Security & Threat Model

Questa pagina descrive in modo trasparente le scelte di sicurezza di OneCritto, il modello di minaccia adottato e cosa il software protegge (e cosa no).

L’obiettivo non è promettere sicurezza assoluta, ma rendere il rischio comprensibile e verificabile.

Modello di sicurezza

OneCritto è un password manager offline e zero-knowledge.

Questo significa che:

  • i dati sono memorizzati solo localmente
  • non esistono server di backend
  • non esiste sincronizzazione remota
  • non esistono account online
  • non viene raccolta alcuna telemetria

La sicurezza non dipende da infrastrutture esterne, ma esclusivamente dal dispositivo e dalla master password dell’utente.

Modello di minaccia (Threat Model)

OneCritto è progettato per proteggere i dati da:

  • accesso non autorizzato al file del vault
  • furto del dispositivo (a dispositivo spento o bloccato)
  • malware che non abbia accesso al vault mentre è sbloccato
  • attacchi remoti tramite rete o cloud
  • compromissione di servizi di terze parti

OneCritto riduce la superficie di attacco eliminando completamente:

  • backend remoti
  • API di sincronizzazione
  • account di recupero
  • dipendenze cloud

Cosa OneCritto non può proteggere

Nessun sistema può proteggere da tutto. OneCritto non può difendere da:

  • un sistema operativo già compromesso
  • malware con accesso al vault mentre è sbloccato
  • keylogger attivi sul dispositivo
  • perdita della master password senza backup
  • accesso fisico al dispositivo con vault già sbloccato

Per questo motivo OneCritto assume che:

  • il sistema operativo sia ragionevolmente affidabile
  • l’utente protegga il proprio dispositivo
  • la master password sia forte e mantenuta segreta

Crittografia e protezione dei dati

Le scelte di OneCritto seguono principi consolidati:

  • cifratura dei dati a riposo
  • derivazione della chiave a partire dalla master password
  • assenza di segreti hard-coded
  • nessuna chiave salvata in chiaro

La master password:

  • non viene mai memorizzata
  • non viene mai trasmessa
  • non è recuperabile

Senza la master password corretta, il vault è crittograficamente inutilizzabile.

Zero-knowledge, in pratica

“Zero-knowledge” in OneCritto non è uno slogan. Significa che:

  • nessuno può accedere ai dati al posto dell’utente
  • non esistono meccanismi di recupero remoto
  • non esiste supporto tecnico in grado di sbloccare un vault
  • non esiste alcuna copia dei segreti fuori dal dispositivo

Questo comporta massima riservatezza, ma anche responsabilità diretta dell’utente.

Backup e responsabilità dell’utente

Essendo un sistema offline:

  • la sicurezza dei backup è responsabilità dell’utente
  • la protezione della master password è fondamentale
  • la perdita combinata di vault e master password comporta perdita definitiva dei dati

OneCritto non introduce scorciatoie che riducano la sicurezza per “comodità”.

Trasparenza e limiti

OneCritto non promette:

  • sicurezza assoluta
  • invulnerabilità
  • protezione da sistemi già compromessi

Promette invece:

  • un modello semplice e verificabile
  • una superficie di attacco ridotta
  • assenza di intermediari
  • controllo diretto da parte dell’utente

In sintesi

OneCritto è progettato per chi preferisce:

  • capire il rischio
  • accettare responsabilità reali
  • ridurre le dipendenze
  • eliminare il cloud quando non necessario

La sicurezza non è una funzione. È una scelta architetturale.