User Tag List

Resultados 1 al 14 de 14

Tema: Aegis y el Segundo Factor de Seguridad

  1. #1

    Fecha de ingreso
    Nov 2005
    Ubicación
    Excartagenero
    Mensajes
    24,108
    Mencionado
    286 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    6,144
    Agradecer Thanks Received 
    6,203
    Thanked in
    Agradecido 4,037 veces en [ARG:2 UNDEFINED] posts
    Entradas de blog
    1

    Aegis y el Segundo Factor de Seguridad

    Hace un tiempo hablábamos con un amigo sobre la seguridad de las cuentas y que ahora muchos servicios están obligando (o recomendando muy insistentemente) tener un segundo factor de seguridad. No recuerdo qué me pasó en ese momento por lo que me decidí a usar Aegis para generar un código temporal de autenticación.

    Aegis me pareció una buena opción, además lo instalé vía F-Droid que lo recomienda.

    Lo llevo usando desde hace un par de años mas o menos y funciona muy bien, es práctico y estoy conforme.

    Hasta ayer :P

    De repente al entrar en Aegis para generar un código me pide la contraseña... ops, que raro, si esto nunca me pide contraseña. Busco en mis lugares habituales donde almaceno contraseñas y nada. No tengo contraseña.
    Mirando en internet veo que no soy el primero que le pasa algo asi, y es que al usar la aplicación por primera vez te pregunta si quieres crear una contraseña o usar datos biométricos (o sea la huella), en su momento usé la huella y desde entonces todo bien.
    Pero claro, ahora por X motivo de configuración la huella no me sirve para entrar y tengo que usar la contraseña, que no tengo porque nunca la hice.

    Y fin, imposible acceder por la misma seguridad de Aegis.

    Así que urgentemente fui cambiando configuraciones - desactivando 2FA - de todos los servicios que recordaba haber usado Aegis antes de no poder entrar.

    Bitwarden no pude entrar, pero por suerte pude exportar los datos desde la extensión de Firefox y me creé una cuenta nueva.

    No estoy seguro de todos los lugares que usé este 2FA, asi que ahora tengo la duda si no me quedó algún servicio olvidado con este segundo factor y que me entere algún día, de sorpresa y en el peor momento...

    Ahora me quedo con la disyuntiva si dejar las cosas con menos seguridad o volver a configurar Aegis como tiene que ser para que no me vuelva a pasar.

    Felicidades si llegaste hasta aquí, el final de esta apasionante historia.
    Última edición por josepzin; 30/09/2023 a las 21:54

  2. El siguiente usuario agradece a josepzin este mensaje:

    fbustamante (30/09/2023)

  3. #2

    Fecha de ingreso
    Mar 2007
    Ubicación
    Barna
    Mensajes
    10,433
    Mencionado
    93 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    392
    Agradecer Thanks Received 
    1,874
    Thanked in
    Agradecido 991 veces en [ARG:2 UNDEFINED] posts
    No dejes las cosas con menos seguridad, hombre. Además casi todos los servicios serios están obligando al segundo factor así que alguna de estas necesitarás.

    Todas son iguales porque lo de los tokens es un estándar. Google Authenticator es el de Google y no pide contraseña. A mí me parece muy bien que Aegis pida contraseña o huella, así que bien por ahí.

    De todas formas no te preocupes que no perderás acceso a algún servicio. Es muy normal perder el teléfono, o cambiarlo, así que los servicios que aceptan 2FA están constantemente gestionando a los usuarios que no pueden usar 2FA temporalmente.

    Aún así, considera guardar códigos de recuperación para los servicios más críticos y no perder el tiempo con servicio al cliente. Los códigos de recuperación son simplemente un archivo de texto con códigos de un solo uso, para usar como último recurso. Se guardan en pendrive que no sacas nunca del cajón.
    "Todo es absolutamente falso, salvo alguna cosa"

  4. #3

    Fecha de ingreso
    Sep 2005
    Mensajes
    15,464
    Mencionado
    254 Post(s)
    Tagged
    1 Tema(s)
    Agradecer Thanks Given 
    736
    Agradecer Thanks Received 
    1,975
    Thanked in
    Agradecido 1,351 veces en [ARG:2 UNDEFINED] posts
    Bueno, este tipo de cambios se avisan con tiempo, y el propio creador del sistema debe tener alguna forma de que, en casos como el tuyo, haya forma de recuperar, no la contraseña, sino el acceso.
    Es que si no, cambiar unilateralmente el funcionamiento del producto, sin posibilidad de volver a usarlo, es pegarse un tiro en el pie.

    Mira Unity

    De hecho, hace no mucho vi un vídeo sobre Windows y el panel de control: las versiones modernas de Windows, además de su ventana de configuración, aún tienen la vieja ventana del panel de control que nos acompaña desde tiempos de XP. Según el propio vídeo, M$ lo mantiene porque aún hoy día hay millares de sistemas que usan ese viejo programa para automatizar la gestión del Sistema, y eliminarlo provocaría que muchísimos clientes se vieran forzados a hacer cambios y a pérdidas millonarias... y como este ejemplo, Windows está plagado de ellos.
    Si lo hace M$ con un SO ¿Por qué no una empresa privada de seguridad?
    PROYECTOS REALIZADOS: FrikiMusic, Motor Scroll Tileado v3.2, Venturer2X (GP2X/WIZ), Echo, Screen Break Time
    PROYECTOS EN MARCHA (algunos): Bennu GP2X: 95% (necesito ayuda) ¡Antes de Halloween!: 92% SpaceH2H: 8%

  5. #4

    Fecha de ingreso
    Nov 2005
    Ubicación
    Excartagenero
    Mensajes
    24,108
    Mencionado
    286 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    6,144
    Agradecer Thanks Received 
    6,203
    Thanked in
    Agradecido 4,037 veces en [ARG:2 UNDEFINED] posts
    Entradas de blog
    1
    Cita Iniciado por Drumpi Ver mensaje
    Bueno, este tipo de cambios se avisan con tiempo, y el propio creador del sistema debe tener alguna forma de que, en casos como el tuyo, haya forma de recuperar, no la contraseña, sino el acceso.
    Es que si no, cambiar unilateralmente el funcionamiento del producto, sin posibilidad de volver a usarlo, es pegarse un tiro en el pie.
    En realidad aquí hay dos "culpables":
    - Aegis: por permitir empezar a usar el servicio solo con datos biométricos y no obligarte a crear contraseña
    - Yo: porque estuve modificando la configuración de huellas del teléfono, agregando un nuevo dedo y borrando otros

    Supongo que al modificar se perdió la que usaba Aegis y por lo tanto pide la contraseña, que yo no tenía porque empecé a usarlo directamente con la huella.

    La típica tormenta perfecta. Por suerte lo uso en muy pocas cosas. Solo estoy rogando al MSV que no me haya quedado algun servicio que no recuerdo :P

    -----Actualizado-----

    Cita Iniciado por juanvvc Ver mensaje
    No dejes las cosas con menos seguridad, hombre. Además casi todos los servicios serios están obligando al segundo factor así que alguna de estas necesitarás.
    Una vez pasado el momento inicial de enojo/pánico, ya he vuelto a configurar todo de nuevo, pero esta vez creando la contraseña correspondiente.


    Todas son iguales porque lo de los tokens es un estándar. Google Authenticator es el de Google y no pide contraseña.
    Me imagino que tendrás que estar identificado con tu cuenta de Google.


    De todas formas no te preocupes que no perderás acceso a algún servicio. Es muy normal perder el teléfono, o cambiarlo, así que los servicios que aceptan 2FA están constantemente gestionando a los usuarios que no pueden usar 2FA temporalmente.
    BitWarden lo hubiera perdido creo... por suerte pude exportar todo y crear una nueva cuenta.


    Aún así, considera guardar códigos de recuperación para los servicios más críticos y no perder el tiempo con servicio al cliente. Los códigos de recuperación son simplemente un archivo de texto con códigos de un solo uso, para usar como último recurso. Se guardan en pendrive que no sacas nunca del cajón.
    Cierto, yo voy usando KeePass para todo esto, espero que nunca me lo violen porque me hacen un agujero...

  6. #5

    Fecha de ingreso
    Mar 2007
    Ubicación
    Barna
    Mensajes
    10,433
    Mencionado
    93 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    392
    Agradecer Thanks Received 
    1,874
    Thanked in
    Agradecido 991 veces en [ARG:2 UNDEFINED] posts
    Me imagino que tendrás que estar identificado con tu cuenta de Google.
    No que yo sepa aunque es verdad que no he probado en un teléfono sin cuenta Google. Estas aplicaciones simplemente ejecutan un algoritmo sencillo para crear un one-time-passwords, no necesita tener conexión con nada. Sí necesitan que el dispositivo esté en hora correcta porque necesita tener los relojes perfectamente sincronizados. El algoritmo es del tipo: hash(clave acordada durante el registro de 2FA + hora actual), y la contraseña caduca cada 30 segundos.

    Hay muchas aplicaciones de estas, incluso para instalar en relojes. Valen todas porque es un estándar.

    -----Actualizado-----

    KeePass va solucionando bugs de tanto en tanto y este año lleva dos muy graves. Recordatorio para que lo tengas actualizado!
    "Todo es absolutamente falso, salvo alguna cosa"

  7. #6

    Fecha de ingreso
    Nov 2005
    Ubicación
    Excartagenero
    Mensajes
    24,108
    Mencionado
    286 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    6,144
    Agradecer Thanks Received 
    6,203
    Thanked in
    Agradecido 4,037 veces en [ARG:2 UNDEFINED] posts
    Entradas de blog
    1
    Ya he vuelto a meter todo en Aegis, con contraseña creada y guardada. Si me pasa de nuevo ya cambio

    -----Actualizado-----

    Cita Iniciado por juanvvc Ver mensaje
    KeePass va solucionando bugs de tanto en tanto y este año lleva dos muy graves. Recordatorio para que lo tengas actualizado!
    Si, lo tengo vía PortableApps, que se va actualizando automaticamente cada tanto.

    Como para mejorar la experiencia en seguridad tengo el archivo de KeePass en Dropbox... es lo que todos dicen que no hay que hacer pero no se me ocurre otra manera de tener todas mis contraseñas sincronizadas en todas partes de una forma tan práctica y automática.

  8. #7

    Fecha de ingreso
    Sep 2005
    Mensajes
    15,464
    Mencionado
    254 Post(s)
    Tagged
    1 Tema(s)
    Agradecer Thanks Given 
    736
    Agradecer Thanks Received 
    1,975
    Thanked in
    Agradecido 1,351 veces en [ARG:2 UNDEFINED] posts
    Bueno, si el archivo en Dropbox lo tienes encriptado y con contraseña ¿por qué no iba a ser seguro? Más seguro sería si nadie supiera que lo tienes ahí
    Es que para más seguridad ¡apúntatelo en un cuaderno y no lo dejes encima de la mesa! Eso no te lo hackean. Es más difícil hoy día que alguien entre en tu casa a robarte las contraseñas en papel que en cualquier medio digital, esté donde esté. Sólo... mantén las cámaras alejadas del cuaderno
    PROYECTOS REALIZADOS: FrikiMusic, Motor Scroll Tileado v3.2, Venturer2X (GP2X/WIZ), Echo, Screen Break Time
    PROYECTOS EN MARCHA (algunos): Bennu GP2X: 95% (necesito ayuda) ¡Antes de Halloween!: 92% SpaceH2H: 8%

  9. #8

    Fecha de ingreso
    Nov 2005
    Ubicación
    Excartagenero
    Mensajes
    24,108
    Mencionado
    286 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    6,144
    Agradecer Thanks Received 
    6,203
    Thanked in
    Agradecido 4,037 veces en [ARG:2 UNDEFINED] posts
    Entradas de blog
    1
    Más seguro sería si nadie supiera que lo tienes ahí
    Vaya, tendré que mataros a todos...

  10. #9

    Fecha de ingreso
    Mar 2007
    Ubicación
    Barna
    Mensajes
    10,433
    Mencionado
    93 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    392
    Agradecer Thanks Received 
    1,874
    Thanked in
    Agradecido 991 veces en [ARG:2 UNDEFINED] posts
    Curiosamente, he llevado tantos casos de contraseñas conocidas por tenerlas escritas en una libreta en el despacho como de contraseñas conocidas por tenerlas en Dropbox hackeados. Y eran casos de personas muy importantes

    Por mí, libreta y Dropbox están empatados

  11. #10

    Fecha de ingreso
    Nov 2005
    Ubicación
    Excartagenero
    Mensajes
    24,108
    Mencionado
    286 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    6,144
    Agradecer Thanks Received 
    6,203
    Thanked in
    Agradecido 4,037 veces en [ARG:2 UNDEFINED] posts
    Entradas de blog
    1
    En todo caso sería Libreta y Dropbox encriptados!

  12. #11

    Fecha de ingreso
    Sep 2005
    Mensajes
    15,464
    Mencionado
    254 Post(s)
    Tagged
    1 Tema(s)
    Agradecer Thanks Given 
    736
    Agradecer Thanks Received 
    1,975
    Thanked in
    Agradecido 1,351 veces en [ARG:2 UNDEFINED] posts
    Cita Iniciado por josepzin Ver mensaje
    Vaya, tendré que mataros a todos...
    -Parece ser que intentas matar a algunos usuarios ¿deseas que te muestre algunas sugerencias?
    -¡Pero Drumpi! ¿Qué clase de BBDD le has metido a Clippo esta vez?

    Cita Iniciado por juanvvc Ver mensaje
    Curiosamente, he llevado tantos casos de contraseñas conocidas por tenerlas escritas en una libreta en el despacho como de contraseñas conocidas por tenerlas en Dropbox hackeados. Y eran casos de personas muy importantes

    Por mí, libreta y Dropbox están empatados
    Bueno, también puedes encriptar la libreta
    Puedes escribir las contraseñas incompletas, desordenadas, o mezcladas, u omitiendo datos que conoces de sobra de memoria. Mientras sepas descifrar tu propio galimatías, todo irá bien. El problema es que se te olvide, como me ha pasado ya alguna que otra vez en el trabajo, y no sabía des-mezclar las contraseñas y tuve que recurrir al sistema "oficial".
    No quiero dar trucos concretos, sólo ideas generales, porque luego me pilláis mis datos y no quiero

    Tampoco es muy seguro copiar y pegar la contraseña, lo digo porque mucha gente se olvida que la tiene en el portapapeles, y pueden pasar horas hasta que se vuelva a copiar algo. Nunca hagáis ctrl-c de la contraseña completa, dejad algunos caracteres para escribirlos a mano
    PROYECTOS REALIZADOS: FrikiMusic, Motor Scroll Tileado v3.2, Venturer2X (GP2X/WIZ), Echo, Screen Break Time
    PROYECTOS EN MARCHA (algunos): Bennu GP2X: 95% (necesito ayuda) ¡Antes de Halloween!: 92% SpaceH2H: 8%

  13. #12

    Fecha de ingreso
    Dec 2005
    Ubicación
    alcoy, alicante
    Mensajes
    5,986
    Mencionado
    72 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    3,227
    Agradecer Thanks Received 
    1,851
    Thanked in
    Agradecido 1,118 veces en [ARG:2 UNDEFINED] posts
    Entradas de blog
    3
    pensé que era otro hilo de Manuelosano xD

  14. El siguiente usuario agradece a wolf_noir este mensaje:

    fbustamante (04/10/2023)

  15. #13

    Fecha de ingreso
    Mar 2007
    Ubicación
    Barna
    Mensajes
    10,433
    Mencionado
    93 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    392
    Agradecer Thanks Received 
    1,874
    Thanked in
    Agradecido 991 veces en [ARG:2 UNDEFINED] posts
    Cita Iniciado por Drumpi Ver mensaje
    Tampoco es muy seguro copiar y pegar la contraseña, lo digo porque mucha gente se olvida que la tiene en el portapapeles, y pueden pasar horas hasta que se vuelva a copiar algo. Nunca hagáis ctrl-c de la contraseña completa, dejad algunos caracteres para escribirlos a mano
    Eso no va a pasar con un gestor de contraseñas como Keepass. Las contraseñas se borran del portapeles en unos 10 segundos o inmediatamente tras usarlas. Algunos sistemas operativos (iOS, Android) avisan cuando una aplicación está accediendo al portapapeles si los datos los ha metido ahí otra aplicación. Windows que yo sepa no avisa.
    "Todo es absolutamente falso, salvo alguna cosa"

  16. #14

    Fecha de ingreso
    Nov 2005
    Ubicación
    Excartagenero
    Mensajes
    24,108
    Mencionado
    286 Post(s)
    Tagged
    0 Tema(s)
    Agradecer Thanks Given 
    6,144
    Agradecer Thanks Received 
    6,203
    Thanked in
    Agradecido 4,037 veces en [ARG:2 UNDEFINED] posts
    Entradas de blog
    1
    Cita Iniciado por wolf_noir Ver mensaje
    pensé que era otro hilo de Manuelosano xD
    Así está el nivel... :P

    -----Actualizado-----

    Cita Iniciado por Drumpi Ver mensaje
    -Parece ser que intentas matar a algunos usuarios ¿deseas que te muestre algunas sugerencias?
    Si, acepto sugerencias... algun tipo de GIF animado que pueda poner en este hilo y licúe el cerebro de todos los que lo vean excepto a mi.

    Bueno, también puedes encriptar la libreta
    Puedes escribir las contraseñas incompletas, desordenadas, o mezcladas, u omitiendo datos que conoces de sobra de memoria. Mientras sepas descifrar tu propio galimatías, todo irá bien. El problema es que se te olvide, como me ha pasado ya alguna que otra vez en el trabajo, y no sabía des-mezclar las contraseñas y tuve que recurrir al sistema "oficial".
    Yo intenté hacer eso pero al poco tiempo me di cuenta que era inviable, iba a terminar olvidandome alguna contraseña y liandola.




    Tampoco es muy seguro copiar y pegar la contraseña, lo digo porque mucha gente se olvida que la tiene en el portapapeles, y pueden pasar horas hasta que se vuelva a copiar algo. Nunca hagáis ctrl-c de la contraseña completa, dejad algunos caracteres para escribirlos a mano
    Buf... yo copio y pego desde Keepass decenas de veces por día... entre cuentas mias, de mi mujer, mi suegra, servicios y todo lo que llevo.
    Por suerte existe BitWarden, aunque allí lo único que no meto son datos bancarios.

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •