Deseo evaluar dos opciones diferentes de seguridad de contraseña que al principio parecen ser claramente diferentes:
- un administrador de contraseñas basado en la nube
- un administrador de contraseñas local (no en la nube)
Sin embargo, el problema es que el administrador de contraseñas local se usará con un complemento del navegador para darle funcionalidad y comodidad a la par con la opción basada en la nube. Para que esta comparación sea útil y práctica, limitémosla a estos dos productos específicos:
- KeePass con Kee 2.0 (extensión web de Firefox 57) con keepass-plugin-rpc
- LastPass (versión de extensión web, Firefox 57)
Suponga que cualquier amenaza potencial se encuentra completamente en el lado de Internet y que la máquina local y la red local son seguras.
¿Estas dos opciones son igualmente seguras en un sentido general? La respuesta automática puede ser que diga que KeePass es más seguro simplemente porque no está basado en la nube (y suponemos que no es una amenaza dentro de la red local o instalación física).
Sin embargo, mi pregunta se centra en la pregunta de en qué medida el uso del complemento de Firefox con KeePass expone la base de datos de contraseñas completa a ataques basados en Internet (de cualquier tipo, incluido el phishing, todo lo que se originó desde el exterior).
Supongo que LastPass ha tenido una revisión de seguridad mucho más extensa y, probablemente, cuenta con un equipo de profesionales capacitados que lo mantienen seguro.
Por otro lado, la comunidad parece ver a KeePass favorablemente. Pero ¿qué pasa con el complemento Kee 2.0 Firefox y el complemento RPC? ¿Tienen esas piezas el mismo nivel de revisión de seguridad?