Comentarios en: Por qué usar un administrador de contraseñas es buena idea https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/ Tecnología y Cultura Digital Tue, 16 Aug 2016 15:16:51 +0000 hourly 1 https://wordpress.org/?v=6.9.4 Por: Ruriko Kashiwazaki Kusugawa https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/#comment-174512 Wed, 16 Sep 2015 13:35:00 +0000 http://www.enter.co/?p=217563#comment-174512 Keepass y su version Keepass para Android , es la mejor solución y LA MAS SEGURA para manejar tus contraseñas online y offline, es tan seguro que tiene dos métodos (que se pueden combinar) para una tener una clave MAS segura.
Es tan seguro que si no haces un respaldo de tus cuentas , ya te fregaste porque no existe método para descifrar el archivo.
Lo mejor es siempre tener un bakup ( impreso o en una usb solo para guardar tus claves) sin cifrado, solo en texto.

]]> Por: Ruriko Kashiwazaki Kusugawa https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/#comment-347961 Wed, 16 Sep 2015 13:35:00 +0000 http://www.enter.co/?p=217563#comment-347961 Keepass y su version Keepass para Android , es la mejor solución y LA MAS SEGURA para manejar tus contraseñas online y offline, es tan seguro que tiene dos métodos (que se pueden combinar) para una tener una clave MAS segura.
Es tan seguro que si no haces un respaldo de tus cuentas , ya te fregaste porque no existe método para descifrar el archivo.
Lo mejor es siempre tener un bakup ( impreso o en una usb solo para guardar tus claves) sin cifrado, solo en texto.

]]> Por: Orlando Garzón Díaz https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/#comment-172114 Fri, 28 Aug 2015 21:45:00 +0000 http://www.enter.co/?p=217563#comment-172114 Yo también uso Keepass en Windows y KeepassX en GNU/Linux desde hace tiempo, pero no subo el archivo a la nube porque todo lo que se suba a la nube puede ser copiado y pueden probar hasta conseguir la contraseña maestra. Este programa es lo suficiente bueno para lo que necesito y tiene muchas herramientas. Y lo mejor es software libre.

]]> Por: Orlando Garzón Díaz https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/#comment-346945 Fri, 28 Aug 2015 21:45:00 +0000 http://www.enter.co/?p=217563#comment-346945 Yo también uso Keepass en Windows y KeepassX en GNU/Linux desde hace tiempo, pero no subo el archivo a la nube porque todo lo que se suba a la nube puede ser copiado y pueden probar hasta conseguir la contraseña maestra. Este programa es lo suficiente bueno para lo que necesito y tiene muchas herramientas. Y lo mejor es software libre.

]]> Por: SketchDeluxe Rekinkiev https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/#comment-172006 Thu, 27 Aug 2015 00:23:00 +0000 http://www.enter.co/?p=217563#comment-172006 Desde 2008 uso Keepass para PC y hace un par de años Keepassdroid para Android sincronizando con Dropbox, es una de las aplicaciones que mas uso en PC y en el movil.

]]> Por: SketchDeluxe Rekinkiev https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/#comment-346837 Thu, 27 Aug 2015 00:23:00 +0000 http://www.enter.co/?p=217563#comment-346837 Desde 2008 uso Keepass para PC y hace un par de años Keepassdroid para Android sincronizando con Dropbox, es una de las aplicaciones que mas uso en PC y en el movil.

]]> Por: VooDooChicken https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/#comment-171971 Wed, 26 Aug 2015 17:07:00 +0000 http://www.enter.co/?p=217563#comment-171971 una cuestión en cuanto a la forma de guardar contraseñas e información encriptada en general
para una contraseña de un sitio web, en general, posiblemente en la mayoría de los casos no se guarda la contraseña. por ejemplo, si para entrar a enter .co tocara ponerle clave, la clave no quedaría guardada como ‘clave’ en los servidores de enter. en cambio, lo que haría es que se aplicaría una funciín que no es 1 a 1, pero que tiene una distribución casi 1 a 1 sobre un rango al menos igual al posible dominio de claves (o bastante grande en todo caso), donde ya que no es 1 a 1, n se puede sacar en forma única la clave original, pero tampoco es trivial sacar cualquiera de las funciones de dominio. para eso es que se usan los números primos y cocientes y cosas de ese estilo. otro ejemplo es por ejemplo los ‘checksum’ (aunque como el checksum se reduce a un rango mu opequeño, no se usa para encriptar, es sólo como ejemplo). un checksum es una función que depende del contenido de una frase o algo así; si se cambia alguna letra de la frase, el checksum va a cambiar. pero con un número rersultado de un checksum no se puede saber la frase original (aunque a punta de fuerza bruta, o probando combinaciones una a una, eventualmente puede dar con una frase que tenga el mismo checksum). y qué pasa si se aplican dos procedimientos diferentes de checksum a la frase? que a menos que se tenga la frase original, es prácticamente imposible obtener una frase que tenga el mismo checksum en ambos procedimientos. me parece que así es como deberían validarse por ejemplo las actualizaciones de las aplicaciones y del sistema operativo, cuando bajan paquetes de actualización, (editado) revisando diferentes procedimientos de checksum en diferentes servidores, pero no creo que haya alguien que lo haga así (pero debería). recordar stuxnet, que si no esoty mal, usaba la actualización de windows para meter cosas que no eran
volviendo al tema, con cosas como ésas yo puedo tener cosas para verificar la clave, sin tener la clave en el servidor. cuando yo le meta la clave, el servidor aplica el mismo procedimiento de checsum y mira si es igual al que tenía guardado. pero eso lo hace internamente el servidor, yo no le digo el checsum, en cambio él saca el checksum a partir de lo que yo le diga
como acá funciona igual, el administrador de claves no le va apasar un checksum al sitio web que me pide clave, le tiene qué pasar la clave. esos ignifica que lo que tenga grabado el administrador, es la información con toda la información de las claves, pero alterada para dificultar su lectura (igual que cualquier archivo de trabajo que tenga clave). es decir, si tengo el archivo de claves (que lo necesito descargar sólo una vez), y luego dispongo de bastante tiempo, puedo ir ensayando con fuerza bruta, ya que nada va a dañar el archivo si lo corro en el computador (no es un ejecutable, no se va a dañar a menos que otro programa lo dañe), haciendo todos los ensayos que quiera. sin contar con que cada vez que tenga qué darle la clave para recuperar a clave de algúns itio, pongo en risgo todas las claves que tenga ahí. la verdad nunca he estado de acuerdo con estos programas (o usar estos programas, más bien). en todo caso es una cuestión de costo beneficio. si lo que quiere proteger es la foto del paseo, y no porque le vaya a costar millones en un divorcio sino porque va a hacer el ridículo por la tanga narizona que estaba usando, de pronto no es lo mismo que la información financiera de una empresa. hay cosas que son un riesgo, o tienen mayor riesgo que otras alternativas, pero que para ,lo que se quiere proteger tampoco vale la pena ponerle más enredo

]]> Por: VooDooChicken https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/#comment-346802 Wed, 26 Aug 2015 17:07:00 +0000 http://www.enter.co/?p=217563#comment-346802 una cuestión en cuanto a la forma de guardar contraseñas e información encriptada en general
para una contraseña de un sitio web, en general, posiblemente en la mayoría de los casos no se guarda la contraseña. por ejemplo, si para entrar a enter .co tocara ponerle clave, la clave no quedaría guardada como ‘clave’ en los servidores de enter. en cambio, lo que haría es que se aplicaría una funciín que no es 1 a 1, pero que tiene una distribución casi 1 a 1 sobre un rango al menos igual al posible dominio de claves (o bastante grande en todo caso), donde ya que no es 1 a 1, n se puede sacar en forma única la clave original, pero tampoco es trivial sacar cualquiera de las funciones de dominio. para eso es que se usan los números primos y cocientes y cosas de ese estilo. otro ejemplo es por ejemplo los ‘checksum’ (aunque como el checksum se reduce a un rango mu opequeño, no se usa para encriptar, es sólo como ejemplo). un checksum es una función que depende del contenido de una frase o algo así; si se cambia alguna letra de la frase, el checksum va a cambiar. pero con un número rersultado de un checksum no se puede saber la frase original (aunque a punta de fuerza bruta, o probando combinaciones una a una, eventualmente puede dar con una frase que tenga el mismo checksum). y qué pasa si se aplican dos procedimientos diferentes de checksum a la frase? que a menos que se tenga la frase original, es prácticamente imposible obtener una frase que tenga el mismo checksum en ambos procedimientos. me parece que así es como deberían validarse por ejemplo las actualizaciones de las aplicaciones y del sistema operativo, cuando bajan paquetes de actualización, (editado) revisando diferentes procedimientos de checksum en diferentes servidores, pero no creo que haya alguien que lo haga así (pero debería). recordar stuxnet, que si no esoty mal, usaba la actualización de windows para meter cosas que no eran
volviendo al tema, con cosas como ésas yo puedo tener cosas para verificar la clave, sin tener la clave en el servidor. cuando yo le meta la clave, el servidor aplica el mismo procedimiento de checsum y mira si es igual al que tenía guardado. pero eso lo hace internamente el servidor, yo no le digo el checsum, en cambio él saca el checksum a partir de lo que yo le diga
como acá funciona igual, el administrador de claves no le va apasar un checksum al sitio web que me pide clave, le tiene qué pasar la clave. esos ignifica que lo que tenga grabado el administrador, es la información con toda la información de las claves, pero alterada para dificultar su lectura (igual que cualquier archivo de trabajo que tenga clave). es decir, si tengo el archivo de claves (que lo necesito descargar sólo una vez), y luego dispongo de bastante tiempo, puedo ir ensayando con fuerza bruta, ya que nada va a dañar el archivo si lo corro en el computador (no es un ejecutable, no se va a dañar a menos que otro programa lo dañe), haciendo todos los ensayos que quiera. sin contar con que cada vez que tenga qué darle la clave para recuperar a clave de algúns itio, pongo en risgo todas las claves que tenga ahí. la verdad nunca he estado de acuerdo con estos programas (o usar estos programas, más bien). en todo caso es una cuestión de costo beneficio. si lo que quiere proteger es la foto del paseo, y no porque le vaya a costar millones en un divorcio sino porque va a hacer el ridículo por la tanga narizona que estaba usando, de pronto no es lo mismo que la información financiera de una empresa. hay cosas que son un riesgo, o tienen mayor riesgo que otras alternativas, pero que para ,lo que se quiere proteger tampoco vale la pena ponerle más enredo

editado, como para aclarar. lo que dice arriba es que cuando alguien roba una rchivo con claves, normalmente no van a ser las claves lo que hay ahí (sino el resultado de hacer algo con la clave). pero en este caso el contenido del archivo sí son claves, y sí es posible obtener las claves originales a partir de ese archivo

]]> Por: carlo rivera https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/#comment-171949 Wed, 26 Aug 2015 13:56:00 +0000 http://www.enter.co/?p=217563#comment-171949 Y próximamente los ataques serán dirigidos a los administradores de claves…es sólo cuestión de tiempo….y recuerdo mi antigua clave de apple…juepu@#$%semeolvidootra_vez!!!…..bastante efectiva

]]> Por: carlos rivera https://www.enter.co/empresas/seguridad/por-que-usar-un-administrador-de-contrasenas-es-buena-idea/#comment-346779 Wed, 26 Aug 2015 13:56:00 +0000 http://www.enter.co/?p=217563#comment-346779 Y próximamente los ataques serán dirigidos a los administradores de claves…es sólo cuestión de tiempo….y recuerdo mi antigua clave de apple…juepu@#$%semeolvidootra_vez!!!…..bastante efectiva

]]>