Sicurezza nella gestione dei dati utente da mSecure

0

mSecure è un gestore di password e la società ha recentemente rilasciato la sua ultima versione (v5) che utilizza i propri server per archiviare e sincronizzare i dati dell'utente.

Alcune persone sono preoccupate di come stanno proteggendo i dati degli utenti e mSecure ha fornito questa descrizione

when you first sign up for an account, we generate a super secure password mentioned above that we call an “Account Key.” We then take a known piece of text (it doesn’t really matter what the text is, but it happens to be a copyright notice) and encrypt it with your account key. The encrypted text is then stored in your cloud account. To be clear, this is not the account key itself; it’s a known piece of text that has been encrypted with the account key. We then encrypt the account key with your master password – the password you use to unlock the app – and store it in the mSecure database locally on your device. We then send you an “mSecure Authentication” email that contains your account key, which is required to authenticate you as the owner of your account.

Your account key is not stored in the mSecure Cloud.

When you log into mSecure on your device, it reads the account key out of your local database and decrypts it with your master password. This is why you don’t need to use the QR code each time you launch mSecure. When you want to install and use mSecure on a new device, we require you to sign in with your email and master password then ask you for the QR code. mSecure reads in the account key from the QR code, decrypts the data in the code with your master password then downloads the known piece of text mentioned earlier from your cloud account. Once the known piece of text is downloaded, mSecure attempts to decrypt it with the account key, and, if the decryption is successful, downloads the rest of your data that is also encrypted with your account key from the mSecure Cloud. After the data is downloaded from your cloud account, it can now be decrypted with the account key locally on your device.

Suona ragionevole o ci sono punti che destano preoccupazione, come l'e-mail "mSecure Authentication" che contiene la chiave del tuo account che affermano che non è un problema in quanto è già crittografato?

    
posta TheDarkKnight 23.05.2017 - 18:06
fonte

1 risposta

1

È ragionevole? Sì. È sicuro? Non posso dirlo.

Non posso dirlo perché la sicurezza è nei dettagli. L'idea generale è buona, ma se si implementa male qualsiasi parte potrebbe essere insicura, anche se l'idea era buona. Quindi concentriamoci sull'idea qui.

Il loro schema di crittografia si basa su due parti. Una parte che conosci, la password principale e una parte di tua proprietà, la chiave dell'account / l'indirizzo email. In sostanza, dal punto di vista della sicurezza, la chiave dell'account e l'e-mail sono quasi la stessa cosa qui. Se hai accesso all'e-mail puoi ottenere la chiave dell'account e se hai accesso alla chiave dell'account non hai bisogno di accedere all'e-mail.

In conclusione, quello che stanno cercando di dire è che stanno usando l'autenticazione a due fattori. Invece di usare un telefono per l'autenticazione a due fattori o un altro dispositivo che porti con sé utilizzano il tasto account_key e l'e-mail come secondo fattore. Non vedo nulla di sbagliato in questa idea.

    
risposta data 23.05.2017 - 19:23
fonte

Leggi altre domande sui tag