Alguna manera fiable y cómoda de saber en qué páginas está registrado mi mail? Rollo algo que ponga el mail y aparezca una lista de en qué páginas me he registrado y ni me acuerdo.
Si el authy por ejemplo dentro de un tiempo cierra y deja de prestar servicio, ¿cómo puedes recuperar esos tokens?
A ver si #206 se pronuncia y conoce alguno auditado y codigo libre.
Cada vez que activas el 2FA en cualquier servicio que lo soporte, se te concede la capacidad de descargarte un fichero con unas claves llamadas "claves de recuperación". Dichas claves, son una forma de tener acceso a tu cuenta, por si pierdes los tokens de alguna manera.
Si tienes miedo, que en un futuro Authy deje de estar disponible o puedas perder tus tokens de acceso, te recomendaría que guardaras dichas claves de manera segura.
Un saludo.
#209 #210 auditados ninguno, pero al menos son open source y la gente puede ver lo que hay. freeotp, aegis, winauth
en mi caso es por exclusión, open source -> auditados -> privados
Authy no tiene nada de los dos primeros y encima es for profit, sería mi última opción algo así. No usaría nunca uno similar, y a poder ser, siempre una key física antes que un número manual
Exportar vuestra base de datos del programa 2FA y ya está. Y si al activar 2FA os dan la opcion de codigos de recuperacion, guardarlos estos a buen recaudo obviamente.
Creo que voy a utilizar el 2fa de Microsoft finamente ( / #196 ).
¿Alguna idea de cómo mejorar la seguridad con NFC? Alguien ha comentado algo pero no conozco cómo implementarlo.
Buenas acabo de ponerme con el bitwarden, la unica pega que le veo es que si entro en el ordenador de otra persona y quiero entrar a mi correo la unica forma de poner la contraseña es mirandola en el movil?
#216 entiendo tu punto de vista, pero no estoy de acuerdo. Open source =/= seguro y for profit =/= malvado.
Bitwarden es open source, auditado y for profit, el triunvirato perfecto. Sabes que es seguro y que no va a desaparecer de un día para otro.
Authy saca la pasta de Twilio, una aplicación empresarial, y da muy buenas funcionalidades.
Otras opciones, como andOTP que es open source, tienen sus problemas. La llevaba un único tío que la acabó dejando muerta durante dos años, hasta que otro la cogió. Está muy bien eso de "es open source, puedes mirar el código si no te fías", pero la verdad es que no lo mira nadie. Si no está auditado, ese código es más peligroso que un código cerrado, empresarial.
Que estoy con el pato, si hubiese un open source + auditado + tiene un modelo de negocio donde sacan pasta, saltaba sin pestañear. Pero mientras no lo haya, Authy me tiene todo el sentido.
No es mas peligroso que un codigo cerrado, porque cualquiera lo puede ver, y de hecho la gente lo ve y reporta los problemas. Hasta hay gente que retoma el proyecto y lo soluciona. Asi se sustenta el mundo del software libre y del open-source. La comunidad es la que saca adelante todo.
Por supuesto que no hay garantías de ningún tipo, si quieres garantías hay opciones donde pagando te dan soporte.
Además, no hace falta tener un modelo de negocio, si no un modelo de financiación. Te sorprendería la de proyectos que llevan años en activo gracias a donaciones.
" Si no está auditado, ese código es más peligroso que un código cerrado, empresarial."
Querrás decir si no está mantenido, ese código es más peligroso que un código cerrado empresarial.
#221 Estás diciendo falacias.
Eso de que nadie se mira el código de un proyecto open source es mentira...
Puede que no lo miran yo, tú y cualquiera que no esté interesado en el proyecto, pero eso no significa que no lo hayan echo otros. Esos otros son los que dan la voz de alarma si hay algo sospechoso en el código y enseguida se sabe.
No es blanco o negro, hay pros y contras.
#222 toda la razón con el auditado/mantenido y negocio/financiación.
#223 me expresé mal. Quiero decir que, nunca sabes si de verdad otros lo han mirado y se han corregido fallos, sólo te fías de que sea así. Que también es lo mismo con código cerrado, te fías de que no la caguen. Pero, personalmente me fío más de una compañía como Authy, que vende Twilio a las empresas, que del código open source de andOTP que lleva una sola persona.
Agh, siento haberme expresado tan mal gente. Mea culpa.
#224 Si el tipo que lleva el proyecto es un tipo serio, llevará a rajatabla todo el tema del github, gitlab o donde tenga aloajdo el codigo, y ahi se podra ver los cambios que se van haciendo. O si sale algun fork decente porque el lo ha dejado de mantener, lo publicará tambien. Sin duda como no tenemos garantias en este mundo, porque generalmente el software no es obligatoriamente de pago, hay que estar al loro de estas cosas.
Y quien se mete a desarrollar software relacionado con la seguridad... dudo que sea un mediocre, más bien un tio avispado y que entiende minimamente.
#221Odercra:Si no está auditado, ese código es más peligroso que un código cerrado, empresarial.
no, no lo es.
De hecho simplemente hay que ver cómo reaccionan las empresas ante las brechas de seguridad.
La mitad ni tienen bug bounties en hackerone y el 95% cuando les pillan algo, intentan taparlo y ocultárselo a los clientes muchas veces sin siquiera reparar la vulnerabilidad hasta que les explota en las narices y entonan el "lo siento mucho, no volverá a pasar". Luego el círculo vuelve a empezar xD
#197 En mi caso, con mi misma huella accedo a bitwarden y a authy, así que supongo que eso también sería un único punto de fallo.
Tengo los 2FA en bitwarden por comodidad y por backup también. Además para acceder a bitwarden te pide 2FA también, lo veo bastante complejo como para que suponga un fallo de seguridad. Opinión personal.
#199 Cuando activas un 2FA normalmente te ofrecen un sistema de recuperación. En algunos suele ser activando un segundo método de autentificación (por SMS) o introduciendo una serie de números pre-generados. Yo me guardo esos números en la propia entrada de bitwarden. Además el código QR (el texto, no la imagen) lo guardo tambibén
#204 Yo uso el autorellenado de bitwarden en iOS, con la huella dactilar. Una gozada y 0 problemas
#220 O mirando el movil o entrando en vault.bitwarden.com para acceder a tus datos, y luego cerrar sesión
#219 Me alegro que te gustara 
Yo no soy muy amigo de MS la verdad, pero desde mi punto de vista y necesidades me parece el mejor. Creo que tiene app para escritorio también. Por varios motivos mencionados aqui y otros no me convence authy. El de MS tiene un poco de todo y lo bueno es que no esta ligado a un numero de teléfono como authy. Que tiene algunas ventajas, pero también contras y problemas de seguridad. Igualmente si sale mas adelante otra alternativa quizas me cambie.
Si teneis el preimium de bitwarden, podeis guardar los QR o códigos token de los 2FA dentro en entradas y aunque uséis un 2FA sin guardado en la nube los podeis recuperar volviendo a escanear el QR. Bueno sin premium puedes recuperarlo guardando el token (numero). Luego lo puedes reintroducir a mano o un convertidor de token a QR. Igualmente, si solo tienes el QR puedes sacar el token y guardarlo en texto plano. Es buena forma de tener una copia de seguridad extra por si pierdes acceso al 2FA por cualquier motivo.
BW si creo que no tiene competencia a dia de hoy y no veo ninguna alternativa mejor a no ser que quieras algo puramente local. (alguna de pago, pero realmente por el precio de BW, mejoras constantes, pruebas de auditoria, servidores de MS.. etc)
Los que usais bitwarden -o el servicio que sea- y además 2FA, guardando las semillas en el propio bitwarden/servicio, creo que no habeis entendido muy bien el espíritu de un segundo factor de autenicación.
Haya lguna forma que bitwarden se autocomplete clicando como hace chrome? O hay que estar seleccionando desde la extensión? El kepass por ejemplo tiene un atajo.
#225 Estoy de acuerdo contigo en lo que dices, aunque como anotación, respecto a lo de "quien se mete a desarrollar software relacionado con la seguridad... dudo que sea un mediocre, más bien un tio avispado y que entiende minimamente" te diré que en AndOTP no ha sido así. De hecho me enteré antes de ayer, cuando me recomendaste Aegis y me puse a informarme de ese programa.
En un post de Reddit preguntan al desarrollador de Aegis qué diferencias tiene su software respecto a AndOTP y dice lo siguiente: "andOTP also does some pretty scary stuff with regards to its use of cryptography. It's been a while since I've looked at the code, but andOTP appears to derive the key for the encryption of backups with a single iteration of SHA-256, making a brute-force attack on backups a lot easier than it should be."
Para sorpresa, aparece el desarrollador de AndOTP y reconoce que "I sadly have to admit that the part about the crypto of andOTP being pretty bad is true. This is partially due to the fact that I had absolutely no clue about cryptography and very little coding experience when I forked it. In the beginning I just wanted to add backup functionality but then feature request kept comming in and it kind of snowballed from there. By the point I had enough experience to actually somewhat know what I was doing the code was already pretty bad, which is why I decided to rewrite everything from scratch rather than trying to fix it. Sadly I currently have basically no time to work on it, so this will have to wait.
Just wanted to explain the bad crypto a bit, now I'm off to download you app and play with it a bit. I'm glad to see that there are more open source 2FA alternatives emerging."
https://www.reddit.com/r/androidapps/comments/b45zrj/dev_aegis_authenticator_secure_two_factor/
Por tanto, este chico no tenía mucha experiencia en programación cuando hizo el fork del proyecto. Por ese mismo motivo escuche tu sugerencia y me pasé a Aegis, porque ambos estéticamente y funcionalmente hacen lo mismo.
#231 Todo depende de cómo lo uses, yo lo guardo modificando alguna parte sumando o restando algunos números, por ejemplo, aunque otra persona pudiera usar a tu cuenta no funcionaria, porque solo tú sabes que números sueles cambiar o el patrón que usas. Igualmente, si entran gestor de contraseñas no se si me preocupa más que puedan ver los tokens o tener comprometidas igual 500 o 1000 contraseñas.
Otro ejemplo, aunque no me gusta tanto es por ejemplo el de mediavida poner solo una M o naranja y guardar el token 12345, la persona sabe que naranja tiene ese token 2fa. Pero no sabe a qué web / servicio pertenece naranja. Tendría que ir probando, pero si estas atento a los avisos de acceso a tu cuenta tú has podido tomar medidas antes. Me gusta menos entre otras cosas porque el 2fa no esta tan extendido y el nº de posibles webs / servicios es más reducido, aun asi son bastantes. Todo es pensar mas alla antes de juzgar. Prefiero tenerlo ahí a mi modo que tenerlo apuntado en un papel en la cartera o un .txt por ahi perdido.
Yo lo que hago es guardar todo lo referente a metodos de recuperacion en un pendrive cifrado. Tambien guardo ahi la contraseña del email, del bitwarden, etc por si un dia se me olvidara.
Solo tengo una contraseña en papel, fisico, y es la contraeña para descifrar ese pendrive. (obviamente sin anotaciones, sin decir de qué es xD) (que es compleja pero me la se, pero yo que se, se me podria olvidar en un momento dado)
Realmente no cifro el pendrive, si no un fichero que se comporta como un volumen lógico cuando lo descifras. Luego, guardo este fichero en el pendrive y en la nube, por si las moscas.
Intento no unificar todo en un lugar (bitwarden) porque entonces podrian luego por ejemplo obtener tu email y putearte.
#236 Como en las películas. Tienes ese pendrive en una caja de seguridad de un banco.
Este hilo realmente me ha iluminado. Me pondré a ello.
Entonces no recomendáis el Authy.
#231 Para acceder a bitwarden hay que pasar por su F2A.
Si han logrado eso, es que tienen acceso a mi authy, y por tanto al resto de F2A. Así que sería lo mismo.
No hay ningún problema en utilizar bitwarden para ello, si han entrado es que han tenido acceso a tu F2A
