No he hecho el cambio y ya salen problemillas con Bitwarden. Al final nunca me pasaré a ningún gestor por una cosa u otra.
Joder que casualidad ayer justo estaba mirando para pagar el premium y tener 2FA y asi poder quitarme authy y me encuentro esto... y lo peor de todo es que tengo en bitwarden 50 password que como tenga que migrarlas todas pufff
yo ya tenía planeado pasarme a Proton Pass (24$/año) cuando se me acabe la suscripción de Bitwarden.
#1293 se exportan a un archivo y se importa en cualquier otro gestor, eso no es problema
la mejor password es una frase que no te olvides. Por ejemplo.
CamareroUnCafeconlechea30gradosdetemperatura$
Te garantizo que no hay nadie en el planeta tierra que tenga fuerza bruta para romper esa clave, obviamente la idea es que tengas una frase que tu reconozcas facil y que no compartas con nadie. Mi socio siempre me dice que su contrase;a esta a la vista de todo el mundo a la espera de que alguien se de cuenta, y seguramente sea algo en plan. Llevopuestountrajeazulmarinoconunacorbataverde o algo asi
#1282 Pues vaya. En mi caso haré como hda, sigo con Bitwarden porque los cambios tampoco impactan en la calidad del servicio. Si lo he entendido bien, simplemente se han puesto perros con el tema de la competencia y liberar partes del codigo, etc... Si veo que la cosa escala pues tocará migrar pero de momento me quedo con ellos.
#1295 voy más allá
Coge esa chorri contraseña, la pasas por https://www.md5hashgenerator.com y tu Hash es tu pass. Sos inquebrantable hermano.
#1295 #1297 Lo que comentáis está bien y es correcto. Pero tenéis que pensar que siempre habrá algún proveedor que implemente mal su sistema. Y vuestra password de 64 caracteres con entropía infinita quede almacenada en su base de datos que será hackeada y leakeada, a la vista de todo el mundo.
La idea de un gestor de passwords es que te sea fácil y sencillo utilizar passwords complejos únicos para cada web, haciendo que te sea sencillo cambiar un password leakeado sin impactar en el resto de servicios.
#1299 Yo antes usaba un gestor de estos que incluso te auto cambiaba las contrase;as 1 vez por semana y tal pero al final se me hizo muy pesado, Puse una balanza mi comodidad con la seguridad y al final gano la comodidad
#1293zdinch:lo peor de todo es que tengo en bitwarden 50 password que como tenga que migrarlas todas pufff
XDD
bitwarden te permite exportar todo en JSON y luego usar ese fichero para irte a otro gestor de contraseñas.
41 logins de tipo banco/crypto... .madre de dios qué coño haces xD
#1302 JODER y yo pensaba que tenia muchas... lo tuyo es enfermizo xDDDDDDDD
Pagas el premium? acabo de instalar la aplicación en windows (me parece mas cómodo que el complemento) y me imagino que añadiéndole el AF2 será mucho mas cómodo y no tendrás ni que mirar el móvil.
#1305 diferentes exchanges, blockchains (metamask, ronin), mis cuentas bancarias, tarjetas, las de mi empresa, las de mis difuntos padres, las tarjetas de mi chica, mis diferentes paypal (español, argentino, filipino, turco...), etc.
#1306 llevo pagando el premium religiosamente desde que migré. Venía de keepass, cambié en #138 (hace algo más de 4 años). En total, llevo en torno a 10 años usando gestor de contraseñas. Desde hace dos años con yubikey. Si pago el premium de bitwarden es, en efecto, por la comodidad de 2fa, #859 (sí, todos sabemos lo de los huevos en la misma cesta, pero la clave es el equilibrio entre seguridad y comodidad ─cfr. #952) Pero, sobre todo, por poder subir documentos tales como mi certificado digital y algunas otras cosas que considero altamente sensibles.
Por cierto, ahora en noviembre entro en un nuevo curro donde estaré en un proyecto con el INCIBE. Pinta guay.
#1307 Por si no lo has probado, puedes almacenar tu(s) certificado(s) dentro de la yubikey. Es super cómodo sobretodo si te ves con la necesidad de autenticarte o firmar documentos en PC's remotos.
Al introducir la yubikey en un PC (y sin hacer nada más), tu certificado queda disponible dentro del gestor de certificados del PC. En el momento que tienes que autenticarte o firmar documentos, el sistema comprueba que la llave esté pinchada y luego valida la presencia con el botón tactil. Al finalizar, quitas la yubikey y ya nadie puede hacer uso de tu certificado pues la llave privada nunca sale de la yubikey. El proceso queda bajo FIPS, que se usa en diferentes gobiernos así que todo es seguro y dentro de los standars
#1308 ¡ostras! ¡Interesantísimo, Aikon! Lo miro ya mismo. ¿Es compilant con Android?, sería un puntazo. Con win/nix doy por hecho que sí.
¿Serviría también para las ssh? Estaría guay xD
#1309 Ni idea de android. Primero lo que tienes que hacer es descargar el yubikey manager. Y desde ahí importas tu certificado. Hay 4 slots "oficiales" donde puedes almacenar 4 certificados:
- autenticación
- firma
- keys
- cards
Simplemente importa tu certificados en los 2 primeros slots: auth y firma. Extra oficialmente la yubikey tiene hasta 20 slots ocultos, donde podría sguardar 20 certificados diferentes. Para una persona física, con un par tiene suficiente pero en mi curro me ha tocado gestionar hasta 15 certificados diferentes, uno por cada sociedad. Si necesitas acceder a esos slots ocultos te tocará tirar de línea de comandos usando yubikey piv tool (teniendo el yubikey minidriver instalado). Si solo quieres guardar el tuyo de la FNMT pues con el yubikeymanager tienes de sobras.
Cuando pinchas la yubikey y alguna app/web va a buscar los certificades, primero salta un PIN que tu estableces (default 1234, lo cambias desde yubikey manager) y pasado ese PIN te pide presencia con el botón y ya automáticamente te autenticas o firmas. Yo lo uso para la Aeat y poco más. Sin la key no s epuede aceder al certificado y sin el PIN tampoco.
Creo que para SSH podrás si metes el certificado en el slot de auth, aunque ni idea de como configurar Putty para que vaya a buscar el cert en una tarjeta inteligente en lugar de un fichero físico de tu PC...
#1301 No, para cosas importantes tengo dos distintas dependiendo de si es para bancos, o para correo electronico con informacion confidencial. Obviamente en todos los casos tengo autentificacion dos pasos por si acaso.
Luego tengo otra contrase;a para cosas que me la suda porque ni si quiera uso mi nombre real en internet. Creo que a dia de hoy solo tengo dos cosas en internet con mi nombre real y es por tema de fiscalizacion. Cuando era empleado y buscaba trabajo era una movida porque el nombre de mi correo y de mi cuenta de github/gitlab y demas repositorios no coincidia con mi nombre real. Pero es que estaba un poco obsesionado con la huella digital por aquel entonces.
Incluso estuvimos en un proyecto en el que la idea era aprovechar la ley del olvido europea para poder borrar tu rastro de internet pero no funciona bien, google hace lo que le sale de los putos cojones y no borra nada si no lo dicta un juez
Y estuve un tiempo usando yubikey como menciones arriba, pero al final me lo quite con el tiempo.
#1310 Esto es oro. No sé cómo no caí antes en ello. Te lo agradezco un montón. A ver si lo rula con Android, estaría genial. Justo tengo que renovar el certificado digital, que voy a cumplir los 8 años. Conforme me expidan el nuevo lo meto en la yubi del tirón. Gracias de nuevo.
#1312 Yo uso más la yubikey como gestor de certificados que otra cosa xd. Haz la prueba con el actual (o un autofirmado que te inventes) y así le pillas el truco. Es bastante fácil usando el yubikeymanager. Toda la info la tienes bajo el modulo PIV: https://developers.yubico.com/PIV/Guides/
Y justamente acabo de ver esto: https://developers.yubico.com/PIV/Guides/Securing_SSH_with_OpenPGP_or_PIV.html (si no me falla la memoria tú usas OpenPGP para autenticarte con tu SSH server, no?)
#1311 Buff, bueno. Nada recomendable tu forma de gestionar passwords. Estás fuera d elos standars actuales de seguridad. Si continúas así, tarde o temprano te va a tocar cambiar toooodos los passwords en cuanto se suceda el primer leak.
#1308 habláis de los certificados electrónicos emitidos desde la FNMT y organismos autonómicos? Vamos, lo del DNIe pero en certificado en PC? Porque de ser así sería la hostia. Firefox guarda la contraseña de mi certificado pese a que cuando instalo el certificado marco que NO quiero que guarde la contraseña y, por tanto, quiero tener que poner la contraseña del certificado cada vez, por lo que me parece un riesgo enorme tener mi certificado instalado y la contraseña auto guardada, así que al final opto por no instalar certificados y usar el lector de DNIe y es un coñazo enorme tener que conectarlo cada vez.
Tienes alguna guía a mano? O tiro de Google directamente?
#1314 MIentras no haya un data leak de mis bancos, me la pela porque lo demas no tiene nada que me importe la verdad. NO tengo redes sociales, no tengo servicios online , salvo el stack de proton y algun juego de steam. Si me roban steam me la pela y si me roban el correo, bueno eso si seria un problema, pero ya tienen tambien que hacer data breach de protonmail. Para todo lo demas me importa entre 0 y nada .
Pero tomo nota, y tienes razon como hagan data breach de alguno me joden todos los demas
Vaya, no se que he hecho pero he perdido la contraseña de respaldo del authy, pensé que la tenía en el bitwarden y nada.
Solo tengo 3 cosas, una de ellas el 2FA del discord y para quitarlo me pide el código del authy, alguna solución? he reestablecido el authy pero la contraseña de respaldo ni de coña se cual es xD
#1315 Sí, básicamente hablamos de eso.
Esto es realmente útil si de vez en cuando te toca autenticarte o firmar documentos desde diferentes PC's... hasta ahora tenías que ir con tu certificado en un pendrive, instalarlo en el PC, y una vez terminada la gestión no olvidarte de desinstalarlo. Un coñazo.
Con este sistema lo tienes en tu yubikey, lo enchufas, lo usas y al quitar la llave te aseguras que nadie lo podrá utilizar pues la llave privada del certificado jamás sale de la yubikey.
No creo que necesites ninguna guía. Si tienes un ayubikey, instala el yubikeymanager y desde el menú PIV, importas tu certificado. Establece un nuevo PIN (el default es 1234) y ya lo tienes. Ahora en cualquier otro PC pinchas la yubikey y accedes a la web de hacienda (o firma de PDF, etc...), te pedirá primero el PIN y luego pulsar el botón físico.
