È più sicuro fidarsi del software / azienda che è stato violato in passato?

È più sicuro affidarsi al prodotto che è stato testato accuratamente e ha avuto punti deboli corretti . Molte volte, un hack di successo può agire come una forma di test robusto.

Ma essere hackerati non equivale a essere più sicuro a meno che il problema sottostante non sia stato risolto.

Un prodotto che non è stato testato e, quindi, non è stato riparato, fornisce un falso senso di sicurezza in quanto il prodotto non ha "mai avuto un problema". Ecco perché sono utili test di penetrazione, audit, bounty e divulgazioni pubbliche.

Ma essere hackerati o testati non significa nulla senza adeguate soluzioni alle debolezze sottostanti. Adobe Flash è stato risolto innumerevoli volte, ma non è mai diventato più sicuro perché i problemi sottostanti non sono mai stati affrontati correttamente.

La crittografia RSA non è mai stata compromessa, ma è stata testata a fondo. Uno non dovrebbe fidarsi dell'algoritmo di crittografia che è stato violato in passato.

Non si tratta degli hack, ma di come è stato risolto.

Come ha detto Steffen in un commento, ci sono davvero troppe informazioni nella domanda per dare un giudizio attendibile. Ci sono molti fattori ciascuno dei quali ha un impatto significativo sulla sicurezza complessiva di un prodotto:

• Quanto importante era la sicurezza nella progettazione del prodotto.
• Quanto sforzo è stato fatto per testare la sicurezza del prodotto.
• Quanto sono stati bravi gli sviluppatori del prodotto nella progettazione e nel testing per la sicurezza.
• Quante persone usano il prodotto. (Gli hacker si rivolgono a prodotti ampiamente utilizzati per un impatto maggiore.)
• Quante persone importanti usano il prodotto. (Gli hacker si rivolgono anche ai prodotti che usano le persone importanti.)
• Quanto è noto il prodotto. (Gli hacker non possono hackerare prodotti che non conoscono ...)
• Con quanta rapidità gli sviluppatori correggono vulnerabilità di sicurezza note.
• ...

Inoltre, la storia passata è statisticamente un buon indicatore del comportamento futuro. Una società che è nota per aver spinto le versioni dei prodotti anche con bug noti è un'opzione molto peggiore di una società che è nota per aver risolto tutti i bug noti prima di rilasciarli. Non bisogna aspettarsi che un'azienda con una normale cronologia di errori di sicurezza eclatanti nel proprio software abbia improvvisamente una percentuale ridotta di tali errori.

Inizialmente ritenevo che la domanda non rispondesse, poiché tutto ciò che si sapeva di questi prodotti era che le vulnerabilità erano state trovate (e corrette) nel secondo prodotto ma non nel primo. L'OP ora forniva più informazioni che cambiavano la domanda in modo significativo (cattiva idea poiché le risposte esistono già, comunque ...).

Ora è chiaro che si tratta di due gestori di password in cui ognuno ha una base di utenti significativa. Probabilmente gli attaccanti di Potentiell vedranno entrambi come bersagli molto attraenti. E ricercatori di sicurezza simili cercheranno di trovare e pubblicare vulnerabilità poiché la ricerca di vulnerabilità in un software così critico aumenta il loro status di ricercatori capaci. Inoltre, entrambi i prodotti hanno dei bug bounty per incoraggiare tale ricerca.

Si può quindi assumere che entrambi i prodotti ottengano molte analisi esterne. Trovo improbabile che uno di questi prodotti ottenga molto più analisi al di fuori dell'altro. Basandomi su questo, direi che il software senza vulnerabilità note finora avrebbe potuto essere creato con un design più sicuro sin dall'inizio e che i manager e gli sviluppatori di questo prodotto prendevano più sul serio la sicurezza in passato rispetto ai manager e agli sviluppatori degli altri prodotto.

Potrebbe naturalmente essere che il secondo prodotto ora abbia raggiunto una qualità simile, ma non penso che abbia superato il primo. Soprattutto non condivido l'argomentazione dell'OP che gli sviluppatori del primo prodotto potrebbero non curarsi più di tanto poiché non hanno mai avuto problemi - dal momento che ci sono molti outsider interessati a trovare vulnerabilità in cui ogni vulnerabilità è scivolata a causa di tale pigrizia sarebbe probabilmente trovato rapidamente.

Sfortunatamente, a differenza del bianco e nero della matematica, stai parlando di affidabilità , che è soggetto alla prospettiva umana, che è più verso l'euristica della psicologia umana.

Non è possibile misurare il modo in cui un servizio compromesso porterà a una sicurezza migliore man mano che nuovi difetti di sicurezza o giorni zero si verificano di tanto in tanto.

Quindi tutto si ridurrà a come pensate sull'affidabilità del prodotto o del servizio. Che ti piaccia o no, il marchio del prodotto o del servizio influenzerà il modo in cui l'utente giustifica se continuerà a utilizzare il prodotto. Migliore è il marchio generale del prodotto o dei servizi, maggiori sono le possibilità che mantenga la fiducia del cliente rispetto a una marca sconosciuta.

Questa è la mentalità simile alla popolarità di un franchising di fast food in un'area di attrazione turistica: se non leggi mai recensioni di ristoranti, andrai al più vicino fast-food di un ristorante turistico che potrebbe non ti derubare, o servire qualcosa che ti darà un mal di stomaco.

Quindi, per i prodotti di sicurezza, ha senso che gli utenti pensino che il marchio popolare ha molto da perdere rispetto a un marchio senza nome che "non viene mai violato". In effetti, è una buona decisione media.