WQR
Sigurnost

Server kao štit

Ova stranica objašnjava ulogu našeg servera običnim jezikom: što može, što ne može, zašto postoji ovaj tradeoff i što se događa u worst-case scenarijima.

01

Server kao štit

WQR koristi server kao sigurnosni sloj — ne kao spremište trezora.

WQR koristi server kao sigurnosni sloj — ne kao mjesto gdje se sprema tvoj trezor.

Većina password managera bira jednu od dvije krajnosti:

  • Samo offline otključavanje: odlična neovisnost i privatnost, ali ako netko ukrade/kopira datoteke tvog trezora, može pokušavati lozinke offline punom brzinom.
  • Cloud spremanje trezora: praktičan sync, ali vjeruješ cloud vault bazi (velika meta) s kopijom tvog šifriranog trezora.

WQR ide drugačijim putem:

  • Tvoj trezor ostaje na uređaju (spremljen kao šifrirane WQR datoteke).
  • Otključavanje je zaštićeno online (server-gated), pa se offline brute-force u velikom mjerilu blokira.
  • Čitljiv tekst (plaintext) nikad ne napušta tvoj uređaj.

Ovaj dizajn je oko jedne stvari: smanjiti rizik kad stvari pođu po zlu (ukradene datoteke, kopirani backupi, malware koji pokušava offline pogađati lozinke) bez toga da tvoj trezor postane „nečiji tuđi pohranjeni podaci“.

02

Zašto server-štit postoji

Jer je offline brute-force najgori scenarij kad datoteke trezora procure.

Kad je password manager potpuno offline, procurjela datoteka trezora može se napadati offline punom brzinom. Napadači ne moraju pričati ni s kim — mogu pogađati lozinke koliko im hardver dopušta.

WQR namjerno radi otključavanje kao server-gated korak. To znači da se kopirani trezor ne može brute-forceati u velikom mjerilu bez prolaska kroz online gate.

To omogućuje nekoliko praktičnih obrana:

  • Rate limits koji dramatično usporavaju pogađanje
  • Detekcija zloupotrebe koja može zaustaviti automatizirane obrasce
  • Emergency lock-down prekidač tijekom pravih incidenata

I temeljno pravilo ostaje isto: server i dalje ne dobiva tvoj plaintext, a tvoja master lozinka i dalje nikad ne napušta uređaj.

03

Što server MOŽE

Ovo su zaštite koje server dodaje — bez potrebe za tvojim plaintextom.

1) Ograničiti pokušaje otključavanja (rate-limit)

Server može usporiti ili blokirati ponovljene pokušaje otključavanja. To brute-force čini puno težim jer napadači ne mogu vrtjeti neograničene pokušaje punom brzinom.

2) Prepoznati obrasce zloupotrebe

Server može uočiti sumnjive obrasce zahtjeva (npr. automatizirane pokušaje s mnogo IP adresa) i brzo ih zaustaviti.

3) Hitno gašenje / lock-down

Ako nešto izgleda sumnjivo, možemo privremeno blokirati otključavanje. Zvuči naporno — ali blokira i napadače. To je pravi sigurnosni prekidač za prave incidente.

4) Rotirati server-side tajnu za hardening (pepper)

Ako posumnjamo da je server-side tajna možda izložena, možemo je brzo rotirati kako bismo ograničili incident i smanjili prednost napadača.

5) Server-asistirani hardening (unsealing korak)

Otključavanje zahtijeva server korak koji se ne može odraditi offline. Ako netko ukrade datoteke tvog trezora, i dalje ne može dovršiti unlock flow bez servera.

6) Vratiti samo minimalno potreban odgovor

Posao servera je vratiti samo ono što uređaju treba da nastavi dekripciju lokalno — i samo za trajanje tog zahtjeva.

7) Ne spremati trezor

Ne spremamo tvoj trezor na našim serverima. Ne postoji cloud vault baza koja negdje čeka da bude kopirana.

04

Što server NE MOŽE

Jasne granice: postoje stvari koje jednostavno ne može, po dizajnu.

Ne može pročitati tvoje lozinke

Na server se ne šalje plaintext.

Ne može oporaviti tvoju master lozinku

Tvoja master lozinka nikad ne napušta tvoj uređaj.

Ne može rekonstruirati tvoj trezor sam

Datoteke tvog trezora su spremljene lokalno, ne na serveru.

Ne može izvesti tvoje tajne

Server ne posjeduje plaintext, pa ne može izvesti tvoje dešifrirane tajne.

Ne može resetirati tvoje tajne umjesto tebe

Ako izgubiš svoje master lozinke, mi ne možemo oporaviti tvoje tajne. (Možemo pomoći oko pristupa računu i podrške, ali ne možemo poništiti enkripciju.)

05

Prijetnje protiv kojih ovo pomaže (i protiv kojih ne)

Budimo iskreni o snagama i ograničenjima.

Ovo pomaže kod

  • Ukradene datoteke trezora / kopirani backupi: offline brute-force u velikom mjerilu je blokiran jer je otključavanje server-gated.
  • Credential stuffing na tvom računu: rate-limits i detekcija zloupotrebe mogu usporiti/zaustaviti automatizirane napade.
  • Malware koji pokušava ponavljati pogađanja: server gate dodaje drugu prepreku uz master lozinku.
  • Reakcija na incidente: emergency lock-down i rotacija peppera smanjuju blast radius.

Ovo NE rješava magično

  • Kompromitiran uređaj dok je otključan: ako je uređaj zaražen i aplikacija otključana, napadač i dalje može pokušati ukrasti ono što otkriješ.
  • Gledanje preko ramena / screenshotovi: možemo smanjiti izloženost, ali ti i dalje trebaju dobre navike.
  • Social engineering: nijedan sustav te ne može potpuno spriječiti da te netko prevari da otkriješ tajne.
06

Zašto ovo nije isto što i cloud spremanje trezora

Server-asistirana sigurnost nije isto što i „mi spremamo tvoj trezor“.

Fer pitanje: „Ako je za otključavanje potreban vaš server, nije li to praktički isto kao da spremate moj trezor negdje drugdje?“

Ne — i evo razlike:

  • Cloud spremanje trezora znači da postoji spremljena kopija tvog šifriranog trezora na nepoznatom mjestu (cloud baza, object storage, backupi itd.).
  • Server kao štit znači da tvoj trezor ostaje na uređaju, a server pomaže samo u kratkotrajnom sigurnosnom koraku tijekom otključavanja.

Drugim riječima: ne pokušavamo posjedovati tvoje podatke. Pokušavamo otežati offline krađu i offline pogađanje.

07

Worst-case scenariji

Što se događa kad stvari pođu po zlu — bez marketing šećera.

Što ako je server nedostupan?

Pohrana i dalje radi (tvoj trezor je na uređaju). Otključavanje ne. Ako je server nedostupan, ne možeš dovršiti unlock flow. To je tradeoff server-gated dizajna.

Što ako je server hakiran?

Kompromitacija servera je ozbiljna — ali to nije automatski game over. Server i dalje nema tvoj plaintext niti master lozinku. Napadaču bi i dalje trebala tvoja master lozinka po tajni, a otključavanje je i dalje server-gated i rate-limited.

Tijekom incidenta server može ući u lock-down i rotirati server-side hardening secret (pepper) kako bi se ograničila šteta.

Što ako su kompromitirani i uređaj i server?

Ako napadač ima otključan tvoj uređaj i uz to ima pristup serveru, to je scenarij vrlo visokog rizika. Cilj WQR-a je smanjiti broj realnih puteva do toga i ograničiti koliko se može automatski izvući.

08

Politika logiranja (što spremamo, a što ne)

Minimalni operativni logovi, bez plaintexta, bez sadržaja WQR payloada.

Možemo zadržati minimalne operativne logove, kao što su:

  • Vremenske oznake zahtjeva
  • Kodovi grešaka / signali zloupotrebe
  • Brojači rate-limita
  • Osnovne metrike zdravlja servisa

NE logiramo:

  • Plaintext tajne
  • Dešifrirane lozinke
  • Sadržaj tvojih WQR payloada

(Točni periodi zadržavanja i detalji spadaju na stranicu Transparentnosti.)

09

Iskreno obećanje

Jasna obećanja, jasni tradeoffi, bez magičnih tvrdnji.

  • Tvoj trezor ostaje lokalno. Ne spremamo ga kao cloud database asset.
  • Čitljiv tekst (plaintext) nikad ne napušta tvoj uređaj. Ne pri otključavanju, ne pri dijeljenju, ne u logovima.
  • Otključavanje je server-gated. To poboljšava otpornost na brute-force, ali downtime utječe na otključavanje.
  • Ako zaboraviš master lozinku, ne možemo oporaviti tvoje tajne. To je cijena prave enkripcije.

Ako imaš pitanja, radije ćemo odgovoriti iskreno nego se skrivati iza maglovitih fraza. Pogledaj Q&A stranicu i slobodno nam se javi preko e-mail adrese na webu.

Related: Encryption Flow · Unlock Flow · Security Center · FAQ