[Divulgación: trabajo para AgileBits, los creadores de 1Password]
Cada administrador de contraseñas decente encripta sus datos. Esto incluye los que ha mencionado y, por supuesto, 1Password. Ha habido algunos administradores de contraseñas en el mercado que no cifraron en absoluto o se equivocaron al cifrar que era como si no lo hicieran.
Incluso usando los mejores algoritmos, es fácil equivocarse en el cifrado
Déjame darte un ejemplo de algo como esto fuera del dominio de los administradores de contraseñas. WhatsApp cometió un grave error en una versión anterior de su aplicación de chat segura. Hicieron todo bien y utilizaron todos los algoritmos y modos de cifrado correctos, pero después de la negociación de la clave, utilizaron la misma clave de cifrado de cifrado de flujo para ambas direcciones de la comunicación. Su error fue comprensible: ¿por qué los desarrolladores de software deben saber que reutilizar una clave con un cifrado de flujo es tan malo como reutilizar un pad en un pad de una sola vez?
- ¿Qué tipo de sistema operativo será útil para aprender ciberseguridad, Linux o Windows?
- ¿Cuál es la probabilidad de que todas las computadoras Microsoft O / S conectadas a Internet sean deshabilitadas / formateadas en un evento coordinado de pirateo o virus?
- Si descarga malware accidentalmente en una cuenta de usuario, ¿afectará a todos los usuarios de la computadora?
- ¿Cuáles son algunos temas de investigación interesantes o desafiantes para un doctorado en las áreas de seguridad cibernética o privacidad en Internet?
- ¿Por qué el software antivirus requiere un reinicio después de eliminar el virus?
La mayoría de los revisores de prensa técnica tampoco pueden notar la diferencia
Una de las dificultades que enfrentan las personas al considerar un administrador de contraseñas es comprender su seguridad. Al enterarse de que un administrador de contraseñas usa AES256, por ejemplo, le dice muy poco sobre su seguridad porque es muy fácil usar estas cosas incorrectamente. Desafortunadamente, la mayoría de la prensa técnica que revisa los administradores de contraseñas no está en condiciones de evaluar sus diseños de seguridad.
Como consecuencia, cuando la mayoría de los revisores de administradores de contraseñas en la prensa técnica llegan a discutir la seguridad, recurren a las palabras de moda. Por ejemplo, perpetuarán el mito de que AES256 le ofrece una ventaja de seguridad significativa sobre AES128 (consulte: Adivine por qué nos estamos moviendo a las claves AES de 256 bits para obtener una explicación de que la elección de seguridad aquí no es lo que la mayoría de la gente cree). Por lo general, citarán los sitios web de los proveedores sin realmente poder evaluar esto.
No los culpo por esto. Esto es difícil y requiere una considerable experiencia. Pero sí deja a los usuarios en una posición en la que no tienen una guía real sobre la seguridad de un administrador de contraseñas.
Busque detalles, no solo palabras de moda
A riesgo de descender a un argumento de venta, una cosa que puede buscar es si el diseño de seguridad y los detalles de cifrado están abiertos al escrutinio y análisis expertos y públicos. Echa un vistazo a Tienes secretos; nosotros no Por qué nuestro formato de datos es público, por qué creemos que es bueno proporcionar detalles completos de nuestro cifrado.
Del mismo modo, hemos utilizado un diseño de seguridad que nos haría muy difícil convertirnos en malvados (o ser obligados a ser malvados) sin detección: 1Password y The Crypto Wars
Por lo tanto, incluso si usted personalmente no puede hacer uso directo de dicha información, puede tener cierta confianza en que otras personas con las habilidades adecuadas hayan utilizado ese tipo de información.
Mire la apertura sobre problemas de seguridad
Cualquiera que le diga que su sistema es completamente invulnerable no debería estar en el negocio. La capacidad de respuesta para corregir errores es una muy buena señal. Esto también significa no reaccionar exageradamente a los informes de fallas. Los investigadores que descubren fallas y los proveedores que los abordan es parte del proceso para mantener seguros los sistemas.
Se que es dificil saber
Desearía que fuera más fácil para el público en general evaluar la seguridad de los administradores de contraseñas. También deseo que sea más fácil para las personas ver las compensaciones en diferentes arquitecturas de seguridad. A veces, no es que un diseño sea “mejor” que otro, sino que un diseño enfrenta amenazas de diferentes tipos que otro.