Desidero valutare due diverse opzioni di sicurezza della password che a prima vista sembrano essere nettamente diverse:
- un gestore di password basato su cloud
- un gestore di password locale (non cloud)
Tuttavia, la svolta è che il gestore di password locale verrà utilizzato con un componente aggiuntivo del browser per fornire funzionalità e praticità alla pari con l'opzione basata su cloud. Per rendere questo paragone utile e pratico, limitiamolo a questi due prodotti specifici:
- KeePass con Kee 2.0 (estensione web di Firefox 57) con keepass-plugin-rpc
- LastPass (versione per estensione web, Firefox 57)
Supponiamo che qualsiasi potenziale minaccia si trovi interamente sul lato Internet e che la macchina locale e la rete locale siano sicure.
Queste due scelte sono altrettanto sicure in senso generale? La risposta istintiva potrebbe essere quella di dire che KeePass è più sicuro semplicemente perché non è basato sul cloud (e stiamo assumendo non una minaccia dall'interno della rete locale o della struttura fisica).
Tuttavia, la mia domanda è incentrata sulla questione di quanto l'uso dell'add-on di Firefox con KeePass esponga l'intero database delle password agli attacchi basati su Internet (di qualsiasi tipo, incluso il phishing - qualsiasi cosa proveniente dall'esterno).
Suppongo che LastPass abbia avuto una revisione della sicurezza molto più ampia e probabilmente abbia un team di professionisti addestrati che mantengono il tutto al sicuro.
D'altra parte, la comunità sembra preferire KeePass. Ma per quanto riguarda l'add-on di Kee 2.0 per Firefox e il plugin RPC? Questi pezzi hanno lo stesso livello di revisione della sicurezza?