#1227 Estoy empezando a rallarme mucho con el tema seguridad y mierdas, te veo bastante puesto del tema un pequeño resumen de bitwarden? que tal lastpass?
#1231 para nada, yo de seguridad lo minimo y necesario.
Lastpass ha tenido brechas de seguridad recientemente, asique no me fiaría mucho la verdad. Puedes buscar info en google al respecto.
Y no sé que resumen quieres de Bitwarden, tienes mucha info en su web oficial, desde guías hasta posts y blogs sobre diferentes cosas. Es un gestor de contraseñas en la nube, al igual que Lastpass o el nuevo ProtonPass.
Luego también puedes hostear tu propio vault de bitwarden de forma local, o usar keepass, etc..
KeePassXC permite secuencias automatizadas definidas por el usuario, pero se restringen a la entrada donde hayamos definido esa secuencia, me interesaría poder generar una secuencia que pudiera usar en cualquier sitio.
Por ejemplo, algunos sitios te piden el IBAN pero por alguna maldita razón te lo piden en el antiguo formato de Cuenta Corriente Cliente, es decir 4 dígitos de la entidad, 4 de la sucursal, 2 dígitos de control y los 10 de la cuenta, si en la entrada de mi banco genero un nuevo atributo, puedo crear una secuencia pero sólo para usar con esa entrada, no en otra.
Se que lo puedo hacer con programas de automatización de tareas aparte del KP.
6 meses después
Estoy haciendo la migración a Bitwarden+Authy/Aegis que tenía pendiente desde hace mil y me preguntaba si hay alguna configuración óptima para la app de Bitwarden en Android, cuando queréis iniciar sesión y tal en cada web hacéis todo el ciclo de abrir vault->copiar pass->introducirla->2FA... ?
Desde el PC es más fácil con las extensiones de los navegadores la verdad.
Y otra cosita, creéis que es necesario guardar los hashes que generan los TOTP?
#1234pelusilla6:Y otra cosita, creéis que es necesario guardar los hashes que generan los TOTP?
Depende. Si tienes los códigos de un solo uso no es necesario. En caso de que pierdas acceso a Authy puedes usar uno de esos códigos y desactivar/activar el 2FA.
Si quieres estar tranquilo puedes guardar los hashes y usarlos para generar los OTPs con cualquier otra aplicación sin tener que pasar por el proceso de desactivar/activar el 2FA de nuevo.
Yo cuando pincho en un campo susceptible de ser login/pass me sale un mensaje flotante de bitwarden con las posibles coincidencias. Esto si tengo el vault abierto, si no, me da la opción de redirigir me a la app de bitwarden paaa abrirlo y autocompletar los campos.
5 meses después
Me ha dado un sustito, pero leyendo parece que era un endpoint sin autenticar que devolvía números de teléfonos (o realizaban una enumeración).
Twilio says that the hack used what it describes only as an "unauthenticated endpoint." The company has now stopped allowing such unauthenticated requests, and says it has secured this particular endpoint.
#1241 El titular usando "hacked" un poco amarillista, pero bueno, nada más allá de los posibles phishing
Ahí están uno de los problemas de aplicaciones que requieren registro para usarlas, y en especial cosas de seguridad. Este tipo de situaciones, que son una putada para la gente que las usan, no hace más que reafirmar mi gusto por lo local, y en el caso de aplicaciones de 2FA y gestores de contraseña, reafirma mi recomendación de usar Aegis + KeePassXC. Todo local, y todo sin registros online ni cuentas.
Aunque ahora vaya a quedarse en nada, tener algo tan crítico como tus contraseñas y tokens de 2FA en un servicio accesible desde Internet es jugar a la ruleta rusa. Todo lo online, puede costar más o menos, pero es susceptible de ser atacado. Ahí está el caso de LastPass también
#1243 me apunto tu recomendación, lo complicado muchas veces es tener el conocimiento de implementarlo y luego mantenerlo.
#1244 No he usado Authy nunca, pero dudo mucho que Aegis sea muy diferente de Authy, excepto por el hecho de que no tienes que registrarte o dar ningún dato tuyo para usar la app, y que las copias de seguridad las tienes que hacer tú manualmente (aunque creo que hay una opción de sincronizarlo con Google Drive -usando Android- cada vez que el móvil genera una copia de seguridad en Google Drive, pero no lo he probado, hago siempre mis copias de seguridad manualmente y me las guardo en un sitio seguro)
#1243 lo local también es susceptible de ser atacado si la maquina está conectada a Internet. Simplemente es mucho más probable que tengas alguna falla en tu sistema que en uno de una empresa que se dedica a la seguridad.
Al final si no eres un objetivo jugoso el punto dulce está en algún gestor de passwords online y 2fa. Hacerlo local es mucho más inseguro. Has de sincronizar a tu manera los vaults y tienes muchos números de meterlos u olvidarlos en cualquier lado.
Yo usaba keepass hace años y me acabé cambiando a algo full online por esto mismo. Acabas teniendo la vault en 20 dispositivos, moviles, portatiles, tablets, en los backups, etc. y al final para tener una falsa sensación de seguridad que se desvanece cuando empiezas a ver vaults dobladas.
Si hoy día tuviese que repetirlo montaría un servidor privado de bitwarden, pero estaría en las mismas. No compensa para el tipo de objetivo que soy.
#1246 Lo normal es que nadie sepa qué tengo en mi PC, sin embargo sí que se sabe que una web como la de Authy o LastPass tiene contraseñas para accesos a páginas webs, entre los que se incluyen páginas muy sensibles como bancos, correos electrónicos, etc... Que yo sea un blanco de ataque debería ser por alguien que me conoce y le interese algo que yo tenga, y que a eso se sume que esa persona tenga conocimientos como para acceder a mi PC es mucho más difícil que una persona con conocimientos ataque una web en la que sepa que hay algo jugoso de por si.
Lo de sincronizar los vaults no puedo decirte ya que yo, por mi uso, no le veo sentido a tener mi vault en cualquier otro lugar que no sea mi PC. Y este vault tiene copias de seguridad que actualizo de forma habitual en dispositivos locales, por lo que está protegido. De todos modos siempre puedes usar la nube y sincronizar ese archivo de forma automática para que siempre esté actualizado.
#1247 en ningún momento he dicho nada de guardar contraseñas en el navegador xD
Authy no había sido hackeada hace un tiempo? en 2021 o 2022 o por ahí? No sé porqué la gente la sigue usando la verdad.
Ya el tema del teléfono y tal no es que sea una buena señal desde el punto de vista de la seguridad. Pero ver que fueran hackeados o tuvieran problemas en el pasado, debería de ser motivo suficiente para que todo el mundo se bajase del barco.
Qué sistemas de mfa hay a nivel Authy? Google Authenticator y que más. A mi no me gusta tener en el mismo ecosistema todo.
Correo por un lado, pass por otro y mfa por otro.
#1248Iwywnsb:Lo normal es que nadie sepa qué tengo en mi PC
Cualquiera que tenga acceso a tu máquina, y no es tan dificil como crees, hasta a algo tan nímio como al CS se le encontraron multiples vulnerabilidades para ejecutar código remoto, lo primero que hará es escanearte en busca de llaveros/vaults.
Eso no lo va a hacer ningún conocido, si algún "conocido" te tiene en el punto de mira no tienes nada que hacer, lo normal es que lo hagan bots de manera automatizada sin importarles que la máquina sea tuya o del vecino.
Meter una vault local en cualquier cloud service es lo peor que puedes hacer y, en mi caso, no me imagino la vida sin tener las contraseñas mínimo en el móvil. Que hay que meter la key en la tele, o en casa de un colega o en cualquier otro aparato y la necesitas disponible.
Estoy de acuerdo en que si realmente la necesitas monopuesto, algo extraño, entonces usar un servicio online no te ofrece tantas ventajas como el local.
Yo estoy contento con Bitwarden + Google Authenticator. Imagino que Bitwarden al ser online no será lo más seguro del mundo, pero bueno, para mi es el balance perfecto entre comodidad y seguridad.
Realmente se han filtrado nºs de teléfono sin más? Quién cojones no tiene nuestros teléfonos en los millones de leaks que ha habido estos años.
Yo estoy usando Authy como 2FA , y estoy pensando en cambiar, entre otras cosas porque no me acuerdo de la pass y logeo solo con huella.
Recomendaciones para alguien con 0 idea ?
#1257 Yo uso el bitwarden de pago, pero por seguridad le tengo puesto que se bloquee el vault cada X tiempo y pida pw, supongo que lo puedes quitar
Otra opción es que te compres un yubikey
1 mes después
pues he probado el Proton Pass y me ha gustado bastante
Pros:
- Interfaz pulida y buena integración con los formularios
- 2fa integrado
- generador de alias de emails
Cons:
- 23$ al año
En la suscripción te entra el generador de 2fa y los alias. Aunque creo que está algo bugueado jaja.
Importé el baúl desde Bitwarden y ahí ya tenia mis tokens de 2fa, por eso los sigue generando con el Proton Pass tambien. No me deja cambiar o crear nuevos tokens, eso sí.
Pero lo de los alias sí que no lo entiendo porque me deja 
De momento voy a probar el plan gratuito una temporada a ver, a ver si lo de los mails me lo capan o no.
La usabilidad y UX me parece muy superior, sobretodo con el tema de los alias, que aunque puedas usar simple login aparte, con su integración es mucho más agil y facil de usar.
#1259 al final es lo de siempre; comodidad vs tener todo en la misma "cesta"
Yo no lo he probado precisamente por eso. Tengo protonmail como proveedor de email, y bitwarden como gestor de contraseñas, y aún pudiendo usar el 2FA de bitwarden uso Aegis.
Aunque la verdad que el ecosistema de proton si siguen metiendo cosas y mejorando todos los servicios va a quedar bastante redondo y pillar la sub de Proton Unlimited durante el black friday o así para pagar 7€/mes en vez de los 10€ que cuesta de normal no parece mala idea.
Email + 500gb de drive (que están metiendo documentos, etc.. supongo que en un futuro meterán hojas de calculo también) + VPN + ProtonPass + Suscripción premium de Simplelogin + nose si incluyen los planes de pago de StandardNotes..
