¿Cómo almaceno y administro 180 contraseñas de forma segura?

Tengo alrededor de 180 contraseñas para diferentes sitios web y servicios web. Todos se almacenan en un solo documento de Excel protegido con contraseña. A medida que la lista se alarga, me preocupa cada vez más su seguridad.

¿Qué tan seguro, o debería decir inseguro, es un documento de Excel protegido con contraseña? ¿Cuál es la mejor práctica para almacenar tantas contraseñas de una manera segura y fácil de manejar?

Creo que el método de Excel es bastante fácil, pero me preocupa el aspecto de la seguridad.

Mi herramienta de almacenamiento de contraseña favorita es KeePass :

¿Qué es KeePass?

Hoy necesitas recordar muchas contraseñas. Necesita una contraseña para iniciar sesión en la red de Windows, su cuenta de correo electrónico, la contraseña FTP de su sitio web, las contraseñas en línea (como la cuenta de miembro del sitio web, etc., etc., etc.) La lista es interminable. Ademas, deberías usar contraseñas diferentes para cada cuenta. Porque si usas solo una contraseña en todas partes y alguien obtiene esta contraseña, tienes un problema ... Un problema grave. El ladrón tendría acceso a su cuenta de correo electrónico, sitio web, etc. Inimaginable.

KeePass es un administrador de contraseñas de código abierto gratuito, que le ayuda a administrar sus contraseñas de manera segura. Puede poner todas sus contraseñas en una base de datos, que está bloqueada con una clave maestra o un archivo de clave. Por lo tanto, solo tiene que recordar una sola contraseña maestra o seleccionar el archivo de clave para desbloquear toda la base de datos. Las bases de datos se cifran utilizando los mejores y más seguros algoritmos de cifrado conocidos actualmente (AES y Twofish). Para obtener más información, consulte la página de características .

¿Hay algún límite en cuanto a la cantidad de contraseñas que puede almacenar?

Solo en teoria. Puede poner tantas entradas en la base de datos como desee, pero en algún momento su llave USB o HDD estará llena.

¿Hay alguna manera de sincronizar automáticamente las contraseñas modificadas?

No, no como lo esperabas.
Querrás hacer que sea un proceso manual regular. Esto no puede ni debe automatizarse.

Me gusta establecer fechas de vencimiento para todas las entradas de mi contraseña:
luego recuerdo cambiar mis contraseñas regularmente. Guardo la URL del sitio web con la entrada de contraseña, por lo que es un proceso rápido.

¿Puedo iniciar sesión automáticamente en un sitio web como Facebook con este software?

No, tampoco automáticamente (al menos que yo sepa). Pero aquí es donde entra en juego Auto-Type . Por ejemplo, para Facebook, esta es mi configuración de Auto-Type:

Como puede ver, he creado 3 configuraciones para diferentes títulos de navegador. Esto me permite simplemente ir a facebook.com, presionar Ctrl+ Alt+ A, y el nombre de usuario y la contraseña se ingresarán automáticamente y se iniciará sesión.

Si tiene múltiples combinaciones de nombre de usuario / contraseña para el mismo título de ventana, aparecerá una ventana emergente que le preguntará qué entrada de contraseña debe usarse.

¿Qué pasa con el móvil?

Hay aplicaciones que admiten el formato de contenedor KeePass en dispositivos móviles. Pero me mantengo alejado de esos. Simplemente no me gusta la idea de mi base de datos KeePass en mi teléfono.

Prefiero transferir solo contraseñas individuales usando el complemento QR Code Generator . Le permite generar un código QR a partir de una contraseña, que luego puede escanear con su teléfono. Es útil tener una aplicación que pueda copiar el contenido escaneado al portapapeles.

Parece que hay varios crackers de contraseña de Excel fáciles de usar.

Usaría un sistema de administración de contraseñas como 1password o LastPass que funciona en varios sistemas operativos, incluidos los móviles.

Estos tienen complementos para la mayoría de los navegadores que pueden completar contraseñas y otra información en el formulario web. 1password también puede configurar un marcador en el navegador que iniciará sesión automáticamente (todos los usos de la aplicación requieren el uso de una contraseña maestra primero)

1password también puede almacenar notas, cuentas (por ejemplo, correo electrónico, ftp) y plantillas para ayudar a almacenar tarjetas de crédito, cuentas bancarias y otra información. Aunque es comercial, puede obtener una demostración gratuita que permite la entrada de hasta 20 elementos.

Una diferencia entre los dos es que 1password solo almacena los datos localmente (aunque puede sincronizar los datos cifrados usando Dropbox o similar), Lastpass puede (¿debe? Alguien corrija esto) almacenar los datos en su sitio web que permite el acceso web al datos y sin necesidad de dropbox, etc.

He usado Lastpass por un tiempo y lo recomiendo altamente. Tiene algunos complementos de navegador maravillosos y un montón de características que hacen que sea más fácil tener contraseñas más seguras.

El complemento del navegador completará automáticamente la información de inicio de sesión (cuando haya iniciado sesión en el complemento). También tiene una función de exportación, por lo que puede recuperar su base de datos e importarla a KeePass, por ejemplo. También utiliza autenticación de dos pasos para mayor seguridad.

Cliente de escritorio:

Plugin para el navegador:

El complemento Password Hasher (para Firefox) es lo que yo personalmente uso.

Cómo ayuda Password Hasher:

• Genera automáticamente contraseñas seguras.
• Una clave maestra produce diferentes contraseñas en muchos sitios.
• Actualice rápidamente las contraseñas "topando" la etiqueta del sitio.
• Actualice una clave maestra sin actualizar todos los sitios a la vez.
• Admite contraseñas de diferente longitud.
• Admite requisitos especiales, como dígitos y puntuación.
• Admite restringir una palabra hash para que no use caracteres especiales. (¡Nuevo!)
• Guarda todos los datos en la base de datos de contraseñas seguras del navegador.
• Genera una página HTML portátil con las etiquetas de su sitio y la configuración de opciones que le permite generar sus palabras hash en cualquier navegador en cualquier máquina sin la extensión instalada. (¡Nuevo!)
• Puede agregar botones marcadores para desenmascarar contraseñas en cualquier sitio web. (¡Nuevo!)
• ¡Extremadamente simple de usar!

Yo personalmente uso PasswordMaker para generar contraseñas a partir de una contraseña maestra y la URL del sitio. El proyecto es bastante maduro, de código abierto y estable. Está disponible para Firefox (como extensión), Linux CLI, Android, etc.

Cómo funciona:

Advertencia - jerga técnica en esta sección! Usted proporciona dos elementos de información de PasswordMaker: una "contraseña maestra", esa contraseña única que le gusta, y la URL del sitio web que requiere una contraseña. A través de la magia de los algoritmos de hash unidireccionales, PasswordMaker calcula un resumen del mensaje, también conocido como huella digital, que puede usarse como contraseña para el sitio web. Si bien los algoritmos hash unidireccionales tienen una serie de características interesantes, la clave de PasswordMaker es que la huella digital resultante (contraseña) "no revela nada sobre la entrada que se utilizó para generarla". En otras palabras, si alguien tiene una o más de sus contraseñas generadas, es computacionalmente inviable que obtenga su contraseña maestra o que calcule sus otras contraseñas.

Es arriesgado confiar en una aplicación de terceros para almacenar sus contraseñas importantes, especialmente aquellas aplicaciones que pueden conectarse en línea o aquellas que usted autoriza a acceder a los procesos de otro programa; y lo más importante, confiar en los que no son de código abierto .

Una forma más segura, en mi opinión, es almacenar sus contraseñas importantes en un archivo de texto (.TXT) y luego cifrar el archivo con el algoritmo AES mediante dsCrypt.exe . Debe ingresar su contraseña principal en dsCrypt solo una vez y podrá cifrar / descifrar su archivo de texto de contraseña muchas veces sin pedirle que vuelva a ingresar la contraseña principal cada vez que dsCrypt se esté ejecutando. Puede ejecutar automáticamente dsCrypt con su inicio de Windows e ingresar su contraseña principal una vez; y lo que necesita es arrastrar y soltar su archivo de contraseña (.txt) en dsCrypt para des / cifrarlo cuando necesite sus contraseñas.

Recomiendo KeePassXC, que es una bifurcación comunitaria de KeePassX , un puerto multiplataforma nativo de KeePass Password Safe , con el objetivo de ampliarlo y mejorarlo con nuevas funciones y correcciones de errores para proporcionar una plataforma abierta moderna, multiplataforma y moderna. gestor de contraseñas de origen.

Este cliente también es recomendado por Surveillance Self-Defense .

Características principales KeePassXC :

• Almacenamiento seguro de contraseñas y otros datos privados con cifrado AES, Twofish o ChaCha20
• Multiplataforma, se ejecuta en Linux, Windows y macOS sin modificaciones
• Compatibilidad de formato de archivo con KeePass2, KeePassX, MacPass, KeeWeb y muchos otros (KDBX 3.1 y 4.0)
• Integración de agente SSH
• Auto-Type en todas las plataformas compatibles para rellenar automáticamente los formularios de inicio de sesión
• Archivo de claves y soporte de desafío-respuesta YubiKey para seguridad adicional
• Generación TOTP (incluido Steam Guard)
• Importación de CSV desde otros administradores de contraseñas (por ejemplo, LastPass)
• Interfaz de línea de comando
• Generador de contraseña y frase de contraseña independiente
• Medidor de fuerza de contraseña
• Iconos personalizados para entradas de bases de datos y descargas de favicons de sitios web
• Funcionalidad de combinación de bases de datos
• Recarga automática cuando la base de datos se cambió externamente
• Integración del navegador con KeePassXC-Browser para Google Chrome, Chromium, Vivaldi y Mozilla Firefox.
• (Legado) Soporte KeePassHTTP para usar con KeePassHTTP-Connector disponible para Mozilla Firefox y Google Chrome, y passafari para Safari.

Yo uso el Bloc de notas y archivos .txt. Si quieres mi consejo, te aconsejo que no uses un software de terceros. ¿Desde dónde sabes que no están robando tus contraseñas?
Por lo tanto, usar archivos de texto sería lo mejor.
Además, si usted es un programador, le sugiero que cree uno simple para usted que utilice la codificación para proteger los datos. Esa es la mejor solución.