Linux como almacenan sus claves de administracion
- Empezó el tema Eliezar
- Fecha de publicación
galansinchance
enajenao
- Se incorporó
- 3 Enero 2006
- Mensajes
- 7.425
pucha, yo trato de evitar las contraseñas, he estado usando más las llaves rsa y certificados.
Al resto, al memorizador de firefox y al repo de contraseñas del sistema operativo no más.
Al resto, al memorizador de firefox y al repo de contraseñas del sistema operativo no más.
Upvote
0
- Se incorporó
- 1 Febrero 2007
- Mensajes
- 4.844
interesante ver como están trabajando hoy en día la gente de IT
yo a la verdaa me da paja usar llaves o programas ajenos , por ahora a la pura memoria y un excel roñozo que ni clave tiene ,
para los dashboard con interfaz web , ocupo chrome, todo esto hablando en el campo de un sysadmin
en lo personal , uso chrome y seria
Alguien ocupa alguna implementacion de SSO ? se ocupa para estos campos ?
yo a la verdaa me da paja usar llaves o programas ajenos , por ahora a la pura memoria y un excel roñozo que ni clave tiene ,
para los dashboard con interfaz web , ocupo chrome, todo esto hablando en el campo de un sysadmin
en lo personal , uso chrome y seria
Alguien ocupa alguna implementacion de SSO ? se ocupa para estos campos ?
Upvote
0
- Se incorporó
- 23 Febrero 2004
- Mensajes
- 12.399
la de firefox me viene como anillo al dedo, ya que aparte de venir integrada en el navegador, puedo usar la app para que las claves pueda usarla desde chrome en android u otro navegador
Upvote
0
- Se incorporó
- 2 Octubre 2005
- Mensajes
- 13.599
En la pega se ocupa harto pq así cuando alguien llega o se va se le da acceso (o se le quita) a todos los subsistemas simplemente desactivando una cuenta en vez de tener que pasearse por 30 softwares distintos. En las dos últimas empresas donde he trabajado se hace así, en la anterior con LDAP, en la que estoy trabajando ahora npi, pero debe ser un LDAP tb.
Me sorprende btw (sobretodo en un foro dedicado más al área informática) la baja aplicación de gestores de contraseña: no necesito "algoritmos" propios (que son fácilmente crackeables) ni recordar combinaciones de weas ni tampoco saber o conocer las excepciones pq el banco sólo permite dígitos: sólo tengo que recordar UNA clave, si hackean alguna página de la cual formo parte me cago de la risa pq cada página tiene claves distintas y además me rellena los formularios en el navegador, mi teléfono y otros dispositivos que pueda llegar a tener en el futuro. Para CLI también hay opciones pero no he investigado, por lo general ocupo mi keypair para logearme a servidores (que se administra no con LDAP pero mediante Puppet) y si necesito alguna clave adicional, copio y pego no más. Por lo mismo empecé a crear cuentas de usuario (por ejemplo credenciales de base de datos de clientes) no con nombres obvios como por ejemplo
capa9 sino que FbDsQNh2kPWhKFuguCEX con clave V2!b8jgW8BCx8NvVGUMsPxwyjKN, todo generado en mi browser en un par de segundos: Ah y si necesito documentos importantes al instante tb los tengo ahí: pasaporte, licencia de conducir, etc. Si necesito compartir alguna cuenta con mi señora, la agrego como familiar mío y hago un vault compartido: si uno de los dos necesita cambiar la clave, se cambia en 1password automático para los dos. Así también si me pasa algo mi señora tendrá acceso a todo mi perfil online, incluído bancos y hasta mi twitter para que agarre pal webeo a todos mis seguidores con que no toi muerto pero ando de parranda
Por el otro lado, si me roban el teléfono deslogeo el teléfono y se borra físicamente el repo encriptado del teléfono, aunque lo jailbreakeen las claves no van a estar ahí.
Yo en lo personal ya no puedo sin un password manager, es un alivio a mi gusto
Saludos.
Upvote
0
Había un artículo que leí hace tiempo https://www.securityevaluators.com/casestudies/password-manager-hacking/
1 password y lastpass son bien jaja xd
We anticipated that password managers would employ basic security best practices, such as scrubbing secrets from memory when they are not in use and sanitization of memory once a password manager was logged out and placed into a locked state. However, we found that in all password managers we examined, trivial secrets extraction was possible from a locked password manager, including the master password in some cases, exposing up to 60 million users that use the password managers in this study to secrets retrieval from an assumed secure locked state.
En cuanto a 1password (pa' wintendo sosi)
The memory “hygiene” of 1Password7 is so lacking, that it is possible for it to leak passwords from memory without an intentional attack at all. During our evaluation of 1Password7, we encountered a system stop error (kernel mode exception) on our Windows 10 workstation, from an unrelated hardware issue, that created a full memory debug dump to disk. While examining this memory dump file, we came across our secrets that 1Password7 held cleartext, in memory, in a locked state when the stop error occurred (Figure 9).
1 password y lastpass son bien jaja xd
We anticipated that password managers would employ basic security best practices, such as scrubbing secrets from memory when they are not in use and sanitization of memory once a password manager was logged out and placed into a locked state. However, we found that in all password managers we examined, trivial secrets extraction was possible from a locked password manager, including the master password in some cases, exposing up to 60 million users that use the password managers in this study to secrets retrieval from an assumed secure locked state.
En cuanto a 1password (pa' wintendo sosi)
The memory “hygiene” of 1Password7 is so lacking, that it is possible for it to leak passwords from memory without an intentional attack at all. During our evaluation of 1Password7, we encountered a system stop error (kernel mode exception) on our Windows 10 workstation, from an unrelated hardware issue, that created a full memory debug dump to disk. While examining this memory dump file, we came across our secrets that 1Password7 held cleartext, in memory, in a locked state when the stop error occurred (Figure 9).
Upvote
0
- Se incorporó
- 2 Octubre 2005
- Mensajes
- 13.599
He estado leyendo y según de lo que dice 1Password, atenuaron los problemas que menciona el estudio mediante un cambio de plataforma:
Más info: https://support.1password.com/kb/201902a/
No tengo idea cuál será la respuesta de los demás. El estudio btw tb menciona que entre no usar un password manager y usar uno aunque tenga este tipo de "bugs" (que en realidad al parecer se deben más al manejo de RAM del sistema operativo más que el programa) es mil veces más preferible un password manager por el simple hecho de que necesitas un equipo comprometido de antes para que funcionen las vulnerabilidades y también pq una contraseña inventada por un humano es muchísimo más fácil de crackear. (macoy123 alguien?)
Saludos.
Upvote
0
- Se incorporó
- 23 Febrero 2004
- Mensajes
- 12.399
claro
es como el tema de usar o no mascarilla en la calle
siempre sera mejor tener algo de proteccion
es como el tema de usar o no mascarilla en la calle
siempre sera mejor tener algo de proteccion
Upvote
0
- Se incorporó
- 23 Febrero 2004
- Mensajes
- 12.399
por lo menos con lo que tengo estoy tranquilo, ya que aunque el pc parta y se vea la sesión, tanto el navegador como el depósito de claves de KDE piden la clave maestra
Enviado desde mi moto g(7) plus mediante Tapatalk
Enviado desde mi moto g(7) plus mediante Tapatalk
Upvote
0
