¿Qué razones tenemos para confiar / desconfiar de los administradores de contraseñas, por ejemplo, 1Password & LastPass? ¿Son de código abierto? ¿Se han revisado sus metodologías? ¿Se podrían violar sin la contraseña maestra? ¿Alguien puede acceder a sus datos no cifrados?

Todas buenas e importantes preguntas. Primero déjame analizar tus preguntas específicas y luego trataré de abordar la preocupación más general.

1. 1Password no es de código abierto, pero intentamos ser muy abiertos acerca de nuestro diseño de seguridad y su implementación: usted tiene secretos; nosotros no Por qué nuestro formato de datos es público Tenga en cuenta que no va a ejecutar 1Password en un sistema operativo de código abierto en el corto plazo (bueno, la versión de Windows funciona bastante bien en WINE). Una parte muy sustancial de lo que decimos sobre lo que hacemos es verificable independientemente.
2. Muchos investigadores académicos, criptógrafos y personas de seguridad de la información (y cualquier persona que quiera) han revisado lo que hemos publicado, y algunos han investigado su comportamiento. A menudo hemos buscado ideas externas para verificar particularmente que tenemos los componentes criptográficos correctos. Sin embargo, no hemos tenido una revisión formal del código. Sin compilaciones deterministas y revisiones frecuentes, es muy difícil demostrar que el código revisado es la fuente real del binario. Por lo tanto, tales revisiones, aunque son potencialmente útiles para nosotros para detectar errores, no le proporcionarán la seguridad que busca.
3. Nosotros, y creo que todos los que han mirado de cerca el diseño de 1Password, creen que la única forma factible de descifrar los datos es con la Contraseña Maestra.
4. 1Password no funciona como un servicio. Nunca vemos los datos de nadie de ninguna forma. No sabemos cuántos artículos tiene; no sabemos cuál usas; ni siquiera sabemos si usas 1Password. Además, si compró a través de Apple, ni siquiera sabemos que tiene una copia del software. 1Password y tu privacidad
5. Los posibles impactos negativos son que usted está poniendo todos sus huevos en una canasta. Puede leer sobre nuestro diseño de formato de datos para ver cómo esa canasta está protegida contra ataques. La otra preocupación es si “pierde” esa canasta. (Consulte Más de una contraseña: Lecciones de un truco épico para una historia de alguien que casi lo hizo). Hace unos meses tuve una pesadilla de haber olvidado mi contraseña maestra. Y cuando me senté frente a mi computadora esa mañana, en realidad estaba confundida al respecto, porque estaba confundida con lo que había en la pesadilla. Sin embargo, lo tengo escrito en un lugar seguro. En cualquier caso, obviamente creo que los potenciales negativos valen fácilmente las ganancias de seguridad mucho mayores.

Cualquier persona en su posición tiene que preguntar ” ¿y si las personas detrás de 1Password se volvieron malvadas “? No somos malvados; no vamos a volvernos malvados; pero tienes que hacerte esa pregunta. En primer lugar, dado cómo nos ganamos la vida, tendríamos todo que perder y poco que ganar convirtiéndonos en malvados. En segundo lugar, hay muchas cosas sobre 1Password que son verificables independientemente, por lo que no sería “fácil” ser malvado sin ser detectado. Incluso si un gobierno nos obligara a ser malvados, sería muy difícil hacerlo sin ser detectados: 1Password y The Crypto Wars

Otra pregunta que debe hacer es si somos competentes . Es decir, incluso si no somos malvados, podríamos arruinar las cosas por accidente. Nunca subestimes las formas en que las personas pueden equivocarse con las herramientas criptográficas . A pesar de que todos y sus perros tienen fácil acceso a excelentes implementaciones de primitivas criptográficas, sigue siendo notablemente fácil usar esas herramientas incorrectamente. Nunca construimos nuestra propia criptografía, pero saber qué construcciones criptográficas usar cuando en realidad es bastante sutil. Reglas generales como “Modo ECB incorrecto, modo CTR correcto” pueden morderte en la parte trasera si no entiendes qué hay detrás de esas normas básicas. (No, no utilizamos el modo BCE para nada, pero existen casos de uso legítimos para ello). Creo que es importante que tengamos personas que puedan leer la literatura académica primaria en criptografía.

• Cómo mantener mi pendrive a salvo de virus cuando lo conecto a una computadora común
• ¿Cuál es el esquema completo de seguridad de extremo a extremo que protege a Apple Pay?
• ¿Sobre qué mito de hackear películas desearías que la gente supiera la verdad?
• ¿Qué hizo que el ataque Dyn DDoS del 21 de octubre fuera único?
• Cómo aplicar mi capacitación sobre fraude a la ciberseguridad

Saludos, -j (Jefe de Defensa contra las Artes Oscuras @ AgileBits)