[Divulgazione: lavoro per AgileBits, i creatori di 1Password]
Non disabilitare gli aggiornamenti automatici
Tratterò prima la parte facile della domanda.
Should I disable automatic updates of password management software.
Se non hai motivi validi per non aggiornare software e sistemi, una delle cose migliori che puoi fare per la tua sicurezza è mantenere aggiornati sistemi e software.
La maggior parte dei compromessi effettivi dei sistemi informatici è dovuta a vulnerabilità per le quali è già stata pubblicata una correzione. Questi sarebbero evitati se le persone continuassero a mantenere aggiornati i loro sistemi.
Non posso parlare per gli sviluppatori di KeePass, ma sono ragionevolmente sicuro che facciano un buon lavoro nel controllare l'integrità degli aggiornamenti. Posso dirti che con 1Password, facciamo quanto segue per assicurarci che un aggiornamento provenga da noi.
- Utilizza le impostazioni TLS più rigide sia per il recupero dell'aggiornamento che per recuperare le informazioni su dove dovrebbe arrivare l'aggiornamento.
- Utilizzare i metodi di firma del codice del sistema operativo in modo che il sistema operativo garantisca che il codice sia firmato quando viene eseguito o installato (diverso su sistemi operativi diversi).
- Utilizza il nostro controllo della firma del codice in fase di aggiornamento per test più severi rispetto a quanto impone l'OS. (Ad esempio, il sistema operativo potrebbe richiedere che il software sia firmato da uno "sviluppatore conosciuto". Vogliamo verificare che sia firmato da noi.)
Sospetto che KeePass e tutti i gestori di password decenti stiano facendo qualcosa di simile, anche se i dettagli varieranno.
La domanda più difficile
Se posso riformulare parte della tua domanda:
What if the developers of a password manager either turn evil, are compelled to be evil, or are compromised by someone with evil intent?
Questa è la domanda più difficile, ed è una domanda importante da porre. Per tutto ciò che non ti compili su un sistema che hai costruito tu stesso, non c'è alcuna garanzia assoluta . Purtroppo non possiamo dimostrare in modo assoluto che impossibile per il male di entrare in 1Password senza il rilevamento dell'utente, ma possiamo fare cose che rendono difficile l'inserimento del male e ancora più difficile per esso passare inosservato.
Ho scritto su questo tre anni e mezzo fa in 1Password e il Crypto Wars II
I punti principali sono che
- Il design del nostro software è sufficientemente documentato in modo che sia possibile verificare in modo indipendente che faccia ciò che diciamo che fa per la maggior parte dei casi.
- L'architettura è tale che ci sono pochissimi posti in cui inserire una backdoor.
- Ci sono abbastanza occhi sulla fonte che se il codice dannoso fosse inserito in quei luoghi, qualcuno avrebbe parlato.
Ci sono più punti, quindi leggi l'articolo e la discussione nei nostri forum che ne è seguita. In combinazione, questi forniscono ottime ragioni per credere che non ci siano backdoor dannose in ciò che costruiamo. KeePass può rendere ancora più strong un caso simile (data la sua base open source), ma non può ancora fornire una prova assoluta.
Rischi di pesatura
Non hai torto di chiedere informazioni sulla possibilità di codice dannoso nel tuo gestore di password di scelta, ma ricorda anche che lo stesso vale per il sistema operativo che usi. Probabilmente è più semplice per un utente malintenzionato compromettere il tuo computer piuttosto che compromettere un gestore di password ben progettato. E una volta che il tuo computer è stato compromesso, tutte le scommesse sono state cancellate.
E questo ci riporta agli aggiornamenti software automatici. Non lasciare che la paura di una minaccia improbabile ti impedisca di intraprendere azioni che possano difenderti da minacce più probabili. È divertente e informativo parlare delle improbabili minacce; ma nel valutare le decisioni di sicurezza, dobbiamo considerare i compromessi della sicurezza nel loro complesso.