LastPass o 1Password usano una crittografia più forte?

Discrezione: lavoro per 1Password.

Con un confronto ingenuo della forza di crittografia siamo uguali. Ma a meno che la crittografia di qualcuno non sia rotta da cattive implementazioni, la crittografia sottostante sarà la parte più forte della sicurezza del sistema. Quindi non è qui che i confronti di sicurezza dovrebbero essere fatti. Invece si vuole guardare alle parti più deboli per fare confronti di sicurezza. Entrambi usiamo AES a 256 bit, ma anche se uno di noi usasse AES a 128 bit non farebbe alcuna differenza significativa. Vedi il mio post del 2013, Guess why we're moving to 256-bit AES keys | 1Password per i dettagli sul valore di sicurezza reale rispetto a quello immaginato di questa scelta.

Quindi, in termini di differenze di sicurezza e crittografia, guarda altri aspetti del design della sicurezza

• Quanto "crackabili" sono i tuoi dati se i server vengono violati? Questo dipende dai dettagli della funzione di derivazione della chiave.
• I sistemi usano la crittografia autenticata per prevenire attacchi di tipo cifrato?
• Cosa crittografano e cosa trattano come metadati non crittografati?
• Vengono trasmessi segreti durante l'autenticazione?
• L'autenticazione è reciproca?
• Quanto apertamente documentati sono questi, compresa la documentazione delle limitazioni di sicurezza?

Ora è passato molto tempo da quando ho prestato molta attenzione a come lavorano i nostri concorrenti. Quindi forse loro fanno quanto sopra bene quanto noi. Ma ho scelto cose che credo che noi facciamo particolarmente bene. Ma le cose che ho elencato sopra contano. 128 contro 256 bit AES non conta (anche se usiamo la crittografia a 256 bit perché era più facile farlo che continuare a spiegare perché non conta).