GuardedBox (versión 1.0.0)


Requisitos y limitaciones técnicas de diseño e implementación


Diseño

  • No será posible recuperar los secretos almacenados en GuardedBox si se olvida la frase de paso (passphrase, o contraseña) utilizada durante el proceso de registro.
  • El tamaño o longitud mínima de la frase de paso (passphrase, o contraseña) es de 20 caracteres. Se recomienda hacer uso de frases de paso de más de 20 caracteres (xkcd: fortaleza de las contraseñas [.png]).
  • Se recomienda seleccionar una frase de paso muy robusta para GuardedBox, no reutilizando ninguna contraseña que ya esté empleando actualmente en otros servicios, en especial, la asociada a la cuenta de correo electrónico del registro (en adelante, e-mail).
  • Para evitar o mitigar ataques de phishing, GuardedBox enviará un único enlace web (link o URL) al usuario a través de e-mail durante el proceso de registro inicial. A partir de ese momento, se debe ignorar cualquier otro enlace web recibido por e-mail (o por cualquier otro medio de comunicación) relacionado con GuardedBox. Todos los accesos a GuardedBox se deben realizar directamente tecleando la dirección web https://guardedbox.com.
    El formato del enlace web contenido en el e-mail oficial de registro es: https://guardedbox.com/#/registration?token=<01234...xyz>
  • Todos los e-mails remitidos automáticamente por GuardedBox tienen como dirección origen accounts@guardedbox.com. Se recomienda asegurarse de que los e-mails recibidos desde esta dirección no son clasificados como spam.
  • GuardedBox únicamente enviará al usuario e-mails con información acerca de las actividades asociadas a su cuenta, (por ejemplo, los códigos de acceso empleados para el segundo factor de autentificación (2FA), confirmaciones, notificaciones de actividades sospechosas, etc.), sin incluir ningún enlace web o referencia externa.
  • En ningún caso GuardedBox solicitará al usuario a través de e-mail información adicional, ni le instará a realizar cualquier otro tipo de acción. Por tanto, si recibes cualquier otra comunicación en nombre de GuardedBox, por favor, comunícalo lo antes posible a través de los métodos de contacto de la página web principal.
  • La seguridad de GuardedBox reside en el lado cliente, es decir, en el navegador web del usuario, motivo por el que es muy importante emplear un navegador web de confianza, que debe mantenerse sistemáticamente actualizado (para solucionar los problemas y vulnerabilidades de seguridad públicamente conocidos).
  • La versión actual de GuardedBox permite disponer de un máximo de 10 pares de propiedades (identificador=valor) por cada secreto; el nombre del secreto está limitado a 100 caracteres, al igual que los identificadores de una propiedad; por su parte, el valor de una propiedad admite un máximo de 4.000 caracteres (antes del proceso de cifrado). Este tamaño debería ser suficiente para almacenar todo tipo de secretos, credenciales (usuario y contraseña), contraseñas (palabras de paso o passwords), frases de paso (passphrases), claves criptográficas (simétricas, públicas, privadas, etc.), certificados digitales, tokens o claves de APIs, IDs (identificadores), etc.
  • GuardedBox está disponible en español y en inglés. El idioma es seleccionado automáticamente en función del idioma preferido por el navegador web utilizado. Adicionalmente, es posible seleccionar el idioma manualmente mediante el valor de la variable lang: es o en.
  • Si se recarga la página web de GuardedBox, la sesión actualmente abierta se cerrará. En el caso de tener modificaciones pendientes que no se hayan enviado al servidor, éstas se perderán. No es necesario, ni se recomienda, recargar la página web de GuardedBox (ej. mediante F5).
  • Por favor, si identificas cualquier problema de seguridad relacionado con GuardedBox, en las páginas web en español o en inglés, en el servicio https://guardedbox.com, o en la solución de código abierto (ver GitHub), te rogamos nos lo hagas saber lo antes posible (a través de los métodos de contacto de la página web principal) para poder iniciar las acciones oportunas.

Implementación

  • En la versión actual de GuardedBox no es posible cambiar la frase de paso (passphrase, o contraseña), por lo que se recomienda ser muy cuidadoso en la selección de una frase de paso muy robusta, fácilmente recordable solo por su propietario, durante el proceso de registro inicial. Dicha frase de paso será utilizada para proteger todos los secretos durante todo el periodo de utilización inicial de GuardedBox (hasta que sea posible modificarla).
    Versiones futuras de GuardedBox sí permitirán cambiar la frase de paso.
  • El segundo factor de autentificación (2FA), obligatorio para todos los usuarios, hace uso de códigos de acceso enviados por e-mail (OTPs, One-time Passwords). Por tanto, es necesario disponer de acceso a la cuenta de correo electrónico (e-mail) asociada al servicio (2FA online) durante el proceso de autentificación o login de GuardedBox . Este requisito enfatiza la importancia que deben prestar los usuarios a la hora de proteger el acceso no autorizado a su cuenta de e-mail.
    Versiones futuras de GuardedBox permitirán la utilización de otros mecanismos de 2FA, por ejemplo, TOTPs (Time-based One-time Passwords) generados por una aplicación móvil, como Google Authenticator, Microsoft Authenticator, Authy, FreeOTP Authenticator o apps similares (2FA offline).
  • La versión actual de GuardedBox ofrece al usuario un menú para eliminar manualmente su cuenta actual junto a todos sus datos asociados. Una vez eliminada una cuenta, es posible reutilizar la misma dirección de e-mail para crear una nueva cuenta vacía. Sin embargo, si se pierde u olvida la frase de paso, no será posible eliminar la cuenta desde el interfaz de GuardedBox, y será necesario contactar por e-mail con GuardedBox para proceder a su eliminación.
  • GuardedBox no dispone de un mecanismo para almacenar una copia de seguridad o backup de todos los secretos almacenados actualmente, por lo que el usuario deberá copiarlos manual e individualmente si desea extraerlos para su conservación, o para su importación en otros gestores de contraseñas.
    Versiones futuras de GuardedBox sí permitirán al usuario realizar copias de seguridad de sus secretos en cualquier momento, y soportarán la exportación o importación de los secretos desde otros gestores de contraseñas.
  • Las capacidades de compartición de secretos entre usuarios (individualemnte o en grupos) permiten identificar si los destinatarios disponen de cuenta de usuario en GuardedBox, de cara a poder intercambiar con ellos los secretos.
    Versiones futuras de GuardedBox proporcionarán controles de privacidad adicionales para definir si el usuario desea permitir que otros usuarios compartan secretos con él, o le añadan a grupos.
  • El despliegue inicial de GuardedBox pretende proporcionar una solución útil y segura para la comunidad, de manera ágil y con caracter gratuito, pero con potenciales limitaciones.
    En función de la aceptación, y del número total de usuarios, potencialmente se podrán experimentar sobrecargas que pueden impactar en el rendimiento y/o disponibilidad de la solución. Durante el periodo de adopción inicial haremos todo lo posible para que el servicio esté disponible, plenamente operativo y funcionando para todos los usuarios.