[Descargo de responsabilidad: trabajo para AgileBits , creadores de 1Password , y creo que es genial que estés pensando en estas cosas. Me complace hablar sobre cómo podría encontrar la respuesta a su pregunta, pero no deseo decir ni implicar nada sobre ningún otro producto o servicio.]
Una forma de verificar la seguridad de una aplicación es estudiar los datos que está leyendo / escribiendo y enviando / recibiendo. Primero, echemos un vistazo a este último.
Uno no puede compartir accidentalmente lo que no tiene
Los datos que envía y recibe cualquier aplicación es bastante fácil de monitorear. Algunas aplicaciones incluso proporcionan una guía que describe toda la actividad de red que puede esperar de la aplicación. Para una aplicación que no requiere que inicies sesión en un servicio en línea, la actividad de la red puede ser completamente opcional.
- ¿Qué aspectos de AVG AntiVirus lo convierten en una opción descargable gratuita ideal para la protección de la computadora?
- ¿Qué es una contraseña segura?
- Cómo proteger tu privacidad en línea
- ¿Por qué es Java seguro y robusto?
- ¿Cuáles son algunos ejemplos de un ciberataque sofisticado?
En ese caso, una aplicación que no requiere una conexión de red puede funcionar completamente manteniendo su datos encriptados y almacenados en sus dispositivos. Si la empresa que crea la aplicación no tiene ninguno de sus datos, obtiene dos grandes beneficios:
- Si no tienen ninguno de sus datos, no pueden perderlos, usarlos o abusar de ellos, incluso si fueran (obligados a ser) malvados.
- Tal arquitectura de seguridad puede significar que no tienen un sistema de autenticación para defender. Sus datos pueden protegerse a través de un sistema de solo cifrado, sin ninguna de las amenazas que enfrentan los sistemas basados en autenticación.
¿El producto, servicio o aplicación que está evaluando tiene una copia de sus datos ? ¿Necesita autenticarse en un servicio para acceder a sus datos? Estas son algunas buenas preguntas para hacer.
Ahora no tiene que preocuparse de que alguien “se vuelva malvado” para que esa distinción tenga importancia. Si alguien tiene la capacidad de hacer daño, puede hacerlo por accidente. Si alguien no tiene la capacidad de hacer daño, entonces no podría hacerlo ni siquiera por accidente.
No hay secretos sino los tuyos
“Un criptosistema debe ser seguro incluso si todo lo relacionado con el sistema, excepto la clave, es de conocimiento público”. – Principio de Kerckhoffs
Los datos que una aplicación lee y escribe son críticos para su función. ¿Se documenta públicamente su formato de datos? ¿Ha sido publicado para beneficiarse del escrutinio de expertos públicos? Si bien un individuo puede no tener el conocimiento necesario para analizar dicho tomo, es importante que esté disponible para los expertos en seguridad que sí lo tienen.
Si tiene acceso al diseño del formato de datos, puede verificar que la aplicación utiliza implementaciones de biblioteca criptográfica estándar y confiables . Los expertos en criptografía están de acuerdo: no hay necesidad de lanzar nuestra propia criptografía.
¿Qué medidas toma la aplicación para frenar los intentos de craqueo? ¿El desarrollador tiene una buena relación con la comunidad de seguridad? Para el caso, ¿cómo ve la comunidad de cracking la aplicación?
Estas son solo algunas de las preguntas que puede comenzar haciendo. Espero que eso te ayude a tomar una decisión informada. ¡Mantente a salvo allí!