Il tuo account di Keeper e i dati memorizzati risiedono nel centro dati europeo (Dublino).
Completando tale modulo, accetti le Condizioni d'uso di Keeper.
Keeper utilizza la migliore sicurezza della categoria per salvaguardare le informazioni degli utenti e ridurre il rischio di violazioni dei dati.
SOLTANTO l'utente è a conoscenza e ha accesso alla password principale nonché al codice utilizzato per crittografare e decrittografare le proprie informazioni.
I dati dell'utente vengono crittografati e decrittografati a livello di dispositivo sui server di Keeper o nel cloud.
Keeper protegge le vostre informazioni con la crittografia AES a 256 bit e PBKDF2, ampiamente riconosciute come i massimi sistemi di crittografia disponibili.
Keeper utilizza Amazon AWS in più località geografiche per ospitare e gestire la cassetta di sicurezza e l'architettura di Keeper, offrendo ai propri clienti l'archiviazione in cloud più rapida e sicura. I dati a riposo e in transito vengono completamente isolati nel centro dati globale preferito dal cliente.
Keeper supporta l'autenticazione multifattoriale, l'accesso biometrico e Keeper DNA che utilizza i dispositivi personali come gli smartwatch per confermare la vostra identità.
Keeper Security, Inc. (KSI) si impegna al massimo per proteggere le informazioni dei suoi clienti con Keeper mobile e desktop. Milioni di consumatori e imprese si affidano a Keeper per la protezione e l'accesso alle proprie password e informazioni riservate.Il software Keeper viene costantemente migliorato e aggiornato per fornire ai nostri clienti la tecnologia e la protezione più avanzate. Questa pagina offre una panoramica dell'architettura di sicurezza, delle metodologie di crittografia e dell'ambiente di hosting della versione attualmente pubblicata di Keeper. Una panoramica dei dettagli tecnici dei nostri metodi di crittografia e sicurezza viene fornita in questo documento.La nostra politica sulla privacy e i nostri termini di utilizzo sono disponibili sul nostro sito Web al seguente indirizzo:
KSI non ha accesso alla Password principale di un cliente né alle voci memorizzate all'interno della Camera di sicurezza di Keeper. KSI non è in grado di accedere a distanza al dispositivo di un cliente né di decrittografarne le informazioni. Le uniche informazioni alle quali Keeper Security ha accesso sono l'indirizzo e-mail, il tipo di dispositivo e i dettagli dell'abbonamento sottoscritto (ad esempio, Keeper Unlimited) di un utente. In caso di smarrimento o furto del dispositivo di un utente, KSI può fornire assistenza durante l'accesso a un file di backup crittografato per ripristinare la cassetta di sicurezza dell'utente, una volta effettuata la sostituzione del dispositivo. Soltanto l'utente può accedere alle informazioni memorizzate e alle quali si accede in Keeper, in quanto vengono immediatamente crittografate e decrittografate in tempo reale sul dispositivo in uso, anche se si sta utilizzando la Web App di Keeper. Il metodo di crittografia utilizzato da Keeper è un algoritmo affidabile e molto conosciuto chiamato AES (Advanced Encryption Standard) con una chiave a 256 bit. Secondo la pubblicazione del Comitato statunitense per i sistemi di sicurezza nazionali (Committee on National Security Systems) CNSSP-15, l'AES con chiave a 256 bit è sufficientemente sicuro per crittografare informazioni segretate fino al livello TOP SECRET per il Governo statunitense. Le chiavi di cifratura usate per crittografare e decrittografare le voci dei clienti non vengono memorizzate né trasmesse alla Cloud Security Vault di Keeper. Ciononostante, per permettere la sincronizzazione tra più dispositivi, una versione crittografata di tale chiave di cifratura viene memorizzata nella Cloud Security Vault e fornita ai dispositivi inseriti nell'account dell'utente. Tale chiave di cifratura crittografata può essere decrittografata solamente sul dispositivo, per essere successivamente utilizzata come chiave di cifratura delle informazioni.
Si consiglia di scegliere una Password principale complessa per l'account di Keeper. Questa Password principale non deve essere mai utilizzata al di fuori di Keeper. Gli utenti non devono mai condividere la loro Password principale con altri soggetti.
Per prevenire l'accesso non autorizzato all'account di un cliente, Keeper offre anche l'Autenticazione a due fattori. L'autenticazione a due fattori è un metodo che richiede come minimo due dei tre fattori di autenticazione: conoscenza, possesso e dati biometrici. Per maggiori informazioni sul metodo di Autenticazione a due fattori, vedi questo link.Keeper utilizza una cosa che conosci (la tua password) e una cosa che hai (il telefono in tuo possesso) per fornirti una sicurezza supplementare nel caso in cui la tua Password principale o il dispositivo siano compromessi. Per fare ciò, generiamo delle TOTP (Time-based One-Time Password, password temporanee, utilizzabili una sola volta).Keeper genera una chiave segreta a 10byte, utilizzando un generatore di numeri casuali sicuro dal punto di vista crittografico. Questo codice è valido per circa un minuto e viene inviato all'utente tramite SMS, Google Authenticator o i dispositivi indossabili compatibili con Keeper DNA.Se sul tuo dispositivo mobile utilizzi l'applicazione Google Authenticator, il server Keeper genera internamente un codice QR, contenente la tua chiave segreta, ed essa non sarà mai comunicata a terzi. Ogni volta che un utente disattiva e riattiva l'Autenticazione a due fattori, viene generata una nuova chiave segreta.Per attivare l'Autenticazione a due fattori, vai alla schermata Impostazioni della Web App di Keeper.
Keeper supporta i dispositivi a base hardware U2F compatibili con FIDO (le cosiddette chiavi di sicurezza) quali YubiKey utilizzati come secondo fattore di autenticazione. Le chiavi di sicurezza rappresentano un modo sicuro e conveniente di eseguire l'autenticazione a due fattori senza che l'utente debba inserire manualmente i codici a 6 cifre. È possibile configurare più chiavi di sicurezza per una sola cassetta. Per piattaforme che non supportano tali dispositivi, è possibile ricorrere ad altri metodi di A2F configurati. Per configurare una chiave di sicurezza e altri metodi di autenticazione a due fattori, aprire la schermata 'Impostazioni' dell'app di Keeper.
Keeper offre la possibilità di aggiungere fino a 5 contatti di emergenza a cui concedere l'accesso alla cassetta di sicurezza in caso di incidente o decesso dell'utente. Una volta trascorso un determinato periodo di attesa, il contatto di emergenza otterrà l'accesso alla cassetta di sicurezza dell'utente. La procedura di condivisione della cassetta è a zero-knowledge e la password principale dell'utente non verrà mai condivisa direttamente. La crittografia RSA viene utilizzata per condividere una chiave AES a 256 bit con il contatto di emergenza allo scadere del tempo di attesa impostato dall'utente proprietario. Pertanto, per accettare l'invito è necessario che il contatto di emergenza sia in possesso di un account di Keeper (e di una coppia di chiavi RSA pubblica/privata).
Durante la registrazione dell'account, agli utenti viene chiesto di selezionare una domanda e una risposta di sicurezza. Sempre durante la registrazione Keeper genera una chiave dati che viene utilizzata per crittografare e decrittografare le chiavi delle voci memorizzate per ognuna delle voci della cassetta di sicurezza. La chiave dati dell'utente viene crittografata con la password principale e ogni chiave della voce viene crittografata con la chiave dati. Ogni voce presente nella cassetta di sicurezza dell'utente ha chiavi delle voci diverse e personali.Il recupero dell'account avviene tramite la memorizzazione di una seconda copia della chiave dati dell'utente, che viene crittografa con la domanda e la risposta di sicurezza. Per completare il recupero della cassetta di sicurezza, l'utente dovrà inserire un codice di verifica ricevuto per e-mail, insieme al codice di autenticazione a due fattori (se abilitato per l'account). Consigliamo di creare una domanda e una risposta di sicurezza molto forti nonché di attivare la funzione di autenticazione a due fattori di Keeper nella schermata 'Impostazioni'. L'autenticazione a due fattori può anche essere imposta agli utenti di Keeper Business tramite la console di amministrazione di Keeper.
I dati sono cifrati e decifrati sul dispositivo dell'utente e non nella Cloud Security Vault. Chiamiamo questo processo "Cifratura locale" perché il client (iPhone, dispositivo Android, Web App, ecc.) esegue tutte le operazioni di cifratura. La Cloud Security Vault conserva un binario raw che non è di nessuna utilità per un malintenzionato. Anche in caso i dati fossero intercettati durante la trasmissione tra il client e la Cloud Security Vault, non potrebbero essere decifrati o utilizzati per attaccare o compromettere i dati privati dell'utente.Per forzare o compromettere una chiave simmetrica a 256-bit sarebbe necessaria una potenza computazionale 2128 volte più potente di una chiave a 128-bit. In teoria, sarebbe necessario un dispositivo che avrebbe bisogno di 3x1051 anni per esaurire lo spazio della chiave a 256-bit.
Ciascun utente possiede una coppia di chiavi RSA a 2048 bit che vengono usate per la condivisione. Le voci condivise sono crittografate con la chiave pubblica del destinatario. Il destinatario decrittografa i dati con la chiave privata. Ciò consente all'utente di condividere le voci esclusivamente con il destinatario designato, in quanto solo lui è in grado di decrittografarli.
Keeper utilizza un algoritmo PBKDF2 con codice HMAC-SHA256 per convertire la Password principale dell'utente in una chiave di crittografia da 256 bit con minimo 1.000 round. La chiave generata dalla Password principale non viene utilizzata direttamente per criptare i dati dell'utente, ma per criptare un'altra chiave (la "Chiave dati"). La Chiave dati viene usata per criptare i dati e altre chiavi di cifratura, quali la chiave privata RSA.Qualsiasi chiave non direttamente generata dalla Password principale dell'utente viene generata da un generatore di numeri casuali sicuro dal punto di vista crittografico all'interno del dispositivo dell'utente, come, ad esempio, la chiave dati e la coppia di chiavi RSA. Essendo generate all'interno del dispositivo (e non nella Cloud Security Vault di Keeper), Keeper non ha visibilità nelle chiavi dell'utente.
Tutte le chiavi segrete (come la chiave privata RSA e la chiave dati di ciascun utente) da memorizzare devono essere tutte criptate prima della loro archiviazione o trasmissione. Per decriptare tutte le chiavi è necessaria la Password principale dell'utente. Poiché Cloud Security Vault di Keeper non ha accesso alla Password principale, non possiamo decriptare nessuna delle tue chiavi o dei tuoi dati.
La Cloud Security Vault fa riferimento all'architettura software e di rete di proprietà di KSI che è fisicamente ospitata all'interno dell'infrastruttura di Amazon Web Services (AWS).Quando l'utente sincronizza la sua cassetta di sicurezza con altri dispositivi del suo account, le informazioni binarie crittografate vengono inviate in un tunnel SSL crittografato e conservate nella Cloud Security Vault di Keeper in formato crittografato.
Keeper conserva una cronologia delle versioni completamente crittografata per ogni voce archiviata nella cassetta di sicurezza dell'utente, garantendo che nessuna informazione importante vada persa. Dall'applicazione client di Keeper è possibile esaminare la cronologia delle voci ed eseguire un ripristino di ogni singola voce presente nella cassetta. Se una password o un file archiviati in Keeper vengono modificati o eliminati, sarà comunque possibile eseguire un ripristino in un momento preciso nel tempo.
Ai clienti che acquistano Keeper Business viene offerto un ulteriore livello di controllo sui propri utenti e dispositivi. Agli amministratori Keeper fornisce l'accesso a una console di amministrazione basata sul cloud che consente di avere pieno controllo di: formazione degli utenti (on-boarding), rimozione dei diritti di accesso di un utente (off-boarding), autorizzazioni in base al ruolo, amministrazione delegata, team, Active Directory/integrazione LDAP, autenticazione a due fattori, Single Sign-On e politiche di applicazione della sicurezza. Queste ultime sono completamente personalizzabili in Keeper, per organizzazioni di qualunque dimensione.
Keeper for Business offre un gruppo di comandi sicuro e solido per unità organizzative, ruoli, team e cartelle condivise. I potenti comandi di back-end di Keeper offrono i livelli di sicurezza più intensi insieme all'accesso con privilegi minimi e a un'amministrazione delegata completa.A livello di crittografia, ogni voce (per es., password o credenziale) archiviata nella piattaforma di Keeper possiede un identificatore univoco (UID voce) e viene crittografata tramite una chiave. Ogni cartella condivisa, ogni team e ogni utente hanno una chiave apposita, mentre ogni ruolo che richiede la trasferibilità dell'account dell'utente possiede una chiave di applicazione del ruolo. I dati non utilizzati ma conservati nel dispositivo dell'utente vengono crittografati con la chiave dell'utente, la quale viene a sua volta crittografata dalla password principale dell'utente.Le voci vengono aggiunte a una cartella condivisa tramite crittografia della chiave della voce con la chiave della cartella condivisa. Se le voci vengono condivise direttamente con un utente, la loro chiave viene crittografata con quella dell'utente. Gli utenti vengono aggiunti a una cartella condivisa tramite crittografia della chiave della cartella con la chiave dell'utente. I team vengono aggiunti alla cartella condivisa tramite crittografia della chiave della cartella con la chiave del team. Gli utenti vengono aggiunti al team tramite crittografia della chiave del team con la chiave dell'utente.Per i ruoli che applicano la trasferibilità dell'account dell'utente:la chiave di applicazione viene crittografata con quella di ogni amministratore autorizzato a effettuare il trasferimento.(Nota: è possibile progettare il trasferimento di applicazioni separate per gruppi separati di utenti da parte di gruppi separati di amministratori.)Le chiavi della cartella dell'account vengono generate (per utenti nel ruolo in cui è prevista l'applicazione) e crittografate con la chiave di applicazione. Tutte le chiavi relative alle voci e alle cartelle condivise di un utente vengono crittografate tramite la chiave della cartella dell'account.Il trasferimento di un account viene effettuato bloccando e poi trasferendo ed eliminando l'account di un utente. In questo modo l'operazione non viene eseguita segretamente. Le chiavi e i metadati della cartella dell'account danno la possibilità di decrittografare i dati della voce, ma non di accederne direttamente. Pertanto, solo dopo la loro assegnazione a un individuo, le voci diventano utilizzabili da quell'individuo e nessun altro può accedervi.La crittografia viene eseguita client-side e in nessun caso Keeper ha la possibilità di decrittografare le informazioni condivise o trasferite. Inoltre, la chiave dell'utente non verrà mai condivisa. Un utente rimosso da un team, da una cartella condivisa o dalla condivisione diretta non riceverà nuovi dati sul team, sulla cartella condivisa o sulla voce. Pertanto, sebbene venga compromessa insieme a quell'individuo, la chiave non è utilizzabile per ottenere l'accesso ai dati di base.Diversi privilegi di amministratore potrebbero essere assegnati ad alcune parti dell'albero gerarchico per consentire ai membri con ruolo privilegiato di eseguire operazioni nella nostra console di amministrazione di Keeper.Le politiche di applicazione server-side e client-side potrebbero riguardare i ruoli che dettano il comportamento del client per gruppi di individui. I team consentono una facile distribuzione delle cartelle condivise a vari gruppi di utenti.
Keeper Bridge si integra con Active Directory e i server LDAP per quanto riguarda il provisioning e la formazione iniziale degli utenti. La comunicazione di Keeper Bridge viene dapprima autorizzata da un amministratore in possesso del privilegio di gestire il bridge. Una chiave di trasmissione viene generata e condivisa con Keeper per tutte le comunicazioni che seguiranno. Usando la chiave di trasmissione vengono autorizzate tutte le operazioni eseguite dal bridge, a eccezione dell'inizializzazione del bridge stesso. Tale chiave potrebbe essere rigenerata in qualsiasi momento e verrà sostituita ogni 30 giorni.La chiave di trasmissione serve soltanto per la trasmissione; se compromessa, potrebbe essere necessario reinizializzarla o revocarla senza causare alcuna perdita di dati o autorizzazioni.Keeper Bridge potrebbe non conferire privilegi a un ruolo o un utente, ma potrebbe aggiungere un utente a un ruolo con privilegi, finché non sono richieste chiavi di applicazione. Keeper Bridge potrebbe non portare se stesso o un utente al di sopra della parte dell'albero in gestione. Non tutte le operazioni sono disponibili con il Bridge: per esempio, è possibile disabilitare un utente attivo, ma non eliminarlo. Sarà l'amministratore a decidere se l'utente dovrà essere eliminato o trasferito.
Keeper può essere configurato dai clienti Keeper Business in modo tale da autenticarsi e accedere alla propria cassetta di sicurezza usando i prodotti di identità SAML 2.0. Keeper è un fornitore di servizi pre-configurato in tutti i principali SSO Identity Provider quali Google Apps, Microsoft Azure, Okta, Ping Identity e altri. Il meccanismo utilizzato da Keeper per l'autenticazione in un ambiente zero-knowledge è l'implementazione del software (in attesa di brevetto) Keeper SSO Connect™. Keeper SSO Connect è un applicazione software che gli amministratori di Keeper Business installano sulla propria infrastruttura (sia in locale che nel cloud) e che funge da endpoint per il fornitore di servizi SAML 2.0. Quando attivata su una particolare unità dell'organizzazione, Keeper SSO Connect gestisce tutte le chiavi di crittografia per gli utenti finali Keeper Business. Una volta avvenuta l'autenticazione nel provider di identità Single Sign-On aziendale, l'utente accede a Keeper con le chiavi di crittografia richieste per decrittografare la propria cassetta di sicurezza. Il software di Keeper SSO Connect è compatibile con gli ambienti Windows, Mac e Linux.
Per mantenere la sicurezza zero-knowledge e assicurare un'esperienza SSO senza intoppi per gli utenti, l'SSO Connect di Keeper deve essere installato sul server del cliente. Gli ambienti Windows, Mac e Linux sono supportati in modo completo grazie alle modalità operative di distribuzione del carico (load balancing) ad alta affidabilità (High Availability, HA).L'SSO Connect di Keeper genera e mantiene in automatico la password principale di ogni utente attivato, che è una chiave a 256 bit generata in modo casuale. Questa password principale viene crittografata con la chiave SSO, la quale a sua volta viene crittografata con la chiave dell'albero. La chiave SSO viene recuperata sul server all'avvio del servizio SSO Connect di Keeper, quindi decrittografata usando la chiave dell'albero, che è conservata a livello locale sul server per supportare l'avvio automatico del servizio. La comunicazione tra l'SSO Connect e la Cloud Security Vault di Keeper è protetta da una chiave di trasmissione.
KSI utilizza Amazon AWS in America del Nord e in Europa per la separazione geografica e la privacy dei dati locali al fine di ospitare e gestire Keeper e la sua architettura. KSI utilizza Amazon AWS per l'hosting e l'operatività della soluzione e dell'architettura Keeper. L'uso di Amazon AWS permette a Keeper di scalare in modo ottimale le risorse on-demand e fornire ai clienti l'ambiente di cloud storage più veloce e sicuro. KSI opera sia su ambienti multi-zona che su ambienti multi-regione per massimizzare i tempi di operatività e fornire il minor tempo di risposta ai clienti.
Per impedire l'accesso non autorizzato alle informazioni custodite, la Cloud Security Vault di Keeper deve autenticare ciascun utente durante la fase di trasmissione delle informazioni. L'autenticazione viene eseguita confrontando un hash, generato mediante l'algoritmo PBKDF2 dalla Password principale. Il dispositivo dell'utente utilizza l'algoritmo PBKDF2 per generare l'hash dalla Password principale e il server mette a confronto tale hash con un hash memorizzato.Utilizzando l'hash generato dall'algoritmo PBKDF2 al posto della Password principale, la Cloud Security Vault può autenticare l'utente senza richiedere la Password principale. Usando lo stesso algoritmo PBKDF2 per l'autenticazione eseguita per la crittografia delle informazioni, il massimo livello di protezione della Password principale è assicurato.
KSI supporta SSL a 256 bit e a 128 bit per la crittografia di tutti i trasferimenti di dati tra l'applicazione client e lo storage nel cloud di KSI. Si tratta dello stesso livello di crittografia utilizzato ogni giorno da milioni di singoli e aziende per le transazioni web sicure, come banking online, shopping online, scambi azionari, accesso a informazioni sanitarie e presentazione delle dichiarazioni fiscali. KSI implementa i certificati SSL/TLS firmati da Digicert utilizzando SHA2, l'algoritmo di firma più sicuro attualmente offerto dalle autorità di certificazione commerciali. SHA2 è notevolmente più sicuro del più diffuso SHA1, potenzialmente soggetto a exploit a causa di una debolezza matematica identificata nell'algoritmo. SHA2 aiuta a proteggervi dall'emissione di certificati contraffatti che potrebbero essere utilizzati da un utente malintenzionato per impersonare un sito web.KSI supporta inoltre Certificate Transparency (CT), una nuova iniziativa promossa da Google per creare un record verificabile pubblicamente dei certificati firmati dalle autorità di certificazione. CT rende più facile proteggersi dall'emissione di certificati da parte di soggetti non autorizzati. CT è attualmente supportato nelle versioni più recenti del browser web Chrome. Per ulteriori informazioni su Certificate Transparency è possibile collegarsi all'indirizzo: http://www.certificate-transparency.org/
I client nativi di Keeper implementano HTTP Public Key Pinning (HPKP), un meccanismo di sicurezza che consente ai siti Web HTTPS di resistere agli attacchi di impersonificazione che utilizzano certificati fraudolenti.
La funzione Touch ID dei dispositivi con iOS consente di accedere alla cassetta di sicurezza personale di Keeper utilizzando le impronte digitali. Per usufruire di questa comoda funzionalità viene conservata una versione indecifrabile della password principale nel portachiavi di iOS. Tale elemento, creato appositamente per questa funzionalità, non verrà sincronizzato con il portachiavi iCloud, pertanto non uscirà dal vostro dispositivo con iOS.Si consiglia di utilizzare una password principale complessa e di attivare l'autenticazione multifattoriale per la massima protezione della propria cassetta di sicurezza crittografata di Keeper. Grazie a Touch ID risulterà molto più comodo usare una password principale complessa sul dispositivo in uso. Si consiglia inoltre di impostare un codice di accesso più lungo dei 4 caratteri minimi richiesti per proteggere il portachiavi di iOS.Il portachiavi di iOS viene utilizzato dal sistema operativo e dalle app per la conservazione sicura delle credenziali. Le app lo utilizzano per archiviare una serie di informazioni sensibili, incluse password di siti Web, codici, numeri di carta di credito e informazioni di Apple Pay™. Keeper non utilizza il portachiavi di iOS per conservare le voci personali di Keeper, ma queste ultime vengono tutte conservate e protette nella cassetta di sicurezza di Keeper con crittografia AES a 256 bit, tecnica usata anche dal portachiavi di iOS con il codice di accesso del dispositivo. In caso di smarrimento o furto del dispositivo oppure accesso fisico non autorizzato da parte di altre persone, nessuna delle informazioni archiviate con Keeper sarà resa accessibile. Il portachiavi di iOS non può essere decrittografato senza il codice di accesso e la cassetta di sicurezza di Keeper non può esserlo senza la password principale dell'utente di Keeper.
La funzione Preferiti di Apple Watch consente di visualizzare le voci selezionate sull'Apple Watch associato. È necessario che la visualizzazione delle voci di Keeper sia stata esplicitamente abilitata su Apple Watch. Il dispositivo associato comunica con l'apposita estensione per orologio di Keeper che chiaramente viene eseguita in modo indipendente dall'app Keeper per iOS. L'estensione per orologio di Keeper utilizza inoltre il portachiavi di iOS per archiviare e accedere ai codici in modo protetto e consentire una comunicazione sicura e senza intoppi con l'app Keeper per iOS.
Keeper DNA è una funzionalità aggiuntiva nuova e innovativa dell'autenticazione multifattoriale. Insieme all'Apple Watch associato, Keeper DNA rappresenta un metodo di autenticazione multifattoriale unico a livello di comodità e sicurezza, in quanto utilizza token protetti conservati nella cassetta di sicurezza di Keeper per generare codici a tempo da usare per l'autenticazione multifattoriale. Tali richieste di autenticazione a tempo possono essere approvate e inviate automaticamente da Apple Watch con un semplice tocco sullo schermo dell'orologio oppure inserite manualmente dall'utente. I diversi livelli di crittografia, la funzione Touch ID e l'autenticazione multifattoriale contribuiscono a rendere Keeper DNA il metodo di autenticazione più elegante, sicuro e avanzato disponibile sul mercato.
BreachWatch is a secure add-on service which monitors the dark web for compromised credentials. Currently tracking over a billion known passwords, BreachWatch is continuously adding new information as breaches are discovered on the dark web. BreachWatch is a Zero Knowledge architecture that uses a number of layered techniques to protect our customer’s information. In summary:1. A secure, keyed, cryptographic hash function and anonymization are used to perform a comparison of passwords against a database of breached account information.2. Customer passwords are processed with a hardware security module (HSM) and a non-exportable secret key before being checked against breached passwords or stored on BreachWatch servers.3. Keeper customers interact with BreachWatch using anonymized BreachWatch IDs that are unlinked from other Keeper customer identifiers.4. BreachWatch separates usernames and passwords into separate services with distinct, anonymized IDs to unlink usernames and domains from passwords.5. BreachWatch customers never upload domain information; only downloading domains (the most secure way to perform private information retrieval).To build a secure service, Keeper split BreachWatch into three services; one each for checking domains, usernames, and passwords. Keeper client applications contact each of these backend services using an encrypted REST API.Domain CheckingBreachWatch customers download a list of domains that have been breached and perform the checking locally. Periodically, clients download updated lists of new domains as they are added to our BreachWatch service.Username and Password CheckingClient devices connect to BreachWatch servers and upload a list of hashed usernames (or passwords) along with a client-selected, random identifier (separate identifiers for the username- and password-checking services). These password hashes are processed on upload with HMAC using a hardware security module (HSM) and a secret key stored in the HSM marked as non-exportable (meaning the HSM will only process the HMAC locally and the key cannot be extracted). These HMAC’d inputs (usernames or passwords) are compared against the breach datasets which have been processed with the same HMAC and key. Any matches are reported to the client device. Any values that don’t match are stored alongside the client’s anonymized ID.As new breached usernames and passwords are added to the system, they are processed with HMAC on the HSM, added to the BreachWatch dataset, and compared against the stored client values. Any matches queue a message for that client ID.Clients check-in periodically to BreachWatch and present their BreachWatch IDs. Any queued messages are downloaded and clients upload any new or changed usernames and passwords which are processed the same way.Security of the BreachWatch services is trust-on-first-use (TOFU). That is, clients must assume that the BreachWatch server is not malicious (that is, not actively compromised by an attacker) when the client uploads their hashed values. Once these values are processed with an HSM they are secured against offline cracking attempts. In other words, if an attacker steals the dataset of stored client values, she cannot crack those values offline without the HMAC key stored in the HSM.
Le voci presenti nella cassetta di sicurezza del cliente vengono protette utilizzando operazioni di controllo interne severe e severamente monitorate. Keeper ha ottenuto certificazioni per i report SOC 2 di tipo 2 in conformità con lo standard AICPA per il reporting sui controlli alle organizzazioni che forniscono servizi. La certificazione SOC2 contribuisce a garantire che la cassetta di sicurezza sia sempre al sicuro tramite l'implementazione di controlli standardizzati previsti dallo standard AICPA per i principi sui servizi di affidabilità.
Keeper si è adeguata al GDPR e si impegna a garantire ai suoi clienti nell'Unione Europea che le procedure aziendali adottate e i suoi prodotti continuino a essere conformi. Fare clic qui per maggiori informazioni sulla conformità di Keeper al GDPR e scaricare gli accordi sul trattamento dei dati.
Il software di Keeper è conforme agli standard globali sulla protezione delle informazioni medico-sanitarie, che comprendono, senza limitazioni, la normativa statunitense HIPAA (Health Insurance Portability and Accountability Act) e la legge sulla protezione dei dati (Data Protection Act o DPA).
Keeper effettua dei test di penetrazione periodici su tutti i prodotti e sistemi con degli esperti esterni tra cui Secarma, Rhino Security e dei ricercatori sulla sicurezza indipendenti. Inoltre Keeper ha stretto accordi di collaborazione con Bugcrowd per gestire il proprio programma di divulgazione delle vulnerabilità (VDP, vulnerability disclosure program).
KSI viene testato quotidianamente da McAfee Secure per garantire che l'applicazione Web di Keeper e il Cloud Security Vault di KSI siano protetti da exploit remoti, vulnerabilità e attacchi denial-of-service noti. I badge McAfee Secure sul sito Web di Keeper garantiscono lo svolgimento di test giornalieri del sito Web di Keeper, dell'applicazione Web, e del Cloud Security Vault.Una scansione di sicurezza esterna completa viene eseguita mensilmente sul sito Web di Keeper, sull'applicazione Web e sul Cloud Security Vault di Keeper da parte di Trustwave. Il personale di Keeper svolge periodicamente scansioni esterne on-demand tramite Trustwave. Lo staff di Keeper avvia periodicamente scansioni esterne su richiesta tramite Trustwave.
KSI utilizza PayPal Payments Pro per elaborare in modo sicuro i pagamenti tramite carta di credito e di debito dal sito Web di pagamento KSI. PayPal Payments Pro è una soluzione di elaborazione delle transazioni conforme allo standard PCI-DSS.KSI ha conseguito la certificazione di conformità PCI-DSS da Trustwave.
Il Web client, l'App per Android, l'App per Windows Phone, l'App per iPhone/iPad e le estensioni per browser di Keeper hanno conseguito la certificazione di conformità con il programma EU-U.S. Safe Harbor dell'U.S. Department of Commerce, soddisfacendo i requisiti della direttiva della Commissione Europea in materia di protezione dei dati.Per ulteriori informazioni sul programma EU-U.S. Safe Harbor dell'U.S. Department of Commerce, vedere http://export.gov/safeharbor/index.asp
Keeper è certificato dall'U. S. Department of Commerce Bureau of Industry and Security nell'ambito dell'Export Commodity Classification Control numero 5D992, in conformità con le normative Export Administration Regulations (EAR). Per saperne di più su EAR: http://www.bis.doc.gov
Keeper è monitorato 24 ore al giorno, sette giorni alla settimana, tutto l'anno da un network esterno globale che assicura che il nostro sito internet e la nostra Cloud Security Vault siano disponibili in tutto il mondo.Se hai domande a proposito di questa comunicazione di sicurezza, non esitare a contattattarci.
Se ricevi un messaggio e-mail che dichiara di essere stato inviato da KSI e non sei sicuro che sia legittimo, potrebbe trattarsi di un'"e-mail di phishing", nella quale l'indirizzo e-mail del mittente è stato falsificato o "spoofed". In questo caso, un'e-mail potrebbe contenere dei link a un sito Web identico a KeeperSecurity.com ma che non è il nostro sito. Il sito Web potrebbe richiedere l'inserimento della tua password principale di Keeper Security o tentare di installare software indesiderati sul tuo computer nel tentativo di rubare informazioni personali o ottenere l'accesso al tuo computer. Altre e-mail contengono dei link che potrebbero reindirizzarti ad altri siti Web potenzialmente pericolosi. Il messaggio può inoltre comprendere degli allegati, solitamente contenenti software indesiderati chiamati "malware". In caso di dubbi sulla provenienza di un'e-mail ricevuta nella casella di posta in arrivo, eliminala senza fare clic su alcun link o aprire eventuali allegati.Se vuoi segnalare un'e-mail che ritieni sia stata falsificata in modo da farla apparire come se fosse stata inviata da KSI o in caso di altri dubbi sulla sicurezza che coinvolgono altri aspetti relativi a KSI, contattaci.
Il sito Web di Keeper e il cloud storage sono compatibili con l'infrastruttura di cloud computing Amazon Web Services (AWS). L'infrastruttura cloud AWS che ospita l'architettura del sistema di Keeper ha ottenuto la certificazione di conformità con i seguenti attestati, rapporti e certificazioni di terze parti:
Keeper Security si impegna ad applicare le migliori strategie del settore per una divulgazione responsabile dei potenziali problemi relativi alla sicurezza. Noi di KSI prendiamo molto seriamente la vostra sicurezza e la vostra riservatezza e ci impegniamo a proteggere la privacy e i dati personali dei nostri clienti. La missione di KSI è quella di realizzare le app sulla sicurezza più sicure e innovative del mondo ed è convinta che la segnalazione dei problemi da parte di tutti i ricercatori della comunità mondiale sulla sicurezza sia un fattore prezioso per garantire la sicurezza dei prodotti e dei servizi offerti da KSI.
Proteggere i nostri clienti è il valore principale della nostra azienda. Per noi è importante il contributo dei cosiddetti "hacker etici" e crediamo che coltivare con costanza una relazione con la community degli hacker possa aiutarci a garantire la sicurezza e la privacy dei nostri clienti e a rendere Internet un luogo più sicuro. Ciò include l'incoraggiamento a effettuare test di sicurezza responsabili e a divulgare le vulnerabilità della sicurezza.
La Politica di divulgazione delle vulnerabilità di Keeper stabilisce cosa aspettarsi quando si lavora con hacker etici nonché cosa aspettarsi da noi di Keeper Security.
Se il testing e le segnalazioni sulla sicurezza vengono effettuati secondo le linee guida di tale politica, noi di KSI:
Se in qualsiasi momento avete dubbi o incertezze sul test secondo un metodo coerente con le linee guide e l'ambito di applicazione di tale politica, contattateci all'indirizzo security@keepersecurity.com prima di procedere.
Per incoraggiare il testing etico sulla sicurezza e la divulgazione delle vulnerabilità scoperte, vi chiediamo di:
Keeper ha instaurato una partnership con Bugcrowd per la gestione del nostro programma di divulgazione delle vulnerabilità. Inviate le segnalazioni tramite [https://bugcrowd.com/keepersecurity].
Keeper Security utilizza i cookie per conservare e monitorare le informazioni sull'utilizzo dei nostri servizi da parte degli utenti al fine di offrire una migliore fruizione del sito Web. Tali informazioni possono anche essere condivise, in forma aggregata, con inserzionisti, società affiliate e partner. Per sapere di più
Per usare la chat dal vivo è necessario abilitare i cookie.