Qual è un buon gestore di password?

Non mi dispiace mostrare il mio "bias" qui, perché ho provato alcuni password manager nel corso degli anni (LastPass & DashLane), ma quello che ho usato per quasi un decennio e non ho intenzione di cambiare è 1Password di AgileBits. Vale ogni centesimo. Ed è possibile memorizzare non solo le password, ma un sacco di altre informazioni personali sensibili e documenti, come carta di credito e dettagli del conto bancario, numero di previdenza sociale, fotocopie di passaporti, copie di contratti, licenza software / informazioni di registrazione, e altro ancora.

Quello che per me, come qualcuno che ha tenuto un dito sul polso del mondo infosec per oltre un decennio - rende 1Password convincente è la sua filosofia di progettazione Trust No One. Se dimentico la mia Master Password di 1Password, sono fregato - non c'è nessun altro che possa aiutarmi; nessuna azienda monolitica motivata commercialmente - che sia AgileBits stessa, non il produttore del mio telefono o del mio laptop OS, NESSUNO, può aiutarmi se dimentico la mia Master Password del mio vault 1Password.

NESSUNO può chiamare qualcuno e mettere su qualche storia strappalacrime: "Ho perso il mio account di posta elettronica o il nome di dominio o il servizio di telefonia mobile e mi sono inavvertitamente chiuso fuori dal mio password manager, e potresti gentilmente reimpostare la mia password per me? Oh, grazie mille, mi hai salvato la vita!". Fanculo - il mio caveau di 1Password contiene oltre 700 pezzi di credenziali di accesso e altra documentazione sensibile. Non c'è NFW che io affidi tutto ciò a NESSUN altro che me stesso.

Nessuna agenzia governativa sulla Terra può servire alcun tipo di costrizione legale su qualcun altro - oltre a me solo - per dirgli di divulgare quei dati, per qualsiasi motivo.

Per quanto importante, 1Password non ti costringe a un paradigma di archiviazione delle password basato sul cloud, e questo è fondamentale per mantenere il mio caveau di password al sicuro dalla maggior parte (ma non tutti) i vettori di attacco hacker. Anche se lo offrono come un'opzione particolarmente mirata alla condivisione delle credenziali all'interno di una famiglia o attraverso un'azienda, a differenza di molti altri prodotti di gestione delle password che sono 'As-A-Service' con tutti i dati delle password memorizzati sui loro server cloud per progettazione (che è una pessima idea di cui parlo qui: I gestori di password SaaS sono un'assurdità autocontraddittoria), il mio caveau di 1Password è innanzitutto e soprattutto un mucchio di file criptati in una cartella sul mio computer o smartphone, che solo l'app 1Password può decifrare usando la mia Master Password.

È difficile esprimere quanto questo sia fondamentalmente importante, anche se siamo entrati in un'era in cui virtualmente nessuno può tenere i propri segreti online al sicuro da altri malintenzionati; lo leggiamo nelle notizie ogni due giorni - non gli individui, non le aziende, nemmeno la CIA o l'FBI per i quali mantenere i segreti dovrebbe essere una capacità abbastanza critica. I servizi online sono costituiti da così tante "parti mobili" che si sta dimostrando quasi impossibile mantenere tali servizi online sicuri. Al contrario, criptare semplicemente un mucchio di file in una cartella sul vostro computer è un compito virtualmente perfettibile. Una volta che si ottiene quel pezzo giusto, allora non importa se quei file criptati lasciano il mio possesso; solo la mia Master Password può decifrarli per accedere a nomi utente e password e altri dati sensibili all'interno.