Los gestores de contraseña siempre van a ser blanco de los ataques en navegadores, porque son la puerta a muchas cosas, pero se fomenta su uso con políticas de contraseñas imposibles de recordar, ni apuntándolas en un papel luego no puedes descifrarlas porque muchas veces no sabes si apuntaste un signo o una cifra.
Viendo este panorama está claro que se busca depender de estos gestores que estarán al servicio de los servicios secretos que llevan la democracia al mundo, porque otra explicación no hay, encima tienes que cambiarlas cada cierto tiempo y guardan las antiguas para que no las uses de nuevo. Si saben que esa contraseña ya la has usado, pueden saber las contraseñas que estás usando.

#2 una posibilidad es usar siempre la misma contraseña pero añadiendo antes las 4 primeras letras del dominio, por ejemplo aquí en Meneame algo tipo Mene+la contraseña, en Google Goog+la contraseña. Hay algunos sitios donde ya es más complicado hacerlo pero puede dar resultado. 

#1 En general cualquier gestor de contraseñas tambien.
¿Como puedes estar seguro de que no las usa para 'algo'?

#3 Lo ideal sería tener una contraseña que fuera fácil para recordar para nosotros, pero complicada para una máquina. Tipo "Ayermecomi2torrijasy4coca-colas". Pero no, hay webs que obligan a usar caracteres especiales, hay webs que prohíben usar ciertos caracteres especiales, otras que obligan a mayúsculas... al final, te inventes la contraseña que te inventes, no va a valer para todas las webs.

Respecto a la noticia... dar nuestras contraseñas a una empresa cuyo modelo de negocio se basa en recopilar datos personales.. ¿qué podría salir mal?

#2 #3 Yo suelo poner el dominio + el número de letras que tiene + el símbolo del teclado que corresponde a ese número haciendo shift

Por ejemplo aquí: meneame+7/

#4 un buen gestor de contraseñas no puede usar tus contraseñas como dices porque van encriptadas de extremo a extremo. Otra cosa es que se hagan con tu contraseña maestro que es la que desencripta todo. Pero esta también tiene sus capas de seguridad, incluso puede usar zero-knowledge donde el servidor no tiene ni idea de lo que has escrito.

Además hay gestores de contraseñas locales, como Keepass, donde la información nunca sale de tu PC

La mejor manera de generar contraseñas y relativamente fáciles de memorizar ya la explicaron en xkcd

xkcd.com/936/

Hay varias aplicaciones y webs para generar este tipo de contraseñas.

#10 El problema es que muchos sitios tienen longitud máxima, caracteres raros, etc con lo que no es válida.

#2 guardan las antiguas para que no las uses de nuevo. Si saben que esa contraseña ya la has usado, pueden saber las contraseñas que estás usando

No necesitan guardar la contraseña, pueden guardar el hash de la contraseña y compararlo.

Os cuento lo que me pasó a mi. Yo tenía casi todas las contraseñas en Google Chrome desde hace muchos años. Siempre uso Linux pero como me acababa de comprar un nuevo portátil que llevaba Windows 11 me dije: "voy a probar a ver cómo es". Pues bien, me instalé el Chrome, me loguee, y a los pocos minutos me sale un mensaje de actividad extraña detectada o algo así. Al día siguiente al levantarme habían hackeado mi cuenta de Amazon desde EEUU y habían intentado comprar unas tarjetas de compra. En total pudieron gastar unos 40 euros. Cambié todas mis contraseñas, denuncié el caso a Amazon y tras bastantes esfuerzos me devolvieron el dinero y la cuenta (les costó más devolverme la cuenta que el dinero).

Conclusión: "va a volver a usar Windows su puta madre"

#9 keepass, no será más fácil usar un excel/calc protegido por contraseña?

#4

#13 Llevo 25 años usando Windows ,24 usando internet y jamás me han robado un duro

#8

Hace tiempo decidí empezar a usar Keepass. El proceso de cambiar todas las contraseñas fue bastante tedioso, cosa que muy de vez en cuando sigo haciendo porque todavía queda alguna web perdida que aún no he hecho, pero el resultado merece la pena. Además, tienen una app para el móvil muy sencilla y útil.
A todo el que se lo he recomendado, han pasado completamente de hacerlo. Personas que siempre usan las mismas contraseñas o que las olvidan constantemente cuando les fuerzan a introducir algún carácter más adicional o diferente.
La gente no se toma en serio lo de las contraseñas y todo el tema del hackeo parece ir a peor.

#13 yo uso linux también desde hace muchos años. Para uso personal. Para el profesional, en el trabajo siempre que puedo instalo una distro en aquellos PCs que me permitan (pocos) o en mi portátil del curro, pero la mayoría de puestos en mi trabajo tienen Windows (desactualizado, sin licencia en muchos casos, con software también sin actualizar... y conectado a internet todo el rato, claro). Un terror.

#14 es mejor un bloc de notas, aficionados....

#20 te refieres al bloc de notas de Windows o a uno físico?

Ambos me parecen ideales para la tarea, pero si tengo que elegir, el bloc de notas de Windows, y el archivo .txt subido a la nube.

#8 pues la he probado y no funciona

pues tengo mas de 80 contraseñas, a ver como me acuerdo de ellas?
una solucion es poner la misma a todos 123456

#12 #2 a veces te dicen que la contraseña se parece mucho a la anterior, por ejemplo, si usas la anterior añadiendo un 1 al final. Huye de esos portales

Eso de guardar las contraseñas en el navegador del ordenador del trabajo...jamás se me pasó por la cabeza. Desde hace ya bastante, en todos los ordenadores de trabajo he tenido keepass. Incluso en ocasiones alguna BBDD compartida entre el grupo con contraseñas de administrador o usuarios especiales que eran comunes para todos

#20 no sé si lo dices de conha, pero si, es lo mejor. Hace falta acceso físico a tu casa para obtener tus contrasenhas.

Yo tengo casi todas en chrome porque no hay nada mas cómodo. Llevo muchísimos anhos intentando salir de las grandes, usando apps alternativas para todo, luchando por usar software europeo, creando mi propio servidor de archivos...
pero es todo tanto trabajo, que mientras me dura el interés lo hago, pero llega un momento que caigo otra vez.

#9 Son super seguros, hasta que dejan de serlo, que se lo pregunten a los usuarios de Lastpass....

#10 muy chulo, pero luego tienes que saber si el msn era unicornio o si café con leche era para altavista o para lycos.

#25 te permiten instalar apps en tu ordenador de curro?

#29 No, lo instala el dpto de soporte. Yo no soy admin de los PC del trabajo...ni quiero!

#30 voy a ver si cuela en la mia

Titular demasiado largo.
Usar Google <s>Chrome ara gestionar tus contraseñas </s>no es una buena idea.

#13 así de repente sacado de fábrica y sin instalar nada mas? Al doble factor de Amazon que le paso? A ver si no fue Windows y fuiste tu

#7 Yo tenía una contraseña con mayúsculas, minúsculas, cifras y caracteres especiales. Me apunté a una página y me exigen también espacios dentro de la contraseña.

Al final he cambiado todas las contraseñas con el famoso espacio para quitarme la paliza de que me vuelva a ocurrir y tener varias contraseñas parecidas pero ninguna igual... Tengo claro que no es lo mejor usar la misma contraseña para todo. Pero en tantas cositas que estoy metido me volvería loco recordando 15 o 20 contraseñas distintas.

A ver qué se les ocurre para la próxima vez.

Usar el gestor de contraseñas no es buena idea pero el artículo es un poco tontería, se centra en que:

no hay cifrado de extremo y en que si rompen la seguridad de tu cuenta gmail ye roban las contraseñas pero nadie te obliga a sincronizar con la nube;

Si guardas las contraseñas en el trabajo y dejas el navegador abierto tu compañero puede verlas pero ¿Para que guardas tus contraseñas personales en el ordenador del trabajo? Eso no es problema del gestor sino tuyo.

En que al tenerlas en chrome, después no las tienes en p ej. Firefox, nos has jodido....

#14 en serio?

#4 cualquiera ? Yo uso bitwarden en mi NAS (desde hace 1 año nada más... pero bueno)

#27 "donde la información nunca sale de tu PC "

son opciones locales hombre

La solución son las passkeys. Desde Google ya se pueden utilizar.

Ya se pueden utilizar en muchos servicios, y son el futuro. Un futuro sin contraseñas. Es un sistema más seguro y tecnologicamente muy interesante. Os invito a informaros sobre el tema:

youtu.be/DELDP_wbuE4?si=q6WhkrZ3Fv0LvZ2T

blog.1password.com/passkeys-vs-passwords-differences/

#9 En mi curro manejamos un MONTON de usuarios tecnicos y tenemos el keepass compartido en sharepoint, que a su vez con one drive hace que todos tengamos una copia local sincronizada. Nos funciona muy bien.

#13 vamos que el problema es que tienes un nivel de usuario de niño de 2 años... y ahora puedes venir con que llevas con Linux 50 años, que fuiste colega de cuarto de torvalds, que trabajas de seguridad en la NSA,etc... pero con la historia que has contado...

#18 La mejor contraseña es olvidarla y darle a recuperar contraseña cada vez.

#33 es que o es mentira ... o es mentira. Amazon desde hace eones si abres la cuenta en otra ubicación te obliga a meter la tarjeta otra vez para validar la compra

#18 lo mismo con bitwarden, en mi caso lo metí en el NAS y arreando

#24 Eso me pasaba hace años. En una página oficial de la Xunta de Galicia nos obligaban a cambiar la clave cada pocos meses. El mensaje más o menos era que la clave debería diferenciarse de la anterior en al menos un número de letras. ¡Ojo! Ya no de la última. ¡Incluso de las claves anteriores...! Yo también pensaba lo mismo: ¡Estos animales están almacenando las últimas claves de todos los usuarios en texto! ¡Alerta roja!

Por otro lado tampoco valía para mucho tanta "seguridad". La cosa era tan complicada para el usuario que mis compañeros al final apuntaban las claves en libretas, papeles o post-its por todos los sitios. Me parece raro todavía que no haya ocurrido nada... En fin.

#16 metoo. Uso Windows desde el 3.1 y conocí internet en la uni, en el 94. Nunca me han robado ni hackeado nada. A lo sumo han inyectado anuncios en alguna web que tengo por ahí en servidores con Linux y borrando y cambiando contraseñas se ha arreglado,

#13 menuda película te has montado, mezclas churras con merinas. Lo que cuentas dice más de ti que de windows.

Si te hackearon la contraseña sería pq tendrías una mierda de contraseña, no habrías activado la verificación en dos pasos o cualquier cosa, no por usar windows 11. Madre mía, y encima te votan positivo.

PD: uso windows 10 en el portátil del trabajo y linux en el de casa, por si te piensas que soy un fanboy.

Hace años que uso 1Password y no creo que vuelva atrás. Windows, Mac, Linux… Addon de Firefox, encriptación, transparencia, siempre nuevas características y pleno desarrollo de las apps….

#3 user esa tècnica hasta que por temàs laborales tuve que recuperar contraseñas de un compañero que seguia la misma encriptación, si és que se puede llamar a así, y le saqué todas las contraseñas de la empresa

#22 porque es ********

#18 También uso Keepass, el mejor gestor que he encontrado, código abierto, gratis y en local.
Y misma experiencia con mis conocidos, en cuanto oyen hablar de bóveda cifrada desconectan el cerebro; luego vendrán los lloros.

#13 Sí, era de fábrica y pasó el mismo día que abrí el paquete. Instalé aguna cosa. El doble factor estaba desactivado, lo cual no fue ningún problema en Linux.

#16 Pues a mi sí, para una vez que lo uso. Hay gente que pilla 300 vuelos al año y no le pasa nada y otra que al primero que coge va y tiene un accidente.

#33 No tenía el doble paso activado. No fue Windows, fue una persona aprovechándose de la escasa seguridad de Windows y de Google Chrome.

#41 Yo he contado lo que pasó. Si tú no quieres creerlo porque no encaja en tu discurso y prefieres insultar, me parece perfecto. Los insultos suelen decir más de la persona que los emite que de la que los recibe. Llevo con Linux 25 años, no soy colega de Torvalds pero sí que interactué con él hace años en USENET, trabajo en desarrollo de aplicaciones de inteligencia artificial para medicina de precisión y soy doctor, bioquímico e ingeniero informático. Nada de eso te lo vas a creer, aunque tampoco eso invalida que yo pudiera cometer un error (más allá del de usar Windows), pero es más fácil insultar.

#47 He contado exactamente lo que me pasó. La contraseña era segura, con letras, números y caracteres especiales, pero eso es irrelevante cuando el Google Chrome las almacena localmente de manera insegura. La verificación en dos pasos no estaba activada, pero tampoco lo ha estado cuando he utilizado el Google Chrome en Linux. Tampoco las contraseñas de Google Chrome estaban encriptadas, lo cuál me sorprendió porque nunca me planteé que pudiera ser así, pero en años en Linux esto tampoco supuso ningún problema. Supongo que mi error fue la relajación de toda medida de seguridad debido a la costumbre de trabajar en sistemas seguros.

#23 No hombre, esa es muy insegura. Hay que llegar al menos al 0

1234567890

#34 hasta que te encuentres uno donde esté prohibido usar espacios{wall}. Hay sitios así

#29 En el mío es el almacén de contraseñas corporativo. Otra cosa es que los usuarios usen el KeePass que se ha instalado.

Por cierto, mejor KeePass-XC.

KeePass tiene un bug crítico. Mediante la edición de un xml un admin del sistema puede programar una tarea que se ejecuta cuando introduces la contraseña del almacén y con esa tarea puede llevarse la info en claro de tu KeePass. Y eso tira abajo el trust-zero.

Lo dicho, KeePass-XC

#40 tarde o temprano se va a corromper esa bbdd. Es mucho mejor usar un gestor de contraseñas en la nube tipo keeper. Tus contraseñas actuales ya no están en local, las tiene microsoft en sharepoint así que el tema de que las sepa un tercero ya lo ha superado.

#34 Usar la misma contraseña para todo, por muy compleja que sea, es la peor estrategia del mundo porque en el momento que un sitio se comprometa te han comprometido todo porque van a intentar usar tu usr/pwd en todos sitios y caerás sí o sí.

Chrome pura basura a todos los niveles.

#38 Hasta que entran en el y te levantan el llavero
Lo ideal es tener una clave maestra y hacer derivadas de ella para el resto de sitios web o servidores, yo debo tener unas 100 y me acuerdo de todas y como no me torturen o me corten la cabeza lo llevan claro.

#56 Dime que no entiendes como funciona keepass sin decirme que no sabes como funciona keepass

Es cierto que si se jode el sharepoint podemos tener un problema. Pero vamos, el mismo problema que si tengo el keepass solamente en mi disco duro local y se jode el disco duro.

#59 O que se filtren un par de ellas y se hagan un diccionario a partir del patron... Lo mas peligroso de las contrasenyas es que se reutilicen. Si tu estas usando algo como "CONSTANTE-variablenombredelsite-123!" y formas tus pass a partir de ese patron, es facil sacar posibles contrasenyas de otro site.
Y te aseguro que en tests de penetracion se hace uso de esto. Se recolecta la lista de empleados de una empresa, se mira si han usado su cuenta en un servicio de terceros donde haya habido una filtracion y se realizan ataques con diccionarios de contrasenyas basadas en las filtraciones

Hay gestores de contraseñas seguros y de código abierto, como este: keepassxc.org con extensión para navegadores KeePassXC-Browser y versiones para Android keepassxc.org/docs/#faq-platform-mobile

Firefox en cambio sí tiene opción de proteger tu información de usuarios/contraseñas cifrando con una contraseña maestra, aunque hay que activarlo: support.mozilla.org/gl/kb/use-primary-password-protect-stored-logins

#61 Es mas complicado que eso ya que unas de las variables es la ubicacion geografica y nada que identifique el site externamente y hasta aqui puedo leer,
Lo tendrian dificil para descifrar el algoritmo que uso

#60 El cementerio está lleno de gente que decía "yo controlo".

#52 no es que no te crea es que es mentira si o si, o bajaste una iso con algún tipo de rootkit no hay mas

#52 Yo no sé qué te pasó ni por qué, pero me extraña mucho que 'la culpa' fuese de Windows. No sé si es que el ordenador, por muy de fábrica que fuese, ya venía con 'sorpresa incluida' o qué. Yo uso Linux y Windows indistintamente desde hace más de 20 años, guardo contraseñas en el navegador, en google, en firefox y también tengo gestor de contraseña local y hasta ahora no he tenido problemas nunca (tocaremos madera).

#52 Las contraseñas en Chrome se almacenan cifradas. Pero si estás logueado como el mismo usuario, descifrarlas es trivial. Si tratas de descifrar las contraseñas de otro usuario si es más dificil. Incluso siendo admin local, porque necesitas si o si la contraseña de login del usuario y en Win no hay un equivalente completo de su.

#1 todo el mundo sabe que Google no es de fiar, peros se hace por vagancia

#12 no necesitarían* pero les gusta saberla

Es como tenerlas anotadas en un postIt

No me bajé ninguna iso, pero si lo hubiera hecho, eso no sería incompatible con que lo que he dicho sea cierto. Ya veo que de lógica andas justo.

#67 Cada uno genera su impresión en base a sus acontecimientos vitales. Yo llevaba 20 años o más sin usar Windows, lo pruebo un día y me pasa eso. Pues ya me dirás cuál quieres que sea mi perspectiva.

#68 Las contraseñas en Chrome se almacenan cifradas. Pero si estás logueado como el mismo usuario, descifrarlas es trivial. Si tratas de descifrar las contraseñas de otro usuario si es más dificil. Incluso siendo admin local, porque necesitas si o si la contraseña de login del usuario y en Win no hay un equivalente completo de su.

No sé si habrá cambiado pero hace un año o así, que es cuando me pasó se me guardaron en texto plano, aunque sí existía la opción de cifrarlas. Yo ni me planteaba la posibilidad de que las contraseñas estuvieran así. Nunca me preocupo demasiado de la seguridad. Supongo que si fuera usuario asiduo de Windows habría estado más alerta con esas cosas.

#72 Ese comentario iba para que me ha puesto en ignore.

#74 Hace lo mismo en Windows y en Linux, aunque en linux hay varios backends de cifrado para la contraseña. Puede usar gnome-keyring, kwalletd, etc.

#20 la de fallos garrafales que han aparecido por aquí una y otra vez (empresas gordas) con las contraseñas sin cifrar

#26 www.flopy.es/bitwarden-vs-vaultwarden-instalacion-y-uso-de-un-gestor-d

#64 Verás cuando empieces con el alzheimer

#34 y luego vas a otra web y te dicen que no pueden ser más largas de 8 caracterse :fuu:
o peor, que solo pueden ser números ¡NÚMEROS!!

#57 Tradicionalmente venía usando mi cuenta de gmail principal para darme de alta en todas partes.
Pero ahora estoy optando por usar la cuenta de yahoo porque la funcionalidad de crear correos tipo "alias" me parece estupenda.

o sea, tienes tu buzón mibuzondeyahoo@yahoo.com
Después te creas una semilla, por ejemplo miregistro-
y a partir de ahí te creas alias funcionales , por ejemplo "miregistro-pepito@yahoo.com", "miregistro-juanito@yahoo.com" ... todos los correos te llegarán finalmente al buzón principal , te sirve como usuario y correo de contacto donde te registres ... y si hay una filtración (ej, "regalan" tus datos y empieza a llegar spam" sabes por donde vienen , dificulta a los spammer, y en caso de robo de credenciales de un sitio, también dificulta algo más

No es infalible, pero es un punto más

#50 back to de future ...

estas gracias ya se hacían por aquí allá por 2006

#68 Eso es lo que no me gusta de chrome. En firefox y Edge puedes crear una master password (en Edge puedes hacer que use la de tu login de windows o una master password)... y que a estas alturas Chrome no lo permita, me parece prehistórico.

Lo que hecho en falta es la funcionalidad que tenía una extensión de firefox antes de que sacasen lo de la master password.
Hacía eso mismo (poner una master password) pero además podías configurar cada cuanto tiempo te la podía volver a pedir , etc.

#78 gracias. En su momento empezè a instalar nextcloud, pero para los passwords tienes un problema: como falhe tu servidor, no puedes entrar en nada.

#84 la cosa es hacer copia de seguridad.
Creo que si tienes un docker o una vm, haces una copia más fácil, y restauras también más fácil, sin complicarte.

¿No se quedan cacheadas en los dispositivos locales?

#85 si cacheas estás jodiendo la seguridad, ya que cada pc en el que lo hagas será un posiblw hueco de wntrada.

#86 depende de si cachea cifrado o no. O si te quedas sin conexión no funciona?

#81 otro truco que les dificulta la vida si tu contraseña es filtrada es usar , y ; en las contraseñas. Si vuelcan una bbdd en csv se les escacharra tu registro y quizá pasen de ti

#73 El problema es que quizá culpas a Windows por un problema que no es de Windows.

#21 una físico con backup diario en otra ubicación

#26 los hackers opinan, no hay nada más cómodo que robar contraseñas se Chrome.

#77 lo mejor es implementar herramientas de gestión de passwords on prem con rotación incluida en la que el mismo usuario no sepa ni el password. Solo lo utilice y una vez utilizado o cada 24h se rote.

#89 Es un problema de Amazon, Google Chrome, Windows y mío, por usar todo eso en Windows sin preocuparme por la seguridad como hago en Linux. Pero la herramienta nunca es culpable. El culpable siempre es el usuario. Si para cortar una hoja de papel utilizo un cuchillo en vez de unas tijeras me puedo cortar con más facilidad y si me corto la culpa es mía, no del cuchillo. Aquí es igual. La culpa es mía por usar Windows como si estuviera usando un sistema seguro.

#88 aprendiendosqlserver.blogspot.com/2014/07/humor-y-sql-server-inyeccion