Il gestore password memorizza le password in memoria se blocco il mio computer?

Per tutto il tempo in cui è nello stato "sbloccato", un gestore di password dovrà conservare in memoria "qualcosa" che gli garantisca l'accesso ai dati segreti.

A seconda dell'architettura di Gestione password, può essere un numero di cose diverse:

• Un software client-side puro può conservare l'intero database (non crittografato) in memoria. Questo è accettabile dal punto di vista della sicurezza perché il modello di sicurezza di questi software è che non tenterà (troppo) di proteggere dai compromessi a livello di root del computer su cui vengono eseguiti.
• Un altro metodo per le app lato client consiste nel mantenere la chiave di decrittografia in memoria e decrittografare i dati rilevanti secondo necessità. Ciò è utile se la parte segreta del DB è grande: solo decrittografare le informazioni quando necessario aiuta a ripulirlo in seguito e assicurarsi che non finisca nel file di scambio (se applicabile).
• Un ulteriore approccio consiste nel mantenere i dati in memoria ma crittografati con una chiave di sessione e decrittografati quando si accede. Ciò consente un modo rapido per "pulire" la memoria quando si blocca il sistema (è sufficiente rimuovere la chiave di sessione)
• Le app distribuite possono invece conservare un token di accesso in memoria. Tale token di accesso viene quindi utilizzato per recuperare i dati rilevanti dal server. In genere, una seconda chiave, che deve essere conservata in memoria, viene quindi utilizzata per decifrare il risultato.

Inoltre, le app di gestione password possono rimuovere tutte le informazioni crittografate dalla memoria in determinate condizioni. Queste condizioni possono (e di solito fare come opzione) essere attivate quando blocchi la tua stazione di lavoro.

Alla fine, la risposta effettiva dipende da quale software si utilizza e da come lo si configura.

Un gestore di password che mantiene le tue password "nel cloud" ti dà la comodità di accedere alle tue password da qualsiasi dispositivo, ovunque, in qualsiasi momento - ma significa che il vero file di database non è sotto il tuo diretto controllo. Un negozio locale sul laptop o un'unità USB rimovibile è meno un obiettivo per gli hacker rispetto a un archivio di password cloud centralizzato.

Il rischio di utilizzare un servizio cloud non è così grande come potrebbe sembrare. Servizi come LastPass utilizzano SSL per il trasferimento dei dati, oltre ai dati crittografati con AES a 256 bit e una politica di non ricezione di dati privati che non sono già stati bloccati con la password principale. Utilizzando la crittografia e la decrittografia locali sul PC, con hash salati a senso unico creati localmente e rendendo impossibile forzare le password master utilizzando un numero elevato di iterazioni PBKDF2-SHA256 per crearli, il numero di vettori di attacco è ridotto considerevolmente.

La domanda più importante è che cosa succede se un servizio cloud non è disponibile o, peggio ancora, se il provider fallisce? Mantenimento di un backup esterno del database delle password, crittografato con un'applicazione come TrueCrypt.

I client locali, con il tuo database crittografato memorizzato sul dispositivo (cellulari) dal quale stai accedendo a loro, non dipendono da bilanci di terze parti o dalla connettività di rete. Anche se il fornitore ha cessato l'attività, l'applicazione è installata e funziona ancora. Quindi cosa succede se perdi il telefono che memorizza il tuo gestore di password del client locale o il tuo laptop muore?

così .... Molte applicazioni di gestione password combinano due funzionalità sia cloud che store in dispositivi personali per garantire una protezione strong, ovvero la possibilità di generare stringhe di password casuali e complesse e la possibilità di registrare automaticamente l'utente nel servizio o sito utilizzando tali password.