Aegis y el Segundo Factor de Seguridad

**josepzin** · 30/09/2023, 21:47

Hace un tiempo hablábamos con un amigo sobre la seguridad de las cuentas y que ahora muchos servicios están obligando (o recomendando muy insistentemente) tener un segundo factor de seguridad. No recuerdo qué me pasó en ese momento por lo que me decidí a usar Aegis para generar un código temporal de autenticación.

Aegis me pareció una buena opción, además lo instalé vía F-Droid que lo recomienda.

Lo llevo usando desde hace un par de años mas o menos y funciona muy bien, es práctico y estoy conforme.

Hasta ayer :P

De repente al entrar en Aegis para generar un código me pide la contraseña... ops, que raro, si esto nunca me pide contraseña. Busco en mis lugares habituales donde almaceno contraseñas y nada. No tengo contraseña.
Mirando en internet veo que no soy el primero que le pasa algo asi, y es que al usar la aplicación por primera vez te pregunta si quieres crear una contraseña o usar datos biométricos (o sea la huella), en su momento usé la huella y desde entonces todo bien.
Pero claro, ahora por X motivo de configuración la huella no me sirve para entrar y tengo que usar la contraseña, que no tengo porque nunca la hice.

Y fin, imposible acceder por la misma seguridad de Aegis.

Así que urgentemente fui cambiando configuraciones - desactivando 2FA - de todos los servicios que recordaba haber usado Aegis antes de no poder entrar.

Bitwarden no pude entrar, pero por suerte pude exportar los datos desde la extensión de Firefox y me creé una cuenta nueva.

No estoy seguro de todos los lugares que usé este 2FA, asi que ahora tengo la duda si no me quedó algún servicio olvidado con este segundo factor y que me entere algún día, de sorpresa y en el peor momento...

Ahora me quedo con la disyuntiva si dejar las cosas con menos seguridad o volver a configurar Aegis como tiene que ser para que no me vuelva a pasar.

Felicidades si llegaste hasta aquí, el final de esta apasionante historia.

**juanvvc** · 30/09/2023, 23:12

No dejes las cosas con menos seguridad, hombre. Además casi todos los servicios serios están obligando al segundo factor así que alguna de estas necesitarás.

Todas son iguales porque lo de los tokens es un estándar. Google Authenticator es el de Google y no pide contraseña. A mí me parece muy bien que Aegis pida contraseña o huella, así que bien por ahí.

De todas formas no te preocupes que no perderás acceso a algún servicio. Es muy normal perder el teléfono, o cambiarlo, así que los servicios que aceptan 2FA están constantemente gestionando a los usuarios que no pueden usar 2FA temporalmente.

Aún así, considera guardar códigos de recuperación para los servicios más críticos y no perder el tiempo con servicio al cliente. Los códigos de recuperación son simplemente un archivo de texto con códigos de un solo uso, para usar como último recurso. Se guardan en pendrive que no sacas nunca del cajón.

**Drumpi** · 02/10/2023, 12:15

Bueno, este tipo de cambios se avisan con tiempo, y el propio creador del sistema debe tener alguna forma de que, en casos como el tuyo, haya forma de recuperar, no la contraseña, sino el acceso.
Es que si no, cambiar unilateralmente el funcionamiento del producto, sin posibilidad de volver a usarlo, es pegarse un tiro en el pie.

Mira Unity

De hecho, hace no mucho vi un vídeo sobre Windows y el panel de control: las versiones modernas de Windows, además de su ventana de configuración, aún tienen la vieja ventana del panel de control que nos acompaña desde tiempos de XP. Según el propio vídeo, M$ lo mantiene porque aún hoy día hay millares de sistemas que usan ese viejo programa para automatizar la gestión del Sistema, y eliminarlo provocaría que muchísimos clientes se vieran forzados a hacer cambios y a pérdidas millonarias... y como este ejemplo, Windows está plagado de ellos.
Si lo hace M$ con un SO ¿Por qué no una empresa privada de seguridad?

**josepzin** · 02/10/2023, 15:52

Iniciado por Drumpi

Bueno, este tipo de cambios se avisan con tiempo, y el propio creador del sistema debe tener alguna forma de que, en casos como el tuyo, haya forma de recuperar, no la contraseña, sino el acceso.
Es que si no, cambiar unilateralmente el funcionamiento del producto, sin posibilidad de volver a usarlo, es pegarse un tiro en el pie.

En realidad aquí hay dos "culpables":
- Aegis: por permitir empezar a usar el servicio solo con datos biométricos y no obligarte a crear contraseña
- Yo: porque estuve modificando la configuración de huellas del teléfono, agregando un nuevo dedo y borrando otros

Supongo que al modificar se perdió la que usaba Aegis y por lo tanto pide la contraseña, que yo no tenía porque empecé a usarlo directamente con la huella.

La típica tormenta perfecta. Por suerte lo uso en muy pocas cosas. Solo estoy rogando al MSV que no me haya quedado algun servicio que no recuerdo :P

-----Actualizado-----

Iniciado por juanvvc

No dejes las cosas con menos seguridad, hombre. Además casi todos los servicios serios están obligando al segundo factor así que alguna de estas necesitarás.

Una vez pasado el momento inicial de enojo/pánico, ya he vuelto a configurar todo de nuevo, pero esta vez creando la contraseña correspondiente.

Todas son iguales porque lo de los tokens es un estándar. Google Authenticator es el de Google y no pide contraseña.

Me imagino que tendrás que estar identificado con tu cuenta de Google.

De todas formas no te preocupes que no perderás acceso a algún servicio. Es muy normal perder el teléfono, o cambiarlo, así que los servicios que aceptan 2FA están constantemente gestionando a los usuarios que no pueden usar 2FA temporalmente.

BitWarden lo hubiera perdido creo... por suerte pude exportar todo y crear una nueva cuenta.

Aún así, considera guardar códigos de recuperación para los servicios más críticos y no perder el tiempo con servicio al cliente. Los códigos de recuperación son simplemente un archivo de texto con códigos de un solo uso, para usar como último recurso. Se guardan en pendrive que no sacas nunca del cajón.

Cierto, yo voy usando KeePass para todo esto, espero que nunca me lo violen porque me hacen un agujero...

**juanvvc** · 02/10/2023, 17:09

Me imagino que tendrás que estar identificado con tu cuenta de Google.

No que yo sepa aunque es verdad que no he probado en un teléfono sin cuenta Google. Estas aplicaciones simplemente ejecutan un algoritmo sencillo para crear un one-time-passwords, no necesita tener conexión con nada. Sí necesitan que el dispositivo esté en hora correcta porque necesita tener los relojes perfectamente sincronizados. El algoritmo es del tipo: hash(clave acordada durante el registro de 2FA + hora actual), y la contraseña caduca cada 30 segundos.

Hay muchas aplicaciones de estas, incluso para instalar en relojes. Valen todas porque es un estándar.

-----Actualizado-----

KeePass va solucionando bugs de tanto en tanto y este año lleva dos muy graves. Recordatorio para que lo tengas actualizado!

**josepzin** · 03/10/2023, 16:11

Ya he vuelto a meter todo en Aegis, con contraseña creada y guardada. Si me pasa de nuevo ya cambio

-----Actualizado-----

Iniciado por juanvvc

KeePass va solucionando bugs de tanto en tanto y este año lleva dos muy graves. Recordatorio para que lo tengas actualizado!

Si, lo tengo vía PortableApps, que se va actualizando automaticamente cada tanto.

Como para mejorar la experiencia en seguridad tengo el archivo de KeePass en Dropbox... es lo que todos dicen que no hay que hacer pero no se me ocurre otra manera de tener todas mis contraseñas sincronizadas en todas partes de una forma tan práctica y automática.

**Drumpi** · 03/10/2023, 18:30

Bueno, si el archivo en Dropbox lo tienes encriptado y con contraseña ¿por qué no iba a ser seguro? Más seguro sería si nadie supiera que lo tienes ahí

Es que para más seguridad ¡apúntatelo en un cuaderno y no lo dejes encima de la mesa! Eso no te lo hackean. Es más difícil hoy día que alguien entre en tu casa a robarte las contraseñas en papel que en cualquier medio digital, esté donde esté. Sólo... mantén las cámaras alejadas del cuaderno

**josepzin** · 03/10/2023, 21:04

Más seguro sería si nadie supiera que lo tienes ahí

Vaya, tendré que mataros a todos...

**juanvvc** · 03/10/2023, 21:50

Curiosamente, he llevado tantos casos de contraseñas conocidas por tenerlas escritas en una libreta en el despacho como de contraseñas conocidas por tenerlas en Dropbox hackeados. Y eran casos de personas muy importantes

Por mí, libreta y Dropbox están empatados

**josepzin** · 03/10/2023, 22:43

En todo caso sería Libreta y Dropbox encriptados!

**Drumpi** · 04/10/2023, 16:53

Iniciado por josepzin

Vaya, tendré que mataros a todos...

-Parece ser que intentas matar a algunos usuarios ¿deseas que te muestre algunas sugerencias?
-¡Pero Drumpi! ¿Qué clase de BBDD le has metido a Clippo esta vez?

Iniciado por juanvvc

Curiosamente, he llevado tantos casos de contraseñas conocidas por tenerlas escritas en una libreta en el despacho como de contraseñas conocidas por tenerlas en Dropbox hackeados. Y eran casos de personas muy importantes

Por mí, libreta y Dropbox están empatados

Bueno, también puedes encriptar la libreta

Puedes escribir las contraseñas incompletas, desordenadas, o mezcladas, u omitiendo datos que conoces de sobra de memoria. Mientras sepas descifrar tu propio galimatías, todo irá bien. El problema es que se te olvide, como me ha pasado ya alguna que otra vez en el trabajo, y no sabía des-mezclar las contraseñas y tuve que recurrir al sistema "oficial".
No quiero dar trucos concretos, sólo ideas generales, porque luego me pilláis mis datos y no quiero

Tampoco es muy seguro copiar y pegar la contraseña, lo digo porque mucha gente se olvida que la tiene en el portapapeles, y pueden pasar horas hasta que se vuelva a copiar algo. Nunca hagáis ctrl-c de la contraseña completa, dejad algunos caracteres para escribirlos a mano

**wolf_noir** · 04/10/2023, 17:36

pensé que era otro hilo de Manuelosano xD

**juanvvc** · 04/10/2023, 18:04

Iniciado por Drumpi

Tampoco es muy seguro copiar y pegar la contraseña, lo digo porque mucha gente se olvida que la tiene en el portapapeles, y pueden pasar horas hasta que se vuelva a copiar algo. Nunca hagáis ctrl-c de la contraseña completa, dejad algunos caracteres para escribirlos a mano

Eso no va a pasar con un gestor de contraseñas como Keepass. Las contraseñas se borran del portapeles en unos 10 segundos o inmediatamente tras usarlas. Algunos sistemas operativos (iOS, Android) avisan cuando una aplicación está accediendo al portapapeles si los datos los ha metido ahí otra aplicación. Windows que yo sepa no avisa.

**josepzin** · 04/10/2023, 18:40

Iniciado por wolf_noir

pensé que era otro hilo de Manuelosano xD

Así está el nivel... :P

-----Actualizado-----

Iniciado por Drumpi

-Parece ser que intentas matar a algunos usuarios ¿deseas que te muestre algunas sugerencias?

Si, acepto sugerencias... algun tipo de GIF animado que pueda poner en este hilo y licúe el cerebro de todos los que lo vean excepto a mi.

Bueno, también puedes encriptar la libreta

Puedes escribir las contraseñas incompletas, desordenadas, o mezcladas, u omitiendo datos que conoces de sobra de memoria. Mientras sepas descifrar tu propio galimatías, todo irá bien. El problema es que se te olvide, como me ha pasado ya alguna que otra vez en el trabajo, y no sabía des-mezclar las contraseñas y tuve que recurrir al sistema "oficial".

Yo intenté hacer eso pero al poco tiempo me di cuenta que era inviable, iba a terminar olvidandome alguna contraseña y liandola.

Tampoco es muy seguro copiar y pegar la contraseña, lo digo porque mucha gente se olvida que la tiene en el portapapeles, y pueden pasar horas hasta que se vuelva a copiar algo. Nunca hagáis ctrl-c de la contraseña completa, dejad algunos caracteres para escribirlos a mano

Buf... yo copio y pego desde Keepass decenas de veces por día... entre cuentas mias, de mi mujer, mi suegra, servicios y todo lo que llevo.
Por suerte existe BitWarden, aunque allí lo único que no meto son datos bancarios.