A NSA pode obter minhas senhas da Dashlane? Artboard

Divulgações importantes

>>br>>>>/p>ol>

Eu trabalho para os criadores de 1Senha, um concorrente da Dashlaneli>li>Eu não estudei a arquitetura de segurança da Dashlane>li>li> Não comentaria mesmo que eu estivesse familiarizado com ela>/ol>>p> Como conseqüência, minha resposta vai ser bastante vaga e geral.

"NSA Proof" não é uma afirmação coerente

Podemos falar em sistemas seguros contra certos tipos de ataques, mas não podemos falar em ser seguros de novo o NSA e o FBI. Afinal, estas são agências que são capazes de invadir a sua casa e mexer no seu computador. Estas são as pessoas por trás do Flame e do Stuxnet. Eles poderiam instalar uma câmera escondida em sua casa que registre você digitando sua senha.

Como consequência, alguns tipos de ataques que a NSA (ou FBI) é capaz de fazer estão fora do escopo do que você pode esperar que um gerente de senha se defenda contra.

>

Eles'preferem contornar a encriptação do que através dela

>br>>

A encriptação real que os gestores de senhas bem concebidos usam é quase certamente à prova de NSA, na medida em que o NSA não pode quebrar a encriptação directamente no sentido técnico de "quebrar". Muito francamente, se os designers do sistema fizeram o seu trabalho corretamente, quebrar a criptografia é a maneira mais difícil de obter os seus segredos. É só observar a linha de ataque que qualquer um tomaria a menos que tivesse absolutamente de.

Pode ser entregue a sua senha?

>br>Você pode'não entregar informações que você não't tem. Portanto, se o sistema foi projetado para que os operadores do sistema don't tenham a sua senha, então eles têm pouco para entregar. Isto os torna muito menos vulneráveis à intimação, Carta de Segurança Nacional, outra ordem judicial, suborno, ataque de iniciados, ou simplesmente serem hackeados.

Então a resposta a esta pergunta depende do design do sistema.

Pode a sua senha ser adquirida?

>br>Even se um sistema foi projetado para não capturar sua senha, poderia ser sub-repticiamente redesenhado para adquirir a senha? Ou seja, um serviço pode não estar realmente armazenando sua senha ou dados em formato descriptografado, mas eles podem ser capazes de fazer pequenas, difíceis de notar, alterações que lhes permitiriam adquirir uma senha de um determinado usuário.

Esta foi uma questão central do caso Lavabit. O operador do Lavabit foi ordenado a modificar seu servidor para que um cliente em particular' os segredos de um cliente em particular pudessem ser lidos. Ladar Levison recusou. Acabou por destruir o seu sistema e foi condenado e multado severamente por desrespeito ao tribunal. Veja Segredos, mentiras e o email de Snowden's: porque fui forçado a desligar o Lavabit

Pode a sua senha ser adivinhada?

br>br>Even se um sistema não'não tiver a sua senha, e não puder ser facilmente modificado para capturar, pode ainda ter os seus dados encriptados. Se os dados forem coagidos ou roubados, a NSA pode atacá-los, automatizando a adivinhação da senha?
Se os seus dados forem criptografados com uma chave derivada de uma senha, pode ser possível executar um cracker de senha contra ela. A maioria dos gestores de senhas modernos usam algo como PBKDF2 ou scrypt ou similar para fornecer alguma proteção contra crackers de senhas trabalhando contra dados roubados.

Estes mecanismos podem ajudar a atrasar um criminoso comum, mas provavelmente não oferecem grande obstáculo contra o NSA. (Este é um caso de "aqueles que sabem won't say, e aqueles que dizem don't know"). Então a sua melhor defesa contra algo assim é usar uma boa senha mestra. Alguns anos atrás, eu escrevi um artigo sobre como (e como não) criar uma senha mestra verdadeiramente forte e memorável para um gerenciador de senhas: https://blog.agilebits.com/2011/06/21/toward-better-master-passwords/