C'è una app per le password chiamata Splikity. È dotato di:
Sebbene sia venduto sul fatto che usi AES256 e SHA256, so che la sicurezza non dipende solo dagli strumenti che si usano, ma anche da come li usa.
Quindi la mia domanda è: Splikity è effettivamente sicuro? C'è un modo per sapere quanto è sicura un'app del genere?
Non c'è modo di essere completamente certi che sia sicuro. Non c'è modo di sapere di essere completamente certi qualsiasi cosa è sicuro.
In mancanza di sicurezza completa, ci sono molti modi per essere ragionevolmente certi che il livello di sicurezza sia adeguato.
Il modo migliore per avere il prodotto verificato da persone che sono a conoscenza di queste cose ... Sia il lato della crittografia, sia il lato di sviluppo del software sicuro. Inoltre, non solo l'implementazione corrente deve sembrare ragionevolmente priva di difetti, ma devono avere piani per la manutenzione e l'applicazione di patch per garantire che rimanga tale e che, se i problemi sono trovati nel futuro, possono essere rapidamente risolti.
Se riesci a fare un audit, è anche ragionevole aspettarsi che qualcosa costruito da membri rispettati delle comunità di software crittografato e sicuro sia probabilmente da usare. Non so se sia così o no.
Quindi, se non si ha conoscenza del software stesso, o almeno dei creatori del software, allora no, non esiste un buon modo per determinare adeguatamente se è ben progettato e implementato o meno.
Detto questo, il bollettino di marketing "di livello militare" a parte, non ci sono vistosi difetti nell'approccio che descrivono. AES-256 è una scelta eccellente. PBKDF2 non è buono come scrypt o bcrypt per questo scopo, ma forse è più probabile che sia già implementato correttamente sulle piattaforme che stanno utilizzando, ed è abbastanza buono. Mettono in chiaro che la decrittografia viene eseguita solo dal lato client e che non esiste un processo di recupero della chiave master, il che è positivo. Affermano che tutte le comunicazioni tra server e client avvengono tramite SSL (si spera davvero TLS) che, se fatto correttamente, è corretto.
Ci sono cose che non possiamo sapere dalla sola descrizione. Stanno usando AES correttamente? Il numero di round PDKDF2 è davvero adeguato allo scopo? Stanno gestendo in modo sicuro i dati decrittografati, password e chiave sul client? Queste sono alcune delle domande a cui vorrei una risposta prima di scegliere un prodotto come questo ... Anche se, in realtà, sarei costretto a scegliere anche in questo spazio di mercato qualcosa come KeePass o Password1 in ogni caso, senza una ragione specificamente convincente. Ci sono meno possibilità di ottenere il controllo appropriato e qualsiasi problema sarà portato alla superficie per la risoluzione.
Leggi altre domande sui tag password-management