⋮
Llevo tiempo intentando solucionar el caos de contraseñas del mundo actual y veo que se podía solucionar con un gestor de contraseñas.
¿Sabeis alguno que se pueda instalar localmente? Sea gratis o de pago, en vuestra experiencia ¿cuál utilizais?
- 💬 Foros
- Software
❓
¿Qué gestor de contraseña recomendáis?
Yo uso bitwarden. Lo tengo puesto como extensión en Chrome. También se puede instalar en el teléfono.
Bitwarden.
Uso 1password de pago.
✖
Noticia irrelevante como ya comentamos.
✖
lo he enlazado porque tiene información relevante a la pregunta
KeePass o el más moderno KeePassXC
* Dispone de plugins para todos los navegadores
* Guarda contraseñas cifradas
* Hay aplicaciones para Android como KeePass2Android
* Puede sincronizar con una nube tipo Nextcloud o si es necesario Google Drive / OneDrive
* Es compatible con Windows Hello y puedes desbloquearlo con huella dactilar
* Todo lo anterior es sin coste y sin ceder datos a terceros
⋮
Yo uso bitwarden pero en su versión instalada en un NAS Synology, de manera que tengo el vault de contraseñas en mi dispositivo sin depender de terceros. La extensión para Chrome y Mozilla funciona bien, sin más, y la de Android también cumple.
Yo uso 1Password. Pago unos 38€ al año y me olvido de la gestión de las contraseñas. Funciona muy bien.
¿Son realmente más seguros estos gestores de contraseñas que el gestor integrado de Edge o de Chrome? El archivo de contraseñas de estos navegadores sólo se puede desencriptar localmente en la propia máquina. Aunque te roben el archivo de contraseñas no se puede desencriptar y revelar en otra máquina.
Por el contrario el archivo cifrado de algunos gestores lo puedes abrir en cualquier máquina si tienes la contraseña maestra, tengo entendido.
¿Por qué debería usar un gestor externo y no el integrado en el navegador asociado a una cuenta de Microsoft o de Google? Yo la verdad es que no lo veo.
✖
⋮
Las contraseñas que se guardan en gestores externos no son únicamente de páginas web.
✖
Pero son el 99% de tus necesidades de contraseñas. Quitando el PIN de la tarjeta, poco más hay. En cualquier caso, con Microsoft Authenticator puedes añadir contraseñas no web a tu cuenta.
Sólo se puede descifrar en la propia máquina porque la máquina guarda la clave maestra en un almacén de secretos.
Por no hablar de que en tu móvil también usas el navegador, ¿no? Querrás poder usar las contraseñas.
✖
No es tan simple. El archivo está vinculado con la máquina. No se puede descrifrar fuera de ella ni aunque tuvieras la clave de descifrado. En cuanto a lo segundo, están asociadas a mi cuenta, no hay problema.
✖
Si las contraseñas están asociadas a tu cuenta entonces las tiene Google, o sea que es igual de seguro que bitwarden y similares.
Ya se ha demostrado la vulnerabilidad de las contraseñas almacenadas en el navegador porque hay virus que las obtienen.
genbeta.com/genbeta/redline-stealer-malw…tu-navegador
El archivo de contraseñas no solo se puede desencriptar en tu propia máquina. De hecho en Chrome y Edge las contraseñas se sincronizan con la nube y viajan a los servidores de Google y Microsoft. Y lo peor es que tu no controlas ni la clave maestra ni el lugar de almacenamiento.
En cambio con KeePass sabes perfectamente en todo momento donde tienes tus contraseñas. Y puedes sincronizarla en la nube pero tu controlas la contraseña maestra.
Obviamente si pones una contraseña maestra como 12345 pues te la pueden descifrar por fuerza bruta si el archivo llega a malas manos.
Lo ideal es combinar KeePass con una llave Yubikey y almacenar la contraseña maestra ahí. Pero claro también te la pueden robar.
✖
Pero eso que me dices también te puede suceder con cualquier gestor de contraseñas. Si tienes un virus que recoja los autocompletados, mal asunto.
Las contraseñas viajan cifradas y se guardan cifradas en todo momento, así que por ahí difícil que puedan rascar algo.
Me estás dando la razón, a Keepass le falta una capa de seguridad que los gestores integrados de Edge y Chrome sí tienen. Y es que son imposibles de descifrar fuera de la máquina, el archivo de Keepass sí.
Miedo me dan soluciones basadas en hadware. No hace falta ni que te la roben, simplemente que se estropee por cualquier motivo.
Creo que la solución más segura es la que propone Microsoft con Microsot Authenticator. Además del 2FA, la generación de claves temporales aleatorias con una validez de 30 segundos, pero no todos los sitios se adhieren a este estándar.
✖
El virus Redline no recoge los autocompletados sino que lee el archivo de contraseñas de Chrome. Evidentemente cualquier virus que controle tu navegador o tu memoria va a conocer tus contraseñas. Y de eso no te salva nadie.
Eso de que las contraseñas de navegador son imposibles de descifrar fuera de la máquina lo dices tú. De hecho viajan a tu cuenta Google/Microsoft y luego a otra máquina que tengas luego se descifran en cualquier lugar. Solo que tu no controlas la contraseña de cifrado.
Los autenticadores basados en Google o Microsoft suponen depender de esos proveedores. Miedo me dan si un día se caen o los hackean. No gracias.
La solución de Bitwarden solo es segura si montas tu propio servidor con Bitwarden en Rust. No creo que mucha gente sea capaz de hacerlo. Este sí: trycatch.dev/2021/03/06/switching-from-k…ter-14-years
✖
Usa el que quieras, pero Open Source. El gestor de contraseñas es de las muy pocas aplicaciones a las que les exigo sí o sí ser Open Source.
En mi caso, llevo años con Bitwarden y encantado. Si no tiene sincronización no me sirve.
Bitwarden
⋮
Bitwarden sin duda
1 No almacenes datos bancarios en nada que no sea una hoja de papel
2 Contraseñas de paginas normales, de hobbies, foros, etc… El gestor de chrome, chromium, etc no te va a dar dolores de cabeza.
3 Guarda tus contraseñas de interés en un archivo, encriptalo y metelo en una memoria USB que solo utilices para eso.
Asi llevo yo 10 años y 0 problemas. Podría usar mas seguridad? Seguro que sí, pero ni soy la NASA, ni una organización criminal, ni un personaje de interés publico ni el objetivo de un "todopoderoso" hacker.
PD llevamos años y años dando información, suscritos a servicios, con nuestros datos en varias compañias, etc… Lo que quieran de unos simples mortales, ya lo tienen, eso ni lo dudes.