I gestori di password online (ad esempio Dashlane o LastPass) memorizzano le vostre password in chiaro?

[Disclosure: lavoro per AgileBits, i produttori di 1Password]

Ogni gestore di password decente cripta i tuoi dati. Questo include quelli che hai menzionato e, naturalmente, 1Password. Ci sono stati alcuni gestori di password sul mercato che o non hanno criptato affatto o hanno sbagliato la crittografia che era come se non avessero criptato.

Anche usando i migliori algoritmi, è facile sbagliare la crittografia

Lasciate che vi dia un esempio di qualcosa del genere al di fuori del dominio dei gestori di password. WhatsApp ha fatto un grave errore in una versione precedente della sua applicazione di chat sicura. Hanno fatto tutto bene e usato tutti gli algoritmi e le modalità di crittografia corrette, ma dopo la negoziazione delle chiavi, hanno usato la stessa chiave di crittografia cifrata a flusso per entrambe le direzioni della comunicazione. Il loro errore era comprensibile: perché gli sviluppatori di software dovrebbero sapere che riutilizzare una chiave con uno stream cipher è un male come riutilizzare un pad in un one time pad?

La maggior parte dei revisori della stampa tecnica non riesce nemmeno a capire la differenza

Una delle difficoltà che le persone affrontano quando considerano un password manager è capire la sua sicurezza. Imparare che un password manager usa AES256, per esempio, ti dice molto poco sulla sua sicurezza perché è molto facile usare queste cose in modo sbagliato. Sfortunatamente, la maggior parte della stampa tecnica che fa recensioni di password manager non è in grado di valutare i loro progetti di sicurezza.

Di conseguenza, quando la maggior parte dei recensori di password manager nella stampa tecnica arriva a discutere della sicurezza, ricade sulle parole d'ordine. Per esempio, perpetueranno il mito che AES256 offre un vantaggio significativo in termini di sicurezza rispetto a AES128 (vedi: Indovina perché stiamo passando a chiavi AES a 256 bit per spiegare che la scelta di sicurezza qui non è quella che la maggior parte delle persone crede). In genere citano i siti web dei venditori senza essere realmente in grado di valutare questo. Questa roba è difficile e richiede una notevole competenza. Ma lascia gli utenti in una posizione in cui non hanno una guida reale sulla sicurezza di un password manager.
Cerca i dettagli, non solo le parole d'ordine

A rischio di cadere in un discorso di vendita, una cosa che puoi cercare è se il design di sicurezza e i dettagli di crittografia sono aperti al controllo e all'analisi degli esperti e del pubblico. Date un'occhiata a Voi avete dei segreti; noi no. Perché il nostro formato di dati è pubblico e perché pensiamo che sia una buona cosa fornire tutti i dettagli della nostra crittografia.

Similmente, abbiamo usato un design di sicurezza che renderebbe molto difficile per noi diventare malvagi (o essere costretti a diventare malvagi) senza essere scoperti: 1Password e The Crypto Wars

Così, anche se non siete personalmente in grado di fare un uso diretto di tali informazioni, potete avere una certa fiducia che altri con le competenze appropriate hanno fatto uso di quel tipo di informazioni.

Guarda l'apertura sui problemi di sicurezza

Chiunque vi dica che il suo sistema è completamente invulnerabile non dovrebbe essere nel business. La reattività nel risolvere i bug è un ottimo segno. Questo significa anche non reagire eccessivamente alle segnalazioni di difetti. I ricercatori che scoprono le falle e i venditori che le affrontano fanno parte del processo di mantenere i sistemi sicuri.

So che è difficile da sapere

Vorrei che fosse più facile per il pubblico generale valutare la sicurezza dei gestori di password. Vorrei anche che fosse più facile per la gente vedere i compromessi nelle diverse architetture di sicurezza. A volte, non è che un design sia "migliore" di un altro, ma che un design affronta diversi tipi di minacce rispetto ad un altro.