La NSA può ottenere le mie password da Dashlane? Artboard

Disposizioni importanti

1. Lavoro per i produttori di 1Password, un concorrente di Dashlane
2. Non ho studiato l'architettura di sicurezza di Dashlane
3. Non farei commenti in merito anche se mi fosse familiare

Di conseguenza, la mia risposta sarà piuttosto vaga e generale.

"A prova di NSA" non è un'affermazione coerente

Possiamo parlare di sistemi sicuri contro certi tipi di attacchi, ma non possiamo parlare di essere sicuri contro la NSA e l'FBI. Dopo tutto, queste sono agenzie che sono in grado di entrare in casa tua e manomettere il tuo computer. Queste sono le persone dietro Flame e Stuxnet. Potrebbero installare una telecamera nascosta in casa vostra che vi registra mentre digitate la vostra password.

Di conseguenza, alcuni tipi di attacchi che la NSA (o l'FBI) sono in grado di fare sono al di fuori dell'ambito di ciò da cui ci si potrebbe aspettare che un password manager si difenda.

Preferiscono aggirare la crittografia piuttosto che attraversarla

La crittografia effettiva che i password manager ben progettati utilizzano è quasi certamente a prova di NSA, nel senso che la NSA non può rompere la crittografia direttamente nel senso tecnico di "rompere". Francamente, se i progettisti del sistema hanno fatto il loro lavoro correttamente, rompere la crittografia è il modo più difficile per arrivare ai vostri segreti. È semplicemente la linea di attacco che chiunque prenderebbe a meno che non sia assolutamente necessario.

La vostra password potrebbe essere consegnata?

Non potete consegnare informazioni che non avete. Quindi, se il sistema è progettato in modo che gli operatori del sistema non abbiano la vostra password, allora hanno poco da consegnare. Questo li rende molto meno vulnerabili a citazioni in giudizio, lettere di sicurezza nazionale, altri ordini del tribunale, corruzione, attacchi da parte di insider, o semplicemente ad essere hackerati.

Quindi la risposta a questa domanda dipende dalla progettazione del sistema.

Potrebbe essere acquisita la vostra password?

Anche se un sistema è progettato per non acquisire la vostra password, potrebbe essere surrettiziamente riprogettato per acquisire la password? Cioè, un servizio potrebbe non memorizzare effettivamente la tua password o i tuoi dati in formato decriptato, ma potrebbe essere in grado di fare piccole modifiche, difficili da notare, che permetterebbero loro di acquisire la password di un particolare utente.

Questa era una questione centrale del caso Lavabit. Al gestore di Lavabit fu ordinato di modificare il suo server in modo che i segreti di un particolare cliente potessero essere letti. Ladar Levison ha rifiutato. Finì con l'oscurare il suo sistema e fu condannato e multato pesantemente per oltraggio alla corte. Vedi Segreti, bugie e email di Snowden: perché sono stato costretto a chiudere Lavabit

La tua password può essere indovinata?

Anche se un sistema non ha la tua password, e non può essere facilmente modificato per catturarla, può ancora avere i tuoi dati criptati. Se quei dati sono forzati o rubati, la NSA può attaccarli automatizzando l'indovinare la password?
Se i tuoi dati sono criptati con una chiave derivata da una password, potrebbe essere possibile eseguire un cracker di password contro di essi. La maggior parte dei moderni gestori di password usano qualcosa come PBKDF2 o scrypt o simili per fornire una certa protezione contro i cracker di password che lavorano contro i dati rubati.

Questi meccanismi potrebbero aiutare a rallentare un normale criminale, ma probabilmente non offrono un grande ostacolo contro la NSA. (Questo è un caso di "quelli che sanno non dicono, e quelli che dicono non sanno"). Quindi la vostra migliore difesa contro qualcosa del genere è di usare una buona Master Password.Qualche anno fa, ho scritto un articolo su come (e come non) creare una master password veramente forte e memorabile per un password manager: https://blog.agilebits.com/2011/06/21/toward-better-master-passwords/