No podrá convencer a los posibles usuarios de que su aplicación de administración de contraseñas es segura y confiable sin especificar suficientes detalles de la arquitectura para que los usuarios puedan tomar una decisión informada.
En primer lugar, debe decir qué algoritmo de cifrado se está utilizando y la fuerza de la clave. Con suerte, sea lo que sea, es actual y generalmente aceptado como irrompible contra las tácticas modernas.
También debe hablar sobre cómo su código maneja el descifrado de datos. En la plataforma Windows tiene la clase SecureString que hace un trabajo razonablemente bueno para evitar que los datos no cifrados se almacenen en la memoria en texto plano y / o en la memoria más tiempo del necesario. No sería bueno si los usuarios descubren que si la aplicación anula los datos se encuentran en el archivo de volcado de caída en texto sin formato.
Los detalles de las pruebas de penetración que se han realizado deben proporcionarse junto con los detalles. Lo ideal es que solicites probadores de penetración competentes para mejorar tu aplicación y revelar cualquier debilidad. ¿Qué defensas activas tiene la aplicación contra los métodos de ataque comunes, p. Ej. ¿detectará y rechazará trabajar si alguna de las aplicaciones más comunes de keylogger se está ejecutando?
Por último, no olvides el elemento humano. ¿Qué sucede cuando el usuario olvida su clave o es más probable que la aplicación corrompa o pierda la mitad? ¿Hay una función de recuperación? ¿Cuál es el proceso alrededor de eso? Si los datos simplemente se han ido sin ninguna forma de recuperarlos, eso no se aceptará muy bien. Si hay un proceso para recuperar los datos, entonces ese proceso debe ser examinado. No será bueno si puedo recuperar datos cifrados simplemente encontrando a la madre de mi objetivo en Facebook y sabiendo el nombre de soltera.
No intentar desalentar, pero es un riesgo para el marketing una aplicación de esta naturaleza. Estará compitiendo con compañías que han estado en este negocio durante décadas y tiene los recursos para contratar las mentes más importantes del mundo para desarrollar y / o probar el producto.
Incluso si pudieras hacer eso, necesitarías un descargo de responsabilidad legal muy estricto para protegerte de la responsabilidad. ¿Qué pasaría si se despertara una mañana y estuviera en las noticias de que las clases de cifrado en .Net se explotaron de una manera que hace que su aplicación sea vulnerable? Es posible que haya hecho todo exactamente en su código y en los procesos de soporte, pero depende de bibliotecas de clases fuera de su control directo.