Privacy e sicurezza dei dati
Zoho Vault sfrutta l'hosting a prova di host: un meccanismo sicuro e collaudato, ampiamente accettato dopo test approfonditi da parte di esperti della sicurezza. L'hosting a prova di host si basa sull'idea di ospitare dati sensibili in forma crittografata, in modo che i client possano accedervi e gestirli solo fornendo una password master, che non viene mai trasmessa al server. Il server si limita a memorizzare e recuperare i dati crittografati inviati dal browser e non accede mai effettivamente ai dati sensibili nella forma normale. Tutte le operazioni di crittografia e decrittografia avvengono sul lato client (browser).
Tutte le password e gli altri dati sensibili che gli utenti memorizzano in Zoho Vault rimangono completamente privati e possono essere visualizzati solo dai rispettivi utenti. Tutti i dati utente vengono crittografati e decrittografati nel browser con la password master di Zoho Vault dell'utente, e solo i dati crittografati vengono memorizzati nei server di Zoho. La password master dell'utente non viene mai memorizzata da Zoho Vault, il che significa che anche Zoho non può accedere in alcun caso ai tuoi dati.
Connessione sicura
Come menzionato in precedenza, solo i dati crittografati (AES a 256 bit) vengono inviati tramite Internet. Per tutte le connessioni ai nostri server, imponiamo l'utilizzo del protocollo crittografico Transport Layer Security (TLS 1.2/1.3) con chiavi di crittografia complessa.
A prova di vulnerabilità
- Zoho Vault è stato testato in modo completo ed è a prova di XSS (Cross-Site Scripting), SQL injection e altre vulnerabilità.
- Tutti i dati di input sono convalidati.
Condivisione sicura delle password
Zoho Vault ti consente di condividere le password in modo sicuro tra i membri fidati della tua organizzazione. Il processo di condivisione è stato progettato per rispettare i più alti livelli di sicurezza delle informazioni e standard sulla privacy.
Il processo di condivisione sfrutta sia l'hosting a prova di host che la crittografia RSA. Le chiavi pubbliche e private RSA vengono generate per ciascun utente della tua organizzazione. Per avviare il processo di condivisione, l'amministratore dell'organizzazione e gli utenti utilizzano l'handshaking in un processo unico. Durante l'handshaking, le chiavi vengono condivise tra l'amministratore e gli utenti. L'intero processo avviene in background, senza la necessità di alcuna azione manuale. Se ti interessa l'aspetto tecnico, di seguito trovi i dettagli dell'intero processo.
Passaggio 1
Quando l'amministratore dell'organizzazione si registra su Zoho Vault, per lui viene generata una coppia di chiavi RSA, una pubblica e una privata, e una chiave dell'organizzazione (Org Key). La chiave dell'organizzazione è una chiave AES a 256 bit, univoca per ogni organizzazione. La chiave privata dell'amministratore dell'organizzazione è crittografata utilizzando la password master di quest'ultimo e memorizzata nel database di Zoho Vault. Allo stesso modo, anche la chiave dell'organizzazione è crittografata utilizzando la chiave pubblica RSA dell'amministratore dell'organizzazione e memorizzata nel database. Zoho Vault memorizza solo le chiavi crittografate della chiave privata dell'amministratore dell'organizzazione e della chiave dell'organizzazione. Come per il modello di hosting a prova di host, la password master dell'amministratore dell'organizzazione non è memorizzata in alcun punto del server. Rimane solo all'amministratore dell'organizzazione.
Passaggio 2
Quando gli utenti dell'organizzazione si registrano su Zoho Vault, per ognuno di loro viene generata una coppia di chiavi RSA, una pubblica e una privata. La chiave privata dell'utente è crittografata con la password master di quest'ultimo e memorizzata nel database di Zoho Vault.
Passaggio 3
Quando l'amministratore dell'organizzazione utilizza l'handshaking con l'utente dell'organizzazione, la chiave dell'organizzazione crittografata memorizzata nel database viene recuperata e decrittografata utilizzando la chiave privata dell'amministratore dell'organizzazione. Quindi, la chiave dell'organizzazione viene crittografata utilizzando la chiave pubblica RSA dell'utente e questa nuova chiave dell'organizzazione crittografata viene condivisa con l'utente e memorizzata nel suo spazio nel database. Questo processo viene eseguito per ogni utente di Zoho Vault.
Passaggio 4
Quando l'utente tenta di condividere una password, la chiave privata dell'utente, memorizzata in forma crittografata nel database, viene recuperata e decrittografata tramite la password master dell'utente. Viene quindi recuperata la chiave dell'organizzazione crittografata condivisa dall'amministratore con l'utente. La chiave dell'organizzazione crittografata viene decrittografata utilizzando la chiave privata dell'utente. Quindi, la password che verrà condivisa è crittografata utilizzando la chiave dell'organizzazione.
Condivisione delle password - Flusso di eventi
Vediamo un esempio. Supponiamo che l'utente Giovanni sia l'amministratore dell'organizzazione e che voglia condividere una delle sue password esistenti, ad esempio, con altri cinque utenti dell'organizzazione, che chiameremo Maria, Giacomo, Tania, Roberto e Amanda.
- Poiché la password condivisa è di proprietà di Giovanni, essa viene memorizzata in Zoho Vault dopo essere stata crittografata utilizzando la sua password master.
- Quando viene avviata la condivisione, la password viene decrittografata utilizzando la password master di Giovanni.
- Quindi, la password viene crittografata utilizzando la chiave dell'organizzazione e memorizzata nel database.
- Giovanni ora condivide questa password con tutti e cinque gli utenti. Internamente, la password, che è stata crittografata utilizzando la chiave dell'organizzazione, è associata a Maria, Giacomo, Tania, Roberto e Amanda.
In che modo gli utenti recuperano la password?
- Gli utenti decrittografano le rispettive chiavi private RSA utilizzando le rispettive password master.
- Quindi, gli utenti decrittografano la chiave dell'organizzazione crittografata utilizzando le rispettive chiavi private RSA (ottenute nel passaggio precedente).
- L'utente recupera la password utilizzando la chiave dell'organizzazione.
Cosa succede quando una password condivisa viene modificata?
Supponiamo che Maria modifichi la password condivisa.
- La password condivisa viene decrittografata utilizzando la chiave dell'organizzazione e visualizzata.
- La nuova password è crittografata utilizzando la chiave dell'organizzazione e aggiornata nel database.
Nota importante:
La chiave dell'organizzazione utilizzata per la crittografia e la decrittografia delle password condivise risiede nel browser quando le password vengono condivise nell'organizzazione. Un utente esperto di tecnologia può recuperare la chiave dell'organizzazione dopo aver effettuato l'accesso a Zoho Vault. Tuttavia, la chiave può essere utilizzata solo quando il titolare accede al database di Zoho Vault. Poiché i data center di Zoho seguono protocolli di sicurezza all'avanguardia, si tratta di un'impresa quasi impossibile. Persino per Zoho non è possibile accedere alla chiave dell'organizzazione, dal momento che Zoho Vault utilizza l'hosting a prova di host.
Criteri di sicurezza di Zoho
milioni di utenti si affidano alle app di Zoho
Con più di milioni di utenti in tutto il mondo che accedono ai servizi di Zoho, singoli individui e organizzazioni si affidano alla sicurezza e alla protezione dei dati di Zoho per soddisfare le loro esigenze. Prendiamo molto sul serio la sicurezza e abbiamo sviluppato una serie completa di pratiche, tecnologie e criteri per contribuire a garantire la sicurezza dei tuoi dati. Per informazioni dettagliate sulla nostra strategia inerente alla sicurezza, consulta i criteri di sicurezza di Zoho.
Ottieni una sicurezza completa per le tue password
Zoho Vault è una soluzione sicura per la gestione delle password per aziende e privati.