EDICIóN GENERAL

Desventuras del DNIe 3.0 en Linux

#45 El de la FNMT tiene dos pegas:
1. Hay páginas que aceptan el DNIe como modo de autenticarse y el de la FNMT no.
2. Al ser un certificado software es menos seguro que el DNIe, que es un certificado hardware y no puede exportarse del chip del DNI (puede que sea más incómodo pero también aporta seguridad).

Piensa que si vas de un PC a otro con tu certificado de la FNMT es posible que se te olvide borrarlo en algún dispositivo (o que lo borres pero no vacíes la papelera, etc.). Hay aplicaciones por internet (o te la puedes hacer tú en una tarde si sabes programar) que saque la contraseña de un certificado si tienes el ficherito, y ahí estás jodido porque te la pueden liar bastante hasta que te des cuenta de que hay alguien haciendo cosas en tu nombre por ahí (si te das cuenta, claro). Vamos, que en cuanto a seguridad es menos seguro que el DNIe.

No obstante, yo también tengo mi certificado de la FNMT :-P
#50 Por eso decía lo de meterlo en un PKCS#11 (el Yubikey por ejemplo, que tan de moda está, tiene soporte). Se convierte en un token hardware tan seguro como el DNIe (o más, porque a saber qué chapuza han hecho con el DNIe).

Por otro lado, si lo proteges con una contraseña fuerte es imposible que se hagan con él por fuerza bruta.
#52 Ah, my friend, pero ambos sabemos que la gran mayoría de los mortales no usan contraseñas fuertes xD. La mayoría se pueden sacar por fuerza bruta o por ataques de diccionario.

Y sí, se puede meter en algo tipo Yubikey, pero eso ya implica tener más cosas. Yo hablaba de lo que es el certificado de la FNMT a secas contra el DNIe a secas :-)
#54 si a la gente se le dijera que la contraseña es una frase en vez de una palabra sería más fácil cambiar eso. Pero claro los servicios online tendrían que empezar a soportar contraseñas de mas de 16 caracteres (por ejemplo con el drive de microsoft estuve peleado algun tiempo para encontrar una contraseña que me valiese...)
#45 "Creo sinceramente que no lo has utilizado en tu vida." creo sinceramente que no son formas de contestar un comentario, pero tu mismo. Estoy obligado a usarlo para las notificaciones de la empresa (como cualquier empresa). Hace poco que se puede utilizar con firefox antes solo iba en explorer (para llorar, tenia un pc con arranque dual solo para eso), cuando supuestamente empezó a funcionar en firefox daba muchos problemas. Ahora ya el problema no es del certificado es de la página de notificaciones que hay que entrar varias veces y a distintas horas, pero eso ya es otro cuento. Tampoco me da ninguna seguridad, aunque como de eso no se me remito a lo que comenta #50 .
#68 Llevo unos 5 o 6 años usándolo con Firefox sin problema. Tanto en Windows como Linux. Supongo que te faltaría instalar alguna CA.
#50 Bueno, se podría tener un Firefox portable en un pendrive con los certificados ya instalados y la contraseña maestra habilitada, así no hay que andar instalándolo en PCs que no confíes. Yo lo tengo así, y subido a la nube en un RAR comprimido con contraseña también.
#84 Lo del Firefox portable no es mala solución. La última vez que investigué sobre el tema (lo mismo hace dos o tres años) si usas en Firefox una contraseña maestra fuerte es chungo de la muerte que te accedan a tus certificados. No sé si habrá salido algún modo de romper eso fácilmente, pero no me suena haber oído nada... Respecto al RAR sí, un RAR con contraseña es relativamente "sencillo" de romper. Pero eso, si luego tienes tu Firefox con tu contraseña maestra y tal me parece una solución maja

menéame