La 1Password Tool (software) introdujo 1Password for Teams .
Pensé que esta es una gran pieza de software, pero ahora pueden mostrar contraseñas en el navegador.
Ellos dicen:
Encriptamos todo en el cliente y no tenemos una copia de su claves de cifrado.
y usan WebCryptoAPI para hacerlo. ¿Alguien tiene una idea de si esto puede ser realmente seguro?
La seguridad de esto depende de la implementación.
Las claves pueden almacenarse como objetos de clave WebCryptoAPI y almacenarse localmente en un IndexedDB. Estos se pueden usar para cifrar y descifrar datos sin que el servidor necesite la clave. Incluso puedes marcar las teclas como extraíbles, lo que significa que la clave subyacente nunca se puede exportar (ignorando las herramientas de desarrollo integradas en el navegador).
El almacenamiento del navegador se segrega utilizando el esquema (http / https, etc.), el puerto (443 para https) y el dominio. Por lo tanto, si las claves se almacenan desde una página servida a través de enlace , solo se podrá acceder a ellas desde las páginas servidas desde ese dominio.
Sin embargo, hay una advertencia. 1La contraseña necesita acceso a los datos encriptados (para que se los entregue si inicia sesión en otro lugar). Si una parte malintencionada puede controlar su sistema DNS del sitio 1password.com, podrá servirle una página que descargue las contraseñas cifradas, las descifre utilizando el objeto clave y luego las vuelva a cargar en un servidor malintencionado. Esto significa que en cualquier momento en el futuro 1Password podría obtener sus contraseñas.
Además de esto, la capacidad de compartir bóvedas me hace escéptico de que las claves se marcarían como extraíbles. Es técnicamente posible, pero un sistema que comparta de forma segura la clave de almacenamiento sería mucho más sencillo de implementar.
En resumen, si confía en 1Password, esto debería ser más seguro que las contraseñas que se envían en texto sin formato al servidor. Sin embargo, todavía se basa en confiar en 1Password.
Una nota más. Sus estados del sitio -
incluso permite que los compañeros de equipo inicien sesión en sitios sin poder ver las contraseñas.
Me sorprendería si esto se hiciera de una manera que no permitiera a un compañero de equipo suficientemente técnico extraer la contraseña en texto sin formato. No puedo pensar en una manera de hacerlo que no A. no funcione de manera confiable en todos los sitios y B. requiera que se confíe en un servidor de 1Password con la contraseña en texto sin formato o que su PC esté siempre conectada.
Lea otras preguntas en las etiquetas web-browser web-service