Os gestores de senhas online (por exemplo, Dashlane ou LastPass) armazenam as suas senhas em texto claro?

[Divulgação: Eu trabalho para AgileBits, os criadores de 1Password]

Um gerenciador de senhas decente criptografa seus dados. Isto inclui as que você'mencionou, e claro, 1Password. Tem havido alguns gerenciadores de senhas no mercado que ou não't criptografaram ou erraram a criptografia que era como se eles não't criptografaram.

Even usando os melhores algoritmos, it'é fácil de errar a criptografia

>br> Deixe-me dar um exemplo de algo assim fora do domínio dos gerenciadores de senhas. O WhatsApp cometeu um erro grave numa versão anterior da sua aplicação de conversação segura. O que fez tudo bem e utilizou todos os algoritmos e modos de encriptação correctos, mas após a negociação da chave, utilizaram a mesma chave de encriptação de stream cipher para ambos os sentidos da comunicação. O seu erro foi compreensível: porque é que os programadores de software têm de saber que reutilizar uma chave com uma cifra de stream é tão mau como reutilizar um bloco de notas num bloco de notas de uma só vez?

Os revisores de imprensa mais técnicos podem't dizer a diferença ou

Uma das dificuldades que as pessoas enfrentam quando consideram um gestor de senhas é compreender a sua segurança. Aprender que um gerenciador de senhas usa AES256, por exemplo, diz muito pouco sobre sua segurança porque é muito fácil usar essas coisas de forma incorreta. Infelizmente, a maioria da imprensa técnica que faz revisões de gerentes de senhas está't em posição de avaliar seus projetos de segurança.

Como consequência, quando a maioria dos revisores de gerentes de senhas na imprensa técnica discute a segurança, eles caem de volta nas buzzwords. Eles irão, por exemplo, perpetuar o mito de que o AES256 oferece uma vantagem significativa de segurança sobre o AES128 (Veja: Adivinhe porque estamos mudando para chaves AES de 256 bits para uma explicação de que a escolha de segurança aqui não é o que a maioria das pessoas acredita). Eles normalmente irão citar os fornecedores' websites sem realmente serem capazes de avaliar isto.

I don' não os culpe por isto. Este material é difícil, e requer uma experiência considerável. Mas deixa os usuários em uma posição onde eles não têm nenhuma orientação real sobre a segurança de um gerenciador de senhas.
Procure detalhes, não apenas buzzwords

No risco de descer em um campo de vendas, uma coisa que você pode procurar é se o design de segurança e detalhes de criptografia estão abertos ao escrutínio e análise de especialistas e do público. Dê uma olhada em Você tem segredos; nós não temos. Por que nosso formato de dados é público, por que achamos que é bom fornecer detalhes completos de nossa criptografia.

Likewise, we'usamos um design de segurança que nos tornaria muito difícil transformar o mal (ou ser coagidos a turing o mal) sem detecção: 1Password and The Crypto Wars

So mesmo que você pessoalmente seja't capaz de fazer uso direto de tais informações, você pode ter alguma confiança de que outros com as habilidades apropriadas fizeram uso desse tipo de informação.

Leve em conta a abertura sobre questões de segurança

br>Anyone who tell you that their system is completely invulnerable shouldn't be in the business. Responder a bugs é um sinal muito bom. Isto também significa não reagir exageradamente a relatórios de falhas. Pesquisadores descobrindo falhas e vendedores endereçando-as é parte do processo de manter os sistemas seguros.

Eu sei disso'é difícil de saber

br>Quero que seja mais fácil para o público em geral avaliar a segurança dos gerentes de senhas. Eu também gostaria que fosse mais fácil para as pessoas verem os tradeoffs em diferentes arquiteturas de segurança. Às vezes, é' não que um design seja "melhor" que outro, mas que um design enfrente tipos diferentes de ameaças do que outro.