Sí que pueden, tienen el vault entero, así que pueden intentar sacar por fuerza bruta el password maestro y con eso sacan todas las contraseñas
#31 suerte para sacar por fuerzabruta una contraseña compleja xDD, y quien haya puesto 1234 se lo tiene merecido.
ahí ya depende de la contraseña que haya puesto cada uno, pero la cuestión es que sí han robado lo necesario para hacerlo, no como decía el otro post que pensaba que no.
Yo uso LastPass y desde que lo hago, todas mis contraseñas son largas y con caracteres random de todo tipo. Así que mucha suerte xD Si te gastas 100.000€ en tiempo de GPU para crackear la contraseña de mi Spotify felicidades tio, te dejo la cuenta 1 mes antes de recuperarla. Te va a costar 100€ escuchar cada canción xD
no lo has entendido, no tienen que intentar sacar cada contraseña por separado, solo la contraseña maestra, la que usas para acceder al vault. Si sacan esa te sacan todas. Es esa la que tiene que preocuparte, si era algo que se pueda sacar con un diccionario o cualquier otro ataque por fuerza bruta acceden a todo lo que tienes ahí metido.
Al final es lo de siempre, comodidad vs seguridad.
No he probado Keepass pero al ser local vs Bitwarden en la nube + app nativa de smartphone, Bitwarden tiene que ser muchísimo más cómodo. Y esto al final para el user medio es lo que más importa.
Si algún día cae Bitwarden pues oye, tocará cambiar passwords y buscar otra alternativa, pero por ahora? Me quedo con Bitwarden en la nube.
En enero me llegarán las yubikeys de la promo de cloudflare y aunque en un futuro caiga Bitwarden por alguna razón seguiré teniendo las cuentas importantes completamente seguras con el 2fa de las keys.
#40
15-20+ caracteres que conste de mayusculas, minusculas, numeros y caracteres especiales, todo esto sin tener que ver con tu persona (informacion)
#30 A no ser que tengas un sistema o programa de copia de seguridad automatizada (rollo OneDrive, Google Drive, tu propio NAS o algo así), y tengas el vault de KeePass metido dentro de las carpetas a sincronizar automáticamente, cuando te das de alta en una nueva web y guardas las credenciales dentro de KeePass tienes que actualizar todas las copias de seguridad, sí. La única que tendrás actualizada será la que uses de forma habitual, luego tienes que actualizar las copias de seguridad de ese archivo en donde lo hayas guardado.
Piensa en el archivo de KeePass como un documento de Word que tienes almacenado en local: si hace una semana hiciste copia de seguridad de ese archivo pero has seguido metiendo información, el único que estará actualizado es el que usas de forma habitual, el resto no.
De todos modos dudo que de forma semanal te registres en webs, no? Y si así fuese, siempre puedes tener el vault de KeePass para aquellas cuentas más sensibles (PayPal, correos electrónicos, servicios en los que tengas datos bancarios, etc...) y usar cualquier otro servicio para webs randoms que te importen poco pero que quieras tener actualizado sin calentarte mucho la cabeza.
#36 Sea como sea yo no estaría tranquilo, por muy "dificililla" que sea tu contraseña. Yo, personalmente, buscaría otro servicio similar (Bitwarden lo recomiendan mucho por aquí si quieres online) y cambiaría todas las contraseñas de los servicios más importantes, además de poner 2FA si no lo tienes aún. Y si lo tienes generaría nuevas claves de recuperación.
#39 proteges el vault de KeePass con password maestra + Yubikey (o Pendrive con archivo de contraseña) y listo
#43 Si al final es lo de siempre: conveniencia vs seguridad. Y también influye la fiabilidad del servicio. Por lo mucho y bien que he oído hablar de Bitwarden dudo que pase como a LastPass, que siempre me ha dado la sensación de ser una empresa más que se subía al carro de lo que se estuviese demandando en ese momento sin ponerle verdadero interés a su producto (me puedo equivocar, hablo desde las sensaciones que yo veía y lo poco que he leído respecto a LastPass).
Sea como sea no creo que pase lo mismo con cualquier servicio online respecto a tener tu vault en local por lo que te han comentado antes: esos servicios son un blanco perfecto de ataque si consigues entrar por el botín que te llevas. Sabes lo que tiene la gente en esos servicios y sabes que les puedes hacer daño. Atacar a un PC privado tiene mucho menos interés porque el botín es más dudoso y menos llamativo. Además de que consigues la información de una única persona en lugar de millones de usuarios, como es el caso de LastPass
#42 Se sabe de cuanto es la brecha? Es un dato importante...
Han robado todas?
Y sobre bitwarden, se sincroniza entre dispositivos?
Hay alguna manera sencilla de hacer el cambio?
De pasarlas todas? Entiendo que no, no?
Ah mira! si!, se puede
Si tienes una Master Password larga con simbolos, numeros, mayusculas y minusculas por fuerza bruta no entra ni dios, asi que tampoco hace falta cambiar todas las contraseñas realmente.
#48 Es el caso, he mirado alguna tabla y sería bastante tiempo (o mucho dinero, supongo). Es una pass que solo tengo ahí, y única. Y luego bueno, la pass del gmail maestro la cambio cada unos meses.
De todas maneras, mañana me mudo a bitwarden
Same, estaba usando LastPass porque en el curro me daban la cuenta premium gratis por tener la del curro pero lo de que mintieran del breach es lo que mas me jode.
#50 Y que te roben todas... brechas ha habido muchas y en muchas empresas, y siempre roban un trozo concreto, no todos los datos de todos los clientes, como es el caso.
#48 Lo de las contraseñas que dicen que son las mejores para la seguridad son las que son en plan:
Est4-C0ntraseny4-Pru3ba-D1ficultad%-MeD1a-V1dA
en vez de:
TY%45iOP#bJ83E5f3R*
Por poner un ejemplo, además mucho más fácil de recordar.
#52 La primera es mejor por el motivo de que es más larga y puedes recordarla más facil, si no no entiendo el motivo.
Yo uso versos de canciones que me gustan, lo escribo en l33t y le meto caracteres especiales. Por ejemplo, una idea para el password maestro de Bitwarden sería un verso de Enter Sandman:
Sleep with one eye open
Que se transforma en:
(Sl33pw1th0n33y30p3n)
Según una web, eso de ahí arriba tarda dos mil millones de años en reventar. Y de hecho puedes reutilizar los caracteres especiales (los paréntesis y el underscore, yo uso otros) en todos los passwords cambiando el verso y a correr.
2FA con la maestra introduce una capa adicional muy recomendable. Y una pw maestra de suficiente entropía.
Hace un par de años que decidí empezar a usar asistente para las claves y parece que acerté eligiendo Bitwarden, aunque al final también tiene sus riesgos porque nada está exento de reventarse, pero el que sea código abierto a mí al menos me da un punto extra de seguridad.
Y obviando el programa, el sentido común siempre me ha dicho que las claves importantes con las que me podrían joder de verdad no han de estar ahí, así que todo lo de tema dinero, nubes etc... las tengo en mi cabeza y con doble factor.
