Quanto è sicuro WebCryptoAPI in questi giorni?

7

1Password Tool (software) ha introdotto la 1Password for Teams .

Ho pensato che fosse un ottimo software, ma ora possono mostrare le password nel browser.

Dicono:

We encrypt everything on the client and do not have a copy of your encryption keys.

e usano WebCryptoAPI per farlo. Qualcuno ha un'idea se questo può davvero essere sicuro?

    
posta caramba 01.04.2016 - 15:57
fonte

1 risposta

2

Quanto è sicuro dipende dall'implementazione.

Le chiavi possono essere memorizzate come oggetti chiave WebCryptoAPI e memorizzate localmente in un IndexedDB. Questi possono quindi essere utilizzati per crittografare e decrittografare i dati senza che il server necessiti della chiave. Puoi persino contrassegnare i tasti come non estraibili, ovvero la chiave sottostante non può mai essere esportata (ignorando gli strumenti di sviluppo integrati nel browser).

Lo spazio di archiviazione del browser è separato utilizzando lo schema (http / https ecc.), la porta (443 per https) e il dominio. Pertanto, se le chiavi vengono archiviate da una pagina pubblicata tramite collegamento , possono essere accessibili solo dalle pagine pubblicate da quel dominio.

Tuttavia c'è un avvertimento. 1Password deve accedere ai dati crittografati (per servirli se si effettua il login altrove). Se una parte malintenzionata può controllare il sistema DNS del sito 1password.com, sarà in grado di offrirti una pagina che estrae le password crittografate, le decripta utilizzando l'oggetto chiave e quindi le carica nuovamente su un server malevolo. Ciò significa che in qualsiasi momento in futuro 1Password potrebbe ottenere le tue password.

Inoltre, la possibilità di condividere i vault mi rende scettico sul fatto che le chiavi vengano contrassegnate come non estensibili. È tecnicamente possibile, ma un sistema che condivide in modo sicuro la chiave del vault sarebbe molto più semplice da implementare.

In breve, se ti fidi di 1Password, questo dovrebbe essere più sicuro delle password che vengono inviate in chiaro al server. Tuttavia si basa ancora sulla fiducia in 1Password.

Un'ulteriore nota. Il loro sito afferma -

even allow teammates to log in to sites without being able to see the passwords.

Sarei sorpreso se questo è fatto in un modo che non consentirebbe un compagno di squadra sufficientemente tecnico per estrarre la password in testo semplice. Non riesco a pensare a un modo per farlo in modo che A. non lavori in modo affidabile su tutti i siti e B. richiede di fidarsi di un server 1Password con la password in chiaro o di richiedere che il PC sia sempre connesso.

    
risposta data 19.12.2017 - 11:38
fonte

Leggi altre domande sui tag