Sono un utente Premium dell'app Lastpass e lo adoro, ma non so quanto sia sicuro mettere tutte le mie password nel cloud?
Sono un utente Premium dell'app Lastpass e lo adoro, ma non so quanto sia sicuro mettere tutte le mie password nel cloud?
Dipende se ti fidi degli sviluppatori LastPass, degli amministratori di sistema e del team legale.
LastPass dichiara di utilizzare AES, con una connessione HTTPS al proprio server, inviando il codice di crittografia a un browser dai propri server, in modo che il computer / dispositivo esegua la crittografia con una password principale che non vedono mai. Le password crittografate vengono quindi inviate al loro server.
Che cosa potrebbe andare storto?
Il codice AES potrebbe essere errato o, peggio, dannoso. Potrebbe esserci una backdoor con una lunga password segreta che possono usare per visualizzare le tue password.
Potrebbero effettivamente inviare la password principale ai loro server, magari attraverso mezzi difficili da rilevare, in modo che possano vedere tutte le tue password.
Qualcuno potrebbe aver violato i loro server e sostituito il codice con una versione con il comportamento sopra riportato, ma che invia i dati a terzi.
Qualcuno potrebbe essere riuscito a rubare i certificati del server e ha eseguito un attacco MitM contro di te.
Un governo potrebbe aver costretto Lastpass a sostituire il codice normale con codice malevolo e il suo team legale potrebbe averlo rispettato.
Sono probabili?
Difficile da dire - ma sono tutti possibili.
Quindi ...
Se funzionano esattamente come affermano, mantenendo i server protetti da manomissioni, assicurando che i certificati siano mantenuti correttamente e resistendo alle interferenze del governo, in teoria, i dati delle password crittografati AES dovrebbero andare bene. Ma ci sono molte cose che potrebbero andare storte.
Personalmente, uso il loro servizio, ma non lo farei se stavo memorizzando i codici di lancio nucleari!
Leggi altre domande sui tag password-management