conexiones de Internet y preferiría seguir así

1 respuesta
nV8x

#1037 es decir, cogiendo la yubikey 5 como ejemplo (la más famosa), ésta soporta tanto FIDO2 WebAuthn, como el protocolo "propietario" Yubico OTP, y depende de cada sitio / app qué protocolo quiera implementar para éstas keys, verdad?

Lo acabo de comprobar en Bitwarden. Soportan ésto:

He podido registrar mi yubikey 5 tanto con la opción de YubicoOTP como con WebAuth. La diferencia en cuanto a funcionaldiades, es que con YubicoOTP puedes usar el NFC, con WebAuth no.

2 respuestas
FMartinez

#1039 Recuerdo haber instalado bitwarden en el movil y con la yubikey 5, con nfc, registrar el dispositivo eh?

Garcia98

#1039 básicamente, y con la app de Yubico Authenticator también puedes usar la llave para cualquier servicio que acepte códigos TOTP (hasta un límite de 32). Y lo del NFC me extraña, WebAuthn sí que soporta NFC

1 respuesta
nV8x

#1041 sí, me he colado. Es depende del browser/plataforma que uses que no lo soporta.

En android solo funciona con Chrome :(

Garcia98

#1038 supongo que KeePass usará un slot de la YubiKey para guardar una clave que usará a la hora de desencriptar la base de datos o algo así, ya que lógicamente KeePass no emplea ningún mecanismo de autenticación (y obviamente no requiere ni de los servers de Yubico ni de conexión a Internet).

EDIT: efectivamente, usa un protocolo de desafío-respuesta

1 1 respuesta
horvathzeros

Muy útiles las últimas respuestas, esto añade información y siempre es bueno para todos los que puedan leerla.

Se agradece la explicación #1037

1
Iwywnsb

#1043 Muchas gracias por la explicación y por resolverme la duda!

asterix021

¿Es posible sincronizar las contraseñas de Bitwarden con algún navegador web para autocompletar? ¿Para qué sirve Authy?

1 respuesta
espikiller

#1046 Si tiene extensión en firefox chrome y tal. Authy para generar los códigos de verificación del doble factor.

1 respuesta
asterix021

#1047 Authy sería para poder configurar MFA cuando la plataforma/web en cuestión no lo tiene disponible para usuarios? No termino de entender la utilidad que tiene.

1 respuesta
Garcia98

#1048 es un sustituto a Google Authenticator y similares

1
8 días después
FlameThrower

Otro breach en LastPass. Se llevaron todo el vault con los password encriptados.

1