By JohnFastman · Mar 2017

Password Pig es un recién llegado a la escena de administración de contraseñas. Por lo tanto, vale la pena ser muy escéptico y observar muy atentamente cómo hacen las cosas antes de confiarles la información más valiosa. Una cosa que me hace sospechar de inmediato es la de sus Términos y condiciones (6 de marzo de 2017): a diferencia de otras aplicaciones de contraseña. , Password Pig permite que un usuario se recupere de una situación de contraseña maestra perdida. La Contraseña maestra se puede restablecer con una nueva siempre que el usuario sepa (y mantenga) la dirección de correo electrónico utilizada para registrarse y haya establecido una pregunta y respuesta de seguridad. La razón por la que no es posible recuperar la contraseña en otras aplicaciones de contraseña es una buena opción. uno. Su contraseña encripta su base de datos.
Nadie en el servicio debería tener acceso a esto. A lo sumo, deberían tener algún derivado de hash y salado de su contraseña que no puedan usar para acceder a sus datos. Esto sigue el modelo de conocimiento cero, lo que significa que usted y solo usted puede acceder a sus datos. Es la forma en que funcionan todos los servicios acreditados que ofrecen cifrado (por ejemplo, Spideroak, Tresorit, Protonmail, Encryptr). Si Password Pig puede restablecer su contraseña, pueden hacerlo solo si tienen acceso a ella, lo que significa que tienen acceso a sus datos o tienen que borrar sus datos cuando restablecen su contraseña. No hay otra manera de evitarlo. Hasta que no describan con mucho cuidado y detalle de qué hablan cuando dicen que pueden restablecer su contraseña, no confiaría en ellos.
A modo de comparación, vea cómo una empresa como Spideroak describe lo que ofrecen. Otra razón para ser muy escéptico es que dicen que usan "las últimas tecnologías de encriptación" y luego le dicen que usan AES-256. AES-256 no tiene nada de malo, pero no es lo último. Fue desarrollado en la década de 1990, incluso si es irrompible. Password Pig tampoco ofrece nada sobre las medidas que toman para proteger sus datos de ataques de fuerza bruta, incluso cuando los hackers roban su base de datos de contraseñas (y eso le sucede a los mejores servicios). Tampoco confío en ellos porque no lo hago. Confíe en cualquier aplicación de encriptación que no sea de código abierto. Si no es de código abierto y Password Pig no lo es, entonces no puedo ver cómo escribieron el código y cómo implementan su seguridad.
Lo que significa que no puedo comprobar que todo esté bien hecho. Las aplicaciones de código abierto tienen la ventaja de que los errores se detectan rápidamente. Extrañamente, al momento de escribir esto, Password Pig no menciona nada sobre sus precios en el sitio web. Solo dicen que los primeros 30 días son gratis y luego la aplicación cuesta lo mismo que una taza de café por un año. ¿Cuanto es eso? Es solo en su sitio de aplicaciones para Android que encontré que esto significa £ 2.49. Es muy extraño no decir cuánto cuesta la aplicación. Para alguien que busca mi confianza con los datos más importantes que tengo, espero muchos más detalles de los que ofrece Password Pig sobre seguridad, cifrado y precios. Tampoco voy a ser su cliente porque no tienen una aplicación de Linux, pero eso es otro asunto. El 6 de marzo de 2017 envié a Password Pig las siguientes preguntas.
Veamos lo que dicen: tengo algunas preguntas importantes sobre su seguridad / nivel de confiabilidad, que creo que deben abordar explícitamente en su sitio. Probablemente publicaré las preguntas y sus respuestas en una publicación / foro públicamente visible porque creo que los clientes potenciales deberían saber las respuestas: ninguna otra aplicación de administración de contraseñas que use cero conocimiento puede restablecer las contraseñas de los usuarios, y por buenas razones . ¿El hecho de que pueda restablecer la contraseña maestra de los usuarios no significa que tenga acceso a las contraseñas / datos de los usuarios, incluso en principio? O, de lo contrario, ¿cómo mantiene el conocimiento cero y la capacidad de restablecer las contraseñas? ¿Significa que cuando restablece una contraseña maestra también borra la base de datos?
Esto merece ser explicado explícitamente en detalle en su sitio, tanto en la sección "Acerca de la aplicación" como en las preguntas frecuentes. Además, ¿podría proporcionar información sobre cómo alojar los datos? ¿Estás usando tus propios servidores? ¿En qué caso, qué le hace confiar en que logrará defenderlos contra los ataques del tipo que Lastpass ya ha sufrido? ¿O está utilizando soluciones de terceros, como AWS (o similar)? ¿En qué caso, qué implicaciones hay para la privacidad de los usuarios? P.ej. ¿Se aplican las leyes de los Estados Unidos o el Reino Unido? ¿El tercero puede registrar mi dirección IP cuando inicio sesión en Password Pig? Si los piratas informáticos robaran las bases de datos de los usuarios, ¿qué precauciones tomas contra los ataques de fuerza bruta? Otras empresas son mucho más explícitas sobre esto; No dice nada al respecto en su sitio. En una nota similar, ¿ofrece autenticación de segundo factor? El CLP de LastPass revela que los datos del usuario no están encriptados en su totalidad, sino campo por campo, y esto no incluye las URL de cuentas de usuario.
Es decir, Lastpass puede leer con qué sitios web tienen cuentas las personas. ¿Puede la contraseña de cerdo? Sea explícito: ¿todos los campos de la base de datos de usuarios están cifrados al mismo nivel y ese es conocimiento cero?