Pues no está mal, resuelven bastante bien el problema de cifrar los datos en el servidor, que siempre es motivo de duda y sospecha. ¿ Son gente maja ? ¿ Están seguras en sus manos mis contraseñas de sitios para adultos ?.

Pues parece que sí, aunque es un sí al estilo informático, rodeado de muchos depende, pero es que tampoco conozco otro tipo de sí que dar respecto a una aplicación. Y digo que sí porque los datos se cifran en el navegador usando protocolos de seguridad conocidos (SRP, AES, SHA2, ECC y Fortuna, puede ampliarse la información aquí) y, por tanto, sólidos, y se transportan vía conexiones seguras como bloques de bits hasta el servidor, que se encarga de almacenarlos. Ellos llaman a esto conocimiento cero porque el servidor no sabe ni cuál es el usuario con el que está trabajando.

Los creadores del programa se movieron mucho durante los primeros meses de vida del servicio, allá por el año 2007, y contestaron en un buen número de bitácoras y páginas sobre tecnología donde aparecían referencias a ellos.

De una de sus intervenciones obtengo una explicación muy sencilla cómo funciona el invento:

1. Los datos se cifran en el navegador y se envían cifrados como simples bloques de datos al servidor, el cuál se limita a almacenarlos.
2. La clave de cifrado no se guarda en parte alguna, se debe conocer para poder tener acceso a los datos, de igual forma que el cifrado de carpetas de usuario que ahora incluyen distribuciones como Ubuntu.
3. Todo el sistema se puede instalar en nuestro propio servidor.
4. El programa consiste en su mayor parte en una enorme aplicación javascript.
5. El código javascript puede verificarse y comprobar que no ha sido alterado antes de usarlo; al menos eso es lo que afirman los creadores y no lo pongo en duda, sé que técnicamente es factible, pero no es algo que esté al alcance de cualquier usuario.
6. Incluye varias herramientas útiles:
   1. Generador de contraseñas seguras (aunque casi imposibles de recordar).
   2. Gestión de contraseñas de acceso a la cuenta de un solo uso.
   3. Copia directa de los datos para poder usar una versión offline y que funciona igualmente (comprobado).
   4. Copia para imprimir que puede uno llevarse fácilmente a algún sitio.
   5. Exportación en formato JSON para traslados cómodos entre cuentas y servidores Clipperz.
7. Se puede bloquear la sesión con una opción directa y sencilla.

Esta es un ejemplo de una dirección ficticia que he introducido:

Aspectos a tener en cuenta son:

1. La clave debe ser buena de verdad y no se debe olvidar. Sin clave no hay datos^[1].
2. La ejecución del programa vía Javascript puede ralentizarse mucho si el motor de ejecución es malillo.
3. No es tan cómodo como los gestores de contraseñas integrados en algunos navegadores, incluyendo Firefox y algunas extensiones, y eso conlleva algunas dificultades en su adopción.
4. No admite añadir archivos por lo que cosas como la tarjeta de códigos de los bancos que está tan de moda ahora sería difícil de almacenar. Es algo que no he mirado en profundidad, lo admito, pero no tiene pinta de ser sencillo.

Y otro detalle más es que te dan bastante información cuando te registras en el sistema; sirva esta pantalla de muestra:

Muy visual.