Gestores de contraseñas
#1
Como esta web lleva unos dias bastante tranquila voy a aprovechar para hablar del tema de las contraseñas en nuestros nas y en otros servicios. En nuestro nas deberíamos tener una contraseña de acceso que fuera lo suficiente compleja ( mayúsculas - minúsculas y símbolos ) y larga y acompañando a esta hacer uso del 2FA de nuestro nas. El problema de esto es que una contraseña compleja es difícil por no imposible de recordar. Y la mejor manera de poder recordarlas es hacer uso de un buen gestor de contraseñas. Gestores de contraseñas hay muchos pero me voy a centrar en dos en que sus versiones gratuitas son muy completas y son también OFFLINE, o sea, que no almacenan esas contraseñas en ningún servidor externo. Los dos cuentan con extensiones para el navegador ( en las que me voy a centrar ) y aplicaciones para todo tipo de dispositivos.

Bitwarden:   https://bitwarden.com/

- Versión de gratuita vs versión de pago: La versión gratuita tiene las funciones comunes a otros gestores de contraseñas. La versión de pago ( 10 euros al año ) añade el 2FA integrado.

- Usabilidad de la extensión: La extensión está protegida con una contraseña maestra que tenemos que poner cada vez que abramos el navegador y queramos hacer uso de ella. Sin embargo hay un ajuste en la extensión que permite tenerla siempre desbloqueada aunque cerremos y volvamos a abrir el navegador. Una vez accedemos a la web en la que tenemos que poner usuario/contraseña vemos que en la extensión nos aparece un número reconociendo que tiene esos datos.

   

Al darle se nos rellena automáticamente los datos en la web que queremos acceder. Si esa web está protegida por 2FA desde la misma extensión copiaremos el código correspondiente.

   


Myki:   https://myki.com/                            Análisis con más información:     https://www.redeszone.net/2019/03/12/myk...as-gratis/

- Versión gratuita vs versión de pago. La versión gratuita lo tiene todo incluido el 2FA. La versión de pago es para grupos.

- Usabilidad de la extensión: Cada vez que abrimos el navegador la extensión está bloqueada.

   

Para desbloquearla se nos envía un mensaje de texto a nuestro teléfono móvil ( hay que tener la aplicación myki instalada en el móvil )

   

Desde la aplicación myki del móvil desbloqueamos la extensión y ya podemos usarla. Eso si, si cerramos el navegador y lo volvemos a abrir hay que repetir el proceso.

Al acceder a una web en la que se nos pida usuario/contraseña diréctamente se nos ofrece acceder desde myki sin tener que hacer nada más.

   

Esto es válido incluso si la web está protegida con 2FA. Como se ve en la imagen al darle a lo que nos propone myki se rellenan automáticamente los campos usuario + contraseña + 2FA y se accede diréctamente a la web en cuestión sin tener siquiera que darle al botón de acceder.
  Responder
#2
Hola

Yo estuve probando bitwarden en un docker, pero llámame desconfiado, y no es algo que expondría a internet.
Hay que estar muy pendiente de su seguridad.
Para uso interno lo veo muy bien y también externo SI usamos una vpn para acceder a el.

De Myki no puedo hablar ya que me baje la aplicación para iOS pero no continúe ya que me pedía mi número teléfono.

Yo uso keepass como gestor. Los clientes pueden ser Windows, iOS, Android, … se basan en un archivo que se abre con una contraseña maestra y/o un archivo llave y/o la id de Windows.

Ese archivo para que pueda ser usado por varios clientes tendremos que tenerlo en algún tipo de almacenamiento compartido entre los dispositivos.

No es tan avanzado a nivel de integración como myki, pero es bastante fácil de gestionar y hacer copias de seguridad.
Guarda el historial de las contraseñas cambiadas, permite indicar vigencias, organizar por carpetas, añadir archivos a una clave (por ejemplo una imagen de coordenadas), escribir notas,…

También se pueden definir disparadores, para que al guardar, se haga una segunda copia en otra ubicación (por ejemplo a una carpeta de nextcloud)

La lástima es que no hay cliente para la nas
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny y TS-453Be) Ʀɐɯ0η
  Responder
#3
Los gestores de contraseñas los llevo usando relatívamente poco tiempo, un par de años. Antes tenía la mala costumbre de usar la misma contraseña para todo y ésta no era demasiado complicada aunque alternaba entre letras y números. De hecho era la contraseña para conectar a internet en los viejos modems telefónicos en la primera conexión a internet que tuve hace ya bastantes años. Me aprendí de memoria esa contraseña y la he estado usando para todo un montón de años. Cuando hace pocos años se puso de " moda " hackear cuentas entonces pensé en contraseñas más robustas y los gestores de contraseñas. El primer gestor que usé fue precísamente Keepass. El problema que le ví desde el principio es que es más feo que pegarle a un padre eso unido a la mala usabilidad e integración. Así que empecé a usar bitwarden y a las pocas semanas de usarlo me gustó tanto que pagué por la versión de pago para integrar 2FA más el hecho de poder utilizar una llave de seguridad Yubico para proteger la cuenta aunque las contraseñas nunca se guardan online.

En cuanto a Myki lo descubrí hace poco tiempo y lo estoy probando. Bien es cierto que para crear la cuenta hay que dar el número de teléfono. No le veo demasiado problema en cuanto a eso, lo damos para Signal o Whassapp. Las contraseñas no se guardan en ningún servidor externo. Y en cuanto a usabilidad los dos programas tienen sus ventajas e inconvenientes. De bitwarden me gusta no tener que estar poniendo la clave maestra cada vez que abro el navegador. Y de Myki me gusta que nada más acceder a una web sólo tenga que pulsar y acceder.

Por no alargar antes el post no hablé de todas las demás funciones que tienen los dos programas que son las mismas o más que keepass cómo son generador de contraseñas, almacenamiento de contraseñas por carpetas, posibilidad de compartir con otros las contraseñas, escribir notas, almacenamiento de tarjetas de crédito, etc.

Y ese era el objetivo de este post, hablar de 2 programas que nos hagan la vida más fácil en términos de usabilidad que era lo que intentaba explicar a la hora de guardar y gestionar contraseñas potentes.

Por cierto, me parece muy curiosa la seguridad de Myky. Como he dicho, al igual que bitwarden, se puede utilizar como cliente de escritorio windows - linux, cómo extensión del navegador y cómo cliente móvil. Para empezar a usar todo esto lo primero que se hace es instalar la aplicación para el móvil. Si no se hace así lo demás no funciona. Hecho esto podemos poner la extensión para el navegador pero para poder usarla la primera vez hay que emparejarla con la aplicación del móvil mediante un código QR. Esto nada más instalarla, una vez que esté emparejada hay que desbloquearla cada vez que la usemos desde el móvil. Lo mismo hay que hacer para el cliente de escritorio. En el caso de éste último en un ordenador linux para iniciar la aplicación, una vez emparejado con el móvil, pide dos contraseñas, una para acceder al almacen de claves y una segunda para ejecutar la aplicación. Para ejecutar la aplicación en el móvil también pide contraseña. En el caso de la extensión para el navegador ya he comentado que para desbloquearla hay que hacerlo desde la aplicación del móvil. Pero una vez desbloqueada la extensión si queremos ver una contraseña guardada hay que hacer una segunda petición a la aplicación móvil para que ésta envie la contraseña a la extensión para poder verla.
  Responder
#4
Hola

Bitwarden me parece una buena solución, siempre que tengamos una buena copia de seguridad. Siempre deberíamos tener un acceso alternativo en caso de caída de bitwarden. Y eso me preocupa bastante.

Esto último es extensible a cualquier aplicación de este tipo. Hay que buscar su alternativa en caso de caída.

Tengo la cabeza en tantos sitios, que no recuerdo si puse en el foro como instalar bitwarden en un docker.

En cuanto a dar el número del móvil para Myki… no, no es lo mismo que signal.
Signal lo usa precisamente para identificarte y que tus contactos puedan saber que lo tienes.

Pero en esta aplicación no tiene sentido. Me recuerda a esas aplicaciones de fotos que piden acceso a los contactos .
Ya se que parezco algo estricto, pero he llegado a un punto que si algo no me convence, no sigo con ello o me salgo (como hice en whatsapp y eso que yo compré la aplicación ). Y como sigan así las cosas, haré lo mismo con google y su recua.

Una cosa muy importante que nos tenemos que tatuar y que haces bien, es NO tener la misma clave en todos los sitios.

Y en cuanto a la dificultad de las claves, tampoco hay que complicarse mucho. Ya que te encuentran una vulnerabilidad trasera y se pasan por el arco de triunfo tu clave y el 2FA . Es mejor tener un sistema de avisos que te indique cuando alguien se identifica en tu equipo.

Otro tema es el dejar que el generador de claves la escoja por ti. Yo las prefiero manuales que luego las autogeneradas son muy complicadas de introducir a mano. Y dependeremos totalmente del widget o complemento para usarlas.

Como no lo he probado. ¿Como hace wyki para las copias de seguridad ? ¿Se puede usar en el móvil en modo fuera de línea?
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny y TS-453Be) Ʀɐɯ0η
  Responder
#5
Hola, voy a ver si te respondo a todo. Coincido contigo en que en el tema de la complicación de las claves no hay que calentarse mucho la cabeza. De nada sirve tener una clave muy robusta si la aplicación que la gestiona tiene una vulnerabilidad. Y tampoco sirve si la web que protegemos con esa contraseña robusta no protege bien esos datos. Sin ir más lejos tenemos los casos cercanos de the phone house y ayer mismo de Glovo. Por tanto lo único que queda es con cuidado y un mínimo de seguridad CONFIAR. Confiar en que no nos toque. Mientras tanto no nos queda otra que ponerselo a los malos lo más difícil posible. Y lo bueno de un gestor de contraseñas es que nos permite recordar y usar contraseñas extremádamente complejas con toda facilidad.

En cuanto a la petición del número de teléfono tampoco se porqué es así. Le acabo de echar un vistazo a los permisos que utiliza la aplicación móvil y sólo tiene el permiso de la cámara que se utiliza para escanear el código QR para enlazar los otros dispositivos.

En cuanto a bitwarden permite exportar e importar la copia de seguridad tanto desde la extensión como de la aplicación de escritorio.

En cuanto al uso de Myki en el móvil varias cosas. Funciona fuera de línea. Permite hacer copia de seguridad tanto en el móvil como en el pc. Lleva su propio navegador integrado de tal manera que al abrir la aplicación y acceder a una de las cuentas diréctamente abre ese navegador y esa web y pone todos los datos automáticamente y se accede en un segundo. Por supuesto también se puede abrir la aplicación y copiar y pegar los datos en otro navegador.

En cuanto a la extensión y a la aplicación de escritorio te pongo unas imágenes para que lo veas.

Extensión para el navegador:

   

   

   

Aplicación de escritorio ( en mi caso Manjaro ):

   

   

Mas información sobre myki sacada de su web, la he traducido:

¿Dónde almacena MYKI mis contraseñas?
MYKI almacena sus contraseñas localmente en los dispositivos habilitados para MYKI.

¿Qué ocurre si pierdo o cambio mi teléfono u ordenador?
MYKI almacena automáticamente copias de seguridad en cualquier dispositivo en el que tenga instalado MYKI. Esto le permite recuperar sus datos desde otro dispositivo en caso de que le ocurra algo a su teléfono u ordenador . También puede crear copias de seguridad manuales de MYKI que generarán un archivo '.myki' que puede almacenar en cualquier ubicación que considere segura.

¿Cómo se comunica MYKI con mi ordenador?
MYKI puede instalarse como una aplicación de escritorio en tu ordenador o puedes emparejar la app de tu smartphone con tu ordenador a través de la extensión del navegador de MYKI que se instala en el navegador de tu elección. La conexión de la aplicación con la extensión de MYKI se realiza escaneando un código QR en su ordenador con la aplicación de MYKI (vea los pasos aquí). Así se crea un enlace cifrado de extremo a extremo entre la aplicación de MYKI y la extensión del navegador de MYKI que permite que su teléfono y su ordenador intercambien de forma segura contraseñas y otros datos sensibles.

¿Cómo puedo añadir mis contraseñas a MYKI?
Hay tres maneras de añadir sus contraseñas a MYKI. La primera es a través de la aplicación de MYKI. Puede hacer clic en el signo "+" y escribir manualmente su nombre de usuario y su contraseña para el sitio web seleccionado. El segundo método es a través de la extensión de Chrome mientras navegas. Cada vez que acceda a un sitio web en su ordenador que tenga una extensión de cromo de MYKI emparejada, MYKI le pedirá que guarde la cuenta en su aplicación de MYKI. Al hacer clic en el botón de guardar, la cuenta se añadirá a MYKI, lo que permitirá a MYKI rellenarla automáticamente a partir de ese momento. El tercer método consiste en importar sus cuentas desde Google Chrome u otro gestor de contraseñas a través de la extensión de Chrome de MYKI siguiendo los pasos de nuestra guía (Importar sus contraseñas existentes a MYKI).

¿Cómo puedo sincronizar mis contraseñas con mi ordenador?
Tanto si tiene instalada la aplicación de escritorio de MYKI como si sólo confía en la extensión del navegador que está emparejada con su smartphone, los datos se sincronizan sin problemas de forma encriptada de extremo a extremo entre las diferentes aplicaciones de MYKI en segundo plano. No es necesario hacer nada para trasladar los datos de un dispositivo a otro.

¿Cómo se encriptan mis contraseñas mientras se envían al ordenador?
Para emparejar la aplicación de MYKI con el navegador del ordenador a través de la extensión del navegador de MYKI, escanea un código QR que contiene una clave de cifrado AES256-CBC que sólo ven la aplicación de MYKI y la extensión del navegador de MYKI. Cada vez que solicite una contraseña u otros datos sensibles a la aplicación de MYKI, los datos se cifran con esta clave de cifrado y se envían por Internet de forma cifrada de extremo a extremo a su ordenador. Esto garantiza que la comunicación entre la aplicación y el ordenador sea siempre segura. Cuando se desconecta la aplicación de MYKI del ordenador, ya sea pulsando el botón de desconexión en la aplicación o en la extensión, la clave se borra de ambos extremos y la extensión elimina cualquier dato sensible que contenga, incluidos los datos de sesión que haya generado. Cuando se desconecta la aplicación de MYKI de un ordenador, se cierra la sesión de todas las cuentas en las que MYKI ha iniciado la sesión, lo que resulta útil en diferentes casos de uso.

Y en relación a porqué piden el número de teléfono ( traducido también ):

Almacenamos una versión encriptada del número de teléfono con el que te registraste para permitirte restaurar tus datos en un nuevo dispositivo, para poder enviarte notificaciones y para permitir compartir credenciales entre usuarios.

¿Dónde almacena MYKI el almacén de contraseñas?
MYKI almacena su almacén de contraseñas localmente en los dispositivos en los que tiene instalado MYKI.

Su bóveda se sincroniza de manera encriptada de extremo a extremo a través de diferentes aplicaciones de MYKI.

Nuestros servidores de retransmisión se utilizan para sincronizar su almacén encriptado entre los diferentes dispositivos.

¿Cómo asegura MYKI los datos en movimiento?
Encriptación de extremo a extremo entre los dispositivos que haya inscrito

Todo el tráfico es a través de HTTPS
Se utiliza RSA2048 para cifrar una clave AES-256 que se utiliza para cifrar los datos retransmitidos. Cualquier mensaje emitido también está firmado digitalmente.
El intercambio de claves se realiza mediante el escaneo de un código QR
Las contraseñas compartidas se encriptan con AES-256 con una clave aleatoria que se encripta con RSA-2048

En resumidas cuentas:

Las dos aplicaciones no almacenan las contraseñas en ningún servidor externo. Eso sí, bitwarden hay que registrarla mediante web al contrario que Myki que sólo pide el número de teléfono. Las dos son de código abierto. La opción gratutita de Myki incluye el 2FA. La comodidad de uso es muy grande en las dos incluso un punto superior en Myki. En mi modesta opinión aunque las dos utilicen encriptación el sistema de seguridad de Myki me parece muy superior al de Bitwarden.

Y en cuanto a la privacidad de Myki:

MYKI no almacena ninguna información sensible en nuestros servidores. En su lugar, se basa en las aplicaciones de MYKI en su smartphone y ordenador para actuar como una nube privada a la que solo pueden acceder sus dispositivos. Los datos sensibles se almacenan en las aplicaciones de MYKI y se realizan continuamente copias de seguridad seguras en todos los dispositivos compatibles con MYKI. Nuestros servidores actúan como servidores de retransmisión entre sus diferentes dispositivos. Los datos que se transmiten están encriptados de manera que nuestros servidores no saben qué información se está transmitiendo.
  Responder
#6
En cuanto a usarla en dispositivos móviles se puede acceder como he dicho antes desde la misma aplicación myki, escogiendo la cuenta y accediendo diréctamente a esa web desde el navegador integrado en la aplicación.

Pero también se puede hacer así ( las imágenes son de su web, no tengo Facebook ni whassapp  Tongue ):

   

   

Autorizamos el acceso mediante pin o lector de huellas

   

   
  Responder




Usuarios navegando en este tema: 1 invitado(s)