Curioso servicio el que ofrecen en Clipperz, ya que ofrecen la posibilidad de almacenar nuestras contraseñas y otros datos privados en su servidor. La mayoría pensará en que es demasiado arriesgado confiar nuestros datos confidenciales a un servicio y, en un principio, tendrán razón.
Pero la gracia del asunto está en que ellos nunca tienen acceso a esos datos, ya que nunca se suben directamente al servidor. Antes de subirlos, el contenido se cifra mediante nuestra clave de acceso y se sube ya cifrado. Esto se hace mediante una librería en Javascript que implementa una serie de algoritmos criptográficos conocidos, como AES, SHA-2,... Lo mejor de todo es que esta librería la han puesto a libre disposición de quien quiera descargársela y usarla.
Permite, además, el ingreso directo a otras páginas web sin necesidad de recordar la contraseña. Ahora, la gran duda es si la gente se va a fiar de un servicio así. Tal como lo explican parece bastante seguro, de forma que nuestros datos nunca son visibles para nadie fuera de nuestro navegador. A pesar de eso, probablemente sería necesario que alguien experto le echara un vistazo a fondo a la implementación de los algoritmos y a posibles fallos, pero la teoría es buena.
Como pregunta Rubén, ¿tú te fiarías de un servicio así?
Ver 2 comentarios
2 comentarios
WhisKiTo
Uy que mal rollito esto de las contraseñas online…
Marco Barulli
Hola,
no hablo ni escribo bien en espanol, entonces te contesto en ingles.
Espero que mi respuesta te sea util para entender mejor nuestro servicio.
Gracias.
Marco
Clipperz co-founder
————-
Why should I trust Clipperz with my passwords? Why should I put my sensitive data in the Internet?!
Clipperz let you submit confidential information into your browser, but your secrets are locally encrypted by the browser itself before being uploaded to Clipperz. You are not providing Clipperz any data, just a bunch of scrambled bits.
With Clipperz we introduced a new paradigm: the zero-knowledge web application . A breed of web apps where the provider is simply in charge of delivering the Ajax application to the user’s browser and then storing user’s data in an encrypted form on its servers.
The keys for the encryption processes are derived from a passphrase known only to you! As a consequence, Clipperz will not be able to recover a lost passphrase because we don’t know it. Actually we don’t even know the username you have choosen!
Clipperz does not use homemade cryptographic algorithms but implements standard strong encryption schemes (AES, SHA2, Fortuna, SRP, …).
Since Clipperz is a huge Javascript application, you can review the source code anytime you like. The whole source code is downloaded to your browser before you sign-in, so you can easily check if it is a genuine
version. (more info about performing a security code review is available at the website)
You can even include our Javascript code in your web applications since we released the Clipperz Crypto Library under a BSD license.
You can download it here: http:/code.google.com/p/clipperz
Fo