Recientemente comencé a usar un administrador de contraseñas, específicamente LastPass. He entendido cómo funciona internamente la aplicación para almacenar, cifrar y darme acceso a mis contraseñas. Mi pregunta que no parece intuitiva es cuál es la mejor política para crear un inicio de sesión para la aplicación.
Por supuesto, necesito utilizar una cuenta de correo electrónico para crear la cuenta de LastPass. Mi preocupación es que si uso LastPass para almacenar mis credenciales de inicio de sesión para esa cuenta de correo electrónico, olvidar mi contraseña maestra significa que no tengo acceso a mi correo electrónico. Y no tener acceso a mi correo electrónico equivale a no poder recuperar mi cuenta de LastPass. Por otro lado, si mantengo mi inicio de sesión de correo electrónico independiente, entonces mi cuenta de LastPass es tan segura como mi contraseña de correo electrónico.
¿Mis cuentas de correo electrónico y de LastPass deberían tener dos contraseñas seguras diferentes, la misma contraseña o dejar que LastPass cree un inicio de sesión para mi correo electrónico? La primera opción hace que sea más difícil recordar dos contraseñas complejas diferentes. Las otras dos opciones tienen desventajas obvias en caso de que necesite recuperar la contraseña.
Respuesta1
LastPass solo conserva la contraseña de su cuenta de correo electrónico y nada le impide ingresarla manualmente al iniciar sesión en su cuenta de correo electrónico.
Olvidar la contraseña maestra le niega de hecho el acceso a su base de datos de formularios y contraseñas de LastPass, pero no bloquea ninguno de los servicios cuyos formularios y contraseñas ha almacenado en LastPass.
Sigue siendo una buena idea guardar la contraseña en un lugar seguro y definir una buena pista (que no sea en absoluto idéntica a la contraseña). Si LastPass es pirateado, lo que ocurrió en el pasado, entonces sólo su pista se verá comprometida.
Los datos que LastPass guarda para usted están cifrados y, sin su contraseña, no podrán ser utilizados por nadie que piratee el sitio web de LastPass y los obtenga.
Estoy totalmente en contra de la reutilización de contraseñas, por lo que no recomendaría reutilizar la misma contraseña para LastPass que para su correo electrónico. Un atacante sólo necesitaría descifrar una contraseña para lograr acceso a varias cuentas suyas.
LastPass ofrece la opción de generar la contraseña por sitio. Esto tampoco me gusta, ya que estas contraseñas son largas y sin significado, por lo que son imposibles de recordar. Esto significa que solo puede acceder a su correo electrónico utilizando LastPass y debe instalarlo en cada dispositivo donde desee consultar su correo electrónico.
Puede crear fácilmente contraseñas memorables para sitios web incorporando partes de sus nombres en una oración que sea fácil de recordar. Por ejemplo, "¡++esta es mi contraseña para superusuario del dominio com!" Es fácil de recordar pero imposible de descifrar mecánicamente. LastPass entonces facilitará el inicio de sesión, pero no será esencial ni insustituible.
Respuesta2
LastPass solo almacena sus contraseñas, no es la única forma de iniciar sesión, incluso si utiliza un generador de contraseñas. Aún puede ingresar manualmente su contraseña en GMail o Outlook sin LastPass.
Usaría mi correo electrónico principal y aún lo guardaría en LastPass, luego escribiría mi correo electrónico/contraseña maestra y lo guardaría en una caja fuerte.
Editar: Me acabo de dar cuenta de que harrymc prácticamente respondió la pregunta que tenía ante mí.