Stavo passando per il progetto di sicurezza di SpiderOak.
Dice:
When you first run the SpiderOak application on your computer, a series of strong encryption keys are generated. The keys are themselves encrypted with your password and stored (along with the data you backup) on our servers in their encrypted form.
Le chiavi di crittografia sono memorizzate sul loro server crittografate con la password dell'utente. Nel caso in cui la password dell'utente venga compromessa, chiunque può decodificare le chiavi di crittografia memorizzate sul proprio server e decrittografare i dati.
SpiderOak menziona ulteriormente:
But most importantly, the keys are never stored plaintext on the SpiderOak server.
They are encrypted with 256 bit AES, using a key created from your password by the key derivation/strengthening algorithm PBKDF2 (using sha256), with a minimum of 16384 rounds, and 32 bytes of random data ("salt").
Quanto è sicuro questo design?