Seguridad en el manejo de datos de usuario por mSecure

Navega tus respuestas
0

mSecure es un administrador de contraseñas y la compañía ha lanzado recientemente su última versión (v5) que utiliza sus propios servidores para almacenar y sincronizar los datos del usuario.

A algunas personas les preocupa cómo protegen los datos del usuario y mSecure proporcionó esta descripción

  

la primera vez que te registras en una cuenta, generamos un súper seguro   contraseña mencionada anteriormente que llamamos una "Clave de cuenta". Luego tomamos una   parte del texto conocido (en realidad no importa lo que sea el texto, pero   resulta ser un aviso de copyright) y cifrarlo con su cuenta   llave. El texto cifrado se almacena en su cuenta en la nube. Ser   claro, esta no es la clave de cuenta en sí; es un texto conocido   que se ha cifrado con la clave de la cuenta. Entonces ciframos el   clave de cuenta con su contraseña maestra - la contraseña que usa para desbloquear   la aplicación y guárdela en la base de datos mSecure localmente en su dispositivo.   Luego le enviamos un correo electrónico de “Autenticación mSegura” que contiene su   clave de cuenta, que se requiere para autenticarlo como propietario de   tu cuenta.

     

La clave de su cuenta no está almacenada en la nube mSecure.

     

Cuando inicia sesión en mSecure en su dispositivo, se lee la clave de la cuenta   de la base de datos local y la descifra con su contraseña maestra. Esta   Es por eso que no necesita usar el código QR cada vez que inicie mSecure.   Cuando desee instalar y usar mSecure en un dispositivo nuevo, requerimos   para iniciar sesión con su correo electrónico y contraseña maestra y luego pedirle   El código QR. mSecure lee la clave de cuenta del código QR,   descifra los datos en el código con su contraseña maestra y luego descarga   el texto conocido mencionado anteriormente en su cuenta de la nube.   Una vez descargado el fragmento de texto conocido, mSecure intenta   descifrarlo con la clave de cuenta y, si el descifrado es exitoso,   descarga el resto de sus datos que también están cifrados con su   clave de cuenta de la nube mSecure. Después de que los datos se descargan de   su cuenta en la nube, ahora se puede descifrar con la clave de cuenta   localmente en tu dispositivo.

¿Parece razonable, o hay puntos que son preocupantes, como el correo electrónico “Autenticación mSegura” que contiene su clave de cuenta que afirman que no es un problema porque ya está cifrado?

    
pregunta TheDarkKnight 23.05.2017 - 18:06
fuente

1 respuesta

1

¿Es razonable? Sí. ¿Es seguro? No puedo decir.

No puedo decir porque la seguridad está en los detalles. La idea general es buena, pero si implementas mal alguna parte, podría ser insegura, incluso si la idea fuera buena. Así que concentrémonos en la idea aquí.

Su esquema de cifrado se basa en dos partes. Una parte que conoce, la contraseña maestra y una parte que posee, la clave de cuenta / dirección de correo electrónico. Básicamente, desde un punto de vista de seguridad, la clave de cuenta y el correo electrónico son casi lo mismo aquí. Si tiene acceso al correo electrónico, puede obtener la clave de la cuenta y si tiene acceso a la clave de la cuenta, no necesita acceso al correo electrónico.

En conclusión, lo que intentan decir es que están usando autenticación de dos factores. En lugar de usar un teléfono para la autenticación de dos factores u otro dispositivo que lleve consigo, están utilizando el account_key y el correo electrónico como segundo factor. No veo nada malo con esta idea.

    
respondido por el Gudradain 23.05.2017 - 19:23
fuente

Lea otras preguntas en las etiquetas

Wordpress: bloqueado por un firewall para la carga de archivos malintencionados ¿Hay alguna forma de forzar la navegación HTTP si todo el tráfico se redirige a HTTPS? [cerrado]