Hoe betrouwbaar is 1Password? Het bedrijf achter 1P, AgileBits Inc., een klein bedrijfje. Hoe veilig is zo'n bedrijf tegen vijandige overnames of andere acties die in één keer de betrouwbaarheid -zonder dat de gebruiker dat weet- ondermijnen?Heee, als deze data (zie uitleg van Timotheus) in verkeerde handen valt, ben je ook wel heel erg het haasje.
Het bedrijf kan niets met je data, die is versleuteld.
Like Bitwarden, 1Password uses end-to-end encryption, PBKDF2 and AES-256 encryption to protect your sensitive data. For extra security, 1Password also requires you to enter a secret key when logging in to your account. Even if someone manages to guess your master password, they won’t be able to access your account without entering the secret key. 1Password offers additional peace of mind with its zero-information policy, which means the company doesn’t share your data with anyone.
Daarom maakt het nogal uit of de encryptie end-to-end is. Als dat namelijk het geval is zijn de meeste punten niet echt relevant.
...dus geen idee welke variant 1Password doet
Tsja, alles kan. Je moet ergens in vertrouwen.. Het is het bestaansrecht en de kern van het bedrijf om te zorgen dat dit veilig is en blijft.
Echt end-to-end. Met een sleutel die je alleen zelf hebt. De data is versleuteld voor hij het device verlaat, zoals het hoort en 'end-to-end' ook betekent.
Er zijn technisch gezien geen verschillende varianten. Als het niet op die manier gebeurt is het geen end-to-end encryptie. Dan sla je wel een flater als je toch die term zou gebruiken (ik ken daar ook geen voorbeelden van trouwens).
It means encrypting the data at the point of creation and only decrypting it at the point of use.
Blijkbaar is de client-client definitie pas een jaar of 6 in gebruik. Daarvoor was end-2-end client-server bescherming.
EDIT:Dat zal de 'spraakverwarring' hier zijn inderdaad .
Als een data-graaiende dienstverlener definieert dat het "point of use" op de server is waar hij analyses etc. op de data doet, dan is het "point-of-use", oftewel het eindpunt van de encryptie, dus de server van de dienstverlener.
There may be non-cryptographic flaws in cryptographic software, including 1Password, that the NSA is able to exploit, and that nobody else knows of. That is, they may know a way to break 1Password’s security without having to break the crypto. Naturally, we work hard to keep 1Password free of such vulnerabilities, but that is no guarantee that there aren’t some which the NSA is aware of and that we are not.
But the research, which finds password manager users are vulnerable to targeted malware attacks, does shine a light on ways to bolster our defenses. And it speaks to a bigger truth that gets lost in headlines about breaches and bugs: Online safety isn’t about being unhackable; it’s about not being the lowest-hanging fruit.
Both sides (password companies and researchers) agree on one thing: Your personal devices are the weak link.
As Troy Hunt, an active security researcher once wrote, “Password managers don’t have to be perfect, they just have to be better than not having one”