¿Se puede confiar en los servicios de administración de contraseñas basados en la nube?

8

Soy un gran usuario de servicios de administración de contraseñas basados en la nube como LastPass.

Pero a la luz de recientes revelaciones como varias puertas traseras del gobierno en sitios populares, programas como prisma, etc., estoy empezando a preguntarme si se puede confiar en servicios como Lastpass.

Para ser más específicos, ¿cómo sabemos lo que sucede en el backend de dichos servicios y podemos realmente confiar en lo que dicen sobre la seguridad?

    
pregunta irenicus09 11.06.2013 - 09:50
fuente

3 respuestas

10

Nunca podrás saberlo. Usted puede , sin embargo, ejerce razonamiento y juicio lógico basado en

  • Condiciones de la empresa.
  • El historial de la compañía.
  • Su confianza en la compañía que presta ese servicio.
  • La importancia / valor de los datos manejados por ese servicio.

Respecto a la gestión de contraseñas; llámeme un poco paranoico, pero realmente nunca confío en ningún servicio en la nube con mis contraseñas. Me gusta usar KeePass con Dropbox, porque sé que KeePass es de código abierto (hay menos probabilidades de que haya negocios de monos allí) y mi confianza en Dropbox es irrelevante (solo ven un archivo cifrado).

    
respondido por el Adi 11.06.2013 - 10:05
fuente
5

No, pero aún puede usarlos de forma relativamente segura. Específicamente, si y solo si los datos están cifrados con un conocido , algoritmo no roto en el lado del cliente . En ese caso, su único recurso para obtener sus contraseñas es descifrar los archivos por cualquier medio. Dicho esto, no usaría tales servicios hasta que ninguno de ellos realmente haga que y tengan un historial continuo muy largo.

Un problema relacionado es que si se encuentra una vulnerabilidad en el algoritmo, tiene que cambiar efectivamente todas sus contraseñas, ya que puede suponer que cualquiera con acceso a los archivos del servicio pudo descifrarlas. E incluso si usted vuelve a cifrar, ha revelado efectivamente para qué usa sus contraseñas. Eso significa una mayor superficie de ataque, ya que el atacante ahora puede apuntar a los servicios de terceros en lugar de a su archivo cifrado. Entonces solo puede esperar que los servicios de terceros hayan implementado una buena seguridad.

    
respondido por el l0b0 11.06.2013 - 10:08
fuente
2

Como l0b0 y Adnan dijo que no puedes confiar en ellos al 100%. No sabes qué fallas tienen y tratan de ocultar.

También uso KeePass, pero tengo mi base de datos conmigo todo el tiempo en mi memoria USB.

    
respondido por el John The Ripper 11.06.2013 - 17:57
fuente

Lea otras preguntas en las etiquetas