I gestori di password online sono sicuri?

29

È possibile utilizzare i gestori di password online per archiviare e gestire le password? Intendo dal punto di vista della sicurezza. Capisco che questi sistemi possono essere diversi e alcuni meritano più fiducia dell'altro, ma ciò che intendo è l'intera idea di servizio pubblico per l'archiviazione delle password personali. È vitale nella sua essenza?

Circa un anno fa mi sono registrato per uno di questi servizi ( Passpack ). Sembra affidabile e professionale, ma ho ancora paura di iniziare a usarlo davvero e caricare le mie numerose password lì. E non è perché non sono disposto ad eseguire l'upgrade a un account a pagamento; Sono solo molto attento e dubbioso. Mi sbaglio?

    
posta rem 13.11.2010 - 13:14
fonte

6 risposte

21

Se stai chiedendo in teoria , un sistema di questo tipo può essere costruito in modo sicuro?
La mia risposta sarebbe sì, assolutamente, ma non è un lavoro banale - e molto probabilmente sarebbe sbagliato (a seconda di chi l'ha progettato e costruito).

Se stai chiedendo informazioni sui servizi esistenti , mentre non conosco quello che hai citato, in generale non conosco alcun sistema valido, affidabile e sicuro per questo.

Se stai chiedendo, come posso sapere se un sistema specifico è sicuro e affidabile? , beh, non puoi.
A meno che tu (o un esperto di cui ti fidi e sia sufficientemente competente nella tecnologia fornita) abbia eseguito una revisione approfondita del codice, test di penetrazione e altre recensioni di sicurezza. E la distribuzione periodica e gli esami del server. E così via ...

E no, ottenere una certificazione di terze parti come HackerSafe (nemmeno PCI: DSS) è not abbastanza buono, non per affidare le chiavi ai dati più sensibili. (A meno che non sia un servizio lo conosci abbastanza bene da fidarti ).

    
risposta data 14.11.2010 - 02:54
fonte
21

Consiglierei di passare a Keepass o KeepassX per linux e inserire tutte le password nell'unico database Keepass crittografato, (bloccato con una password o un file chiave) e quindi inserire il file di database nel cloud come S3 da Amazon Web Services o Dropbox. In questo modo ... hai un file di database portatile che può essere scaricato su qualsiasi computer dal cloud e aperto solo dal software keepass con la tua chiave / password di decrittografia.

    
risposta data 13.11.2010 - 14:05
fonte
10

Secondo me, l'utilizzo di un servizio come passpack potrebbe aggiungere un altro "anello debole" alla catena.

Le tue password sono sicure quanto paranoico su di loro (pensa a tutte le best practice sulle password), usando un servizio come passpack rendi le tue password sicure anche come l'intero servizio passpack stesso ( i loro server sono sicuri? il front-end? e così via ..)

Dovresti valutare quale di questi aspetti della sicurezza ritieni più sicuro e quale ti fidi di più. Le tue norme sulle password sono sicure e fidate più della sicurezza di un'app casuale di gestione password? Se sì, allora questo servizio potrebbe non essere adatto a te.

    
risposta data 13.11.2010 - 14:04
fonte
9

Sto usando lastpass.com da parecchio tempo. Le password sono crittografate con AES a 256 bit con password principale come chiave. Il processo di decifrazione inizia nel tuo browser. Sebbene le password siano crittografate, ottenere la password dal server è su SSL, il che rende la doppia crittografia. Hanno 2 data center e un server di backup che è ancora una volta crittografato. Se hai paura dei keylogger (dovrebbero essere su computer pubblici), c'è una tastiera virtuale in loco per l'accesso con la password principale. Una sola password sono anche opzioni.

Inoltre, c'è condivisione di account con altri utenti senza dare loro la tua password .. Controllala.

Non sto lavorando per lastpass.com, solo soddisfatto :).

    
risposta data 18.11.2010 - 23:07
fonte
6

Alcuni punti da prendere in considerazione.

Quali sono le alternative? IMHO utilizzando un gestore di password online è meno rischioso del seguente

  • utilizzando la stessa password per tutti i tuoi account
  • utilizzando un foglio di calcolo statico che non è crittografato per memorizzare le tue password

Collaborazione. Devi condividere le password?

  • I gestori di password online sono progettati per facilitare la condivisione delle password, se condividi le password devi essere in grado di aggiornare facilmente le password assicurando che tutti vedano immediatamente l'ultima versione.

D'altra parte Kneepass è una buona soluzione, il problema è che si stanno assumendo maggiori responsabilità per i backup, ecc., anche se il suo open source non garantisce che non ci siano vulnerabilità nel codice.

    
risposta data 27.06.2011 - 18:14
fonte
1

Non prenderei in considerazione l'archiviazione della mia password online. Almeno non posso fidarmi di loro così tanto.

Se sei interessato, Roboform per Windows (usato molto tempo fa), è buono, e la sua nuova funzionalità viene fornita anche con la sincronizzazione online. Keepassx per linux è anche un buon strumento.

    
risposta data 24.04.2012 - 18:23
fonte

Leggi altre domande sui tag