Hay una aplicación de contraseña llamada Splikity. Cuenta con:
Aunque estoy convencido de que usa AES256 y SHA256, sé que la seguridad no solo depende de las herramientas que uno usa, sino también de cómo las usa.
Entonces, mi pregunta es: ¿Es Splikity realmente seguro? ¿Hay alguna manera de saber qué tan segura es una aplicación como esa?
No hay forma de estar completamente seguro de que es seguro. No hay forma de que sepamos estar completamente seguros de que cualquier cosa es segura.
Al fallar la seguridad completa, hay varias formas de estar razonablemente asegurados de que el nivel de seguridad es adecuado.
La mejor manera de hacer que el producto sea auditado por personas que tienen conocimientos sobre estas cosas ... Tanto la parte de criptografía como la parte de desarrollo de software seguro. Además, no solo es necesario que la implementación actual parezca estar razonablemente libre de fallas, sino que también deben tener planes de mantenimiento y parches para garantizar que siga siendo así, y que si se encuentran los problemas en la En el futuro, pueden ser rápidamente remediados.
Si puede realizar una auditoría completa, también es razonable esperar que algo que se construye por miembros respetados de las comunidades de software criptográfico y seguro aplicado sea probablemente correcto. No sé si esto es o no.
Por lo tanto, si no tiene una idea del software en sí, o al menos de los creadores del software, entonces no, no hay una buena manera de determinar adecuadamente si está bien diseñado e implementado o no.
Dicho esto, aparte de la bala de marketing de "grado militar", no hay defectos evidentes en el enfoque que describen. AES-256 es una buena opción. PBKDF2 no es tan bueno como scrypt o bcrypt para este propósito, pero quizás es más probable que ya esté implementado correctamente en las plataformas que están usando, y es lo suficientemente bueno. Dejan en claro que el descifrado solo se realiza en el lado del cliente, y no hay un proceso de recuperación de la clave maestra, lo que es bueno. Afirman que toda la comunicación entre el servidor y el cliente se realiza a través de SSL (con suerte realmente TLS) que, si se realiza correctamente, es correcta.
Hay cosas que no podemos saber solo con la descripción. ¿Están utilizando AES correctamente? ¿Es el número de rondas PDKDF2 realmente adecuado para el propósito? ¿Están administrando los datos descifrados, la contraseña y la clave de manera segura en el cliente? Estas son algunas de las preguntas que me gustaría que me contestaran antes de elegir un producto como este ... Aunque en realidad, me costaría mucho elegir un espacio que también se ejecutara en este espacio de mercado sobre algo como KeePass o Password1, en cualquier caso, sin una razón específicamente convincente. Solo hay menos posibilidades de que obtenga el control adecuado y de que cualquier problema que tenga se lleve a la superficie para su resolución.
Lea otras preguntas en las etiquetas password-management