Le maggiori società di gestione password commerciali sostengono di avere un sistema a "conoscenza zero". Ciò significa che la password principale dell'utente è l'unico modo per decrittografare i dati e non è memorizzata da nessuna parte. Quindi anche la società non conosce la password principale o ha accesso ai dati degli utenti. Ho messo le mani su KeeperSecurity , LastPass , Dashlane e 1Password .
Fin qui tutto bene. Ma KeeperSecurity e LastPass fornisce la possibilità di recuperare un account quando l'utente ha perso la sua password principale. Voglio dire, come è possibile, se la password principale è l'unico modo per accedere ai dati e nessuno lo sa tranne l'utente?
KeeperSecurity gestisce questo salvando una seconda copia dei dati degli utenti che non è crittografata con la password principale, ma con una domanda di sicurezza, precedentemente richiesta, e una risposta. Ma questo significa che c'è un altro modo per accedere ai dati degli utenti. E c'è la possibilità che qualcuno conosca la risposta di sicurezza. Va bene il recupero richiede l'accesso all'account e-mail e un secondo fattore di autenticazione. MA c'è ancora un'altra possibilità di accedere ai dati oltre alla password principale!
Dashlane e 1Password non forniscono un recupero dell'account.
Come possono i gestori di password fingere di essere sicuri e affermare che la password principale è l'unico modo per accedere ai dati, ma d'altra parte fornire un'opzione di recupero.
Che cosa pensi dei gestori di password con opzione di recupero? Voglio dire che tutti coloro che utilizzano un gestore di password dovrebbero essere consapevoli di perdere la password principale.
Un gestore di password con opzione di ripristino è davvero affidabile? Forse qualcuno potrebbe dare una piccola valutazione sulla sicurezza di tali sistemi di recupero.