Тест LastPass
LastPass стверджував, що їхні дані зашифровані. Дані були зашифровані — ключами на серверах LastPass. Коли сервери були скомпрометовані, зловмисники отримали і дані, і ключі.
Результат: $438 мільйонів вилучено з «зашифрованих» сховищ користувачів.
Контрольний список оцінки нульових знань
Питання 1: Де генеруються ключі шифрування?
✅ Правильна відповідь: На вашому пристрої, з вашого пароля ❌ Невірна відповідь: На наших серверах, потім надіслані вам
Питання 2: Чи постачальник може скинути ваш пароль?
✅ Правильна відповідь: Ні — ми не маємо доступу до ваших ключів ❌ Невірна відповідь: Так, напишіть на support@ (означає: ми тримаємо ваші ключі)
Питання 3: Чи постачальник може отримати доступ до ваших даних?
✅ Правильна відповідь: Технічно неможливо — ми ніколи не бачимо розшифровані дані ❌ Невірна відповідь: Ні, але ми «шифруємо» (означає: ми вибираємо не відкривати)
Питання 4: Яку хешу паролю ви зберігаєте?
✅ Правильна відповідь: bcrypt/Argon2 хеш, ніколи пароль ❌ Невірна відповідь: Зашифрований пароль (означає: оборотний)
Питання 5: Що відбувається при порушенні постачальника?
✅ Правильна відповідь: Зловмисники отримують зашифровані блоби — нічого корисного ❌ Невірна відповідь: Ми повідомимо вас про будь-яке порушення (не відповідає на питання)
Реалізація anonym.legal
-
Деривація ключів: PBKDF2-SHA256, 600 000 ітерацій, на вашому пристрої
-
Зберігання пароля: Bcrypt хеш лише для аутентифікації
-
Наш доступ: Технічно неможливий до зашифрованого вмісту
-
Скидання пароля: Неможливо без вашого ключа відновлення
Джерела: