Divulgazione: lavoro per AgileBits, i creatori di 1Password.
Risposta breve
La sicurezza dei tuoi dati 1Password su Dropbox dipende dalla qualità della tua password principale 1Password.
Risposta lunga
La lunga risposta è solo una spiegazione della risposta breve e di un paio di altre cose.
Abbiamo progettato 1Password partendo dal presupposto che alcune persone avrebbero rubato i loro dati 1Password crittografati. Se è stato rubato dal proprio computer (qualcuno se ne va con un laptop) o da qualcosa come Dropbox non ha molta importanza. È possibile che i dati vengano rubati e questo è il motivo per cui è crittografato con chiavi crittografate con chiavi derivate dalla tua password principale.
Ora utilizziamo pesantemente PBKDF2 per rallentare l'ipotesi automatica della password master nel caso in cui vengano catturati i dati di 1Password, ma PBKDF2 e simili presenta solo un dosso di velocità all'attaccante; non fornisce una solida barriera. Quindi è importante scegliere una buona password principale.
Più di cinque anni fa, abbiamo offerto alcuni consigli su come scegliere una buona password principale in Verso una password migliore per il master . Questo consiglio è stato raccolto da XKCD e reso famoso, ma soddisfa quello che io chiamo il Principio di Kantian di consigli per la creazione di password: I consigli per la creazione di password dovrebbero rimanere buoni consigli anche se tutti lo seguono .
Non riutilizzare la tua password principale. Nei tre casi noti (per noi) in cui sono stati compromessi i dati di 1Password di qualcuno, l'utente ha utilizzato la stessa password utilizzata altrove per Dropbox e per la propria password principale 1Password. Non essere come loro.
Oltre il Dropbox
A rischio di scendere in un pitch di vendite, devo sottolineare che con un account 1Password, non è più necessario gestire la sincronizzazione con qualcosa come Dropbox. Abbiamo persino progettato questo con Two-Secret Key Derivation (2SKD) in modo che anche se i tuoi dati sono catturati dai nostri server, un utente malintenzionato non sarebbe in grado di lanciare un tentativo di indovinare la password contro i dati acquisiti. Consulta il nostro white paper (PDF) per i dettagli su come viene gestito.
Tuttavia, poiché la domanda riguardava specificamente i dati di 1Password su Dropbox, permettimi di tornare a ...
OPVault v Agile Keychain
A seconda di quando hai iniziato a utilizzare 1Password e su quale piattaforma, potresti utilizzare il formato Agile Keychain su Dropbox. Il formato Agile Keychain è stato progettato circa dieci anni fa e presenta alcune lacune per il mondo di oggi. Espone molto più "meta data" di quanto sia appropriato e non include alcun rilevamento di manomissione.
Quindi l'unica cosa che consiglierei a coloro che sincronizzano i dati di 1Password con qualcosa come Dropbox è che loro modificano il loro formato di sincronizzazione in il formato OPVault . OPVault crittografa molti più metadati e utilizza la crittografia autenticata per difendersi da un'ampia classe di attacchi che comportano la manomissione dei dati.
Tuttavia, con entrambi i formati di dati, la sicurezza dei dati di 1Password dipende dalla qualità della password principale di 1Password. Rendilo unico, strong e memorabile. E potresti voler scriverlo e tenerlo in un posto sicuro perché non c'è assolutamente nulla che possiamo fare se dimentichi la tua Master Password.
Con un account 1Password, una buona password master è ancora necessaria per proteggerti se i dati vengono rubati dal tuo computer locale, ma 2SKD ti protegge se i dati vengono sottratti da noi.