Nie mogę po prostu zrozumieć, w jaki sposób korzystanie z LastPass jest bezpieczne. Atakujący musi jedynie złamać jedno konto LastPass, a następnie skompromitował wszystkie inne strony internetowe.
Co jest takiego dobrego w porównaniu z tradycyjnym podejściem do posiadania oddzielnych kont dla każdej witryny?
Czy naprawdę lepiej jest mieć jedno silne hasło główne, silne hasła specyficzne dla witryny, do których można uzyskać dostęp za pomocą hasła głównego, niż mieć słabsze hasła, ale inne na wszystkich stronach internetowych?
Odpowiedzi:
Oprócz umożliwienia tworzenia unikalnych, złożonych haseł dla każdej witryny, oferujemy również bezpłatne uwierzytelnianie drugiego czynnika: Siatka . Dlatego nazwa użytkownika i hasło nie wystarczą, aby uzyskać dostęp do danych, gdy używana jest siatka.
Ponadto twoje hasła nie są przechowywane w menedżerach haseł Firefoksa lub IE, które są ogólnie niezabezpieczone (wystarczy uruchomić nasz instalator i zobaczyć, jak możemy pobrać wszystkie hasła).
Jeśli chodzi o przechowywanie w chmurze, wszystko jest szyfrowane lokalnie, zanim zostanie wysłane na serwer, a Twój klucz nigdy nie zostanie do nas przesłany. Możesz przeczytać więcej o tym, jak zapewniamy ci bezpieczeństwo na stronie technologii w naszej witrynie.
źródło
Nie uważam LastPass za szczególnie bezpieczny (jak wszystko, co jest przechowywane „w chmurze”), zdecydowanie wolę lokalne rozwiązanie (na przykład KeePass ). Wygoda posiadania dostępu online do danych logowania odbywa się za niedopuszczalną cenę (przynajmniej dla starych paranoików).
źródło
To, co sprawia, że jest bezpieczne, to po prostu, że nie mogą nikomu powiedzieć, jakie są twoje hasła, nawet z pistoletem w głowę. Nawet podczas korzystania z interfejsu internetowego hasła są szyfrowane lokalnie przed przesłaniem.
Tak, to prawda, że zapewnia „pojedynczy punkt awarii”, chyba że używana jest Siatka. Jednak możesz mieć absurdalnie silne hasło główne - kogo to obchodzi, jeśli musisz wpisać hasło o długości 100 znaków, jeśli robisz to tylko raz dziennie? A ponieważ zapisuje twoje „hasła podrzędne”, możesz mieć je silniejsze niż zwykle.
Kolejną zaletą jest to, że większość ludzi nie będzie mieć różnych haseł dla każdej strony internetowej (lub będzie miała wzór), a LastPass pozwala to porzucić. Tak więc, zanim każda strona, na której byłeś, była potencjalnym punktem wejścia do wszystkich innych stron, na których byłeś, teraz jest tylko twoje konto LastPass. Złamanie dowolnego „hasła podrzędnego” nie daje atakującemu żadnych dodatkowych informacji.
Jest to przydatne, ponieważ nie masz pojęcia, czy witryny, na których jesteś, szyfrują hasło, czy je solą. Mógłbym wymienić witrynę z 11 milionami użytkowników, która przechowuje hasła niezaszyfrowane w swojej bazie danych.
Wreszcie LastPass oferuje funkcje, takie jak hasła jednorazowe do uzyskiwania dostępu do haseł w niewiarygodnych lokalizacjach, które chronią twoje konto przed nawet najbardziej zaawansowanymi keyloggerami.
źródło
Właśnie rzuciłem okiem na ich stronę - myślę, że twoje punkty są poprawne ... Jeśli ktoś złamie tam twoje hasło, ma wszystkie twoje hasła - po prostu łączy kilka funkcji z kilku programów w jeden program.
Patrząc tam, nic nie sprawia, że myślę, że jest „bezpieczniejsze” niż posiadanie oddzielnych haseł do różnych witryn - tak jak i tak będzie ... Ostatnia przepustka po prostu ułatwia zarządzanie.
źródło
Pomocne może być poznanie Steve'a Gibsona (znanego z Security Now! ) W LastPass w podcastu :
W swoich ponad 600 odcinkach bezpieczeństwa Gibson często przypomina słuchaczom, że najlepsze hasła są bełkotliwe i długie. W tym konkretnym podcastu mówi
źródło
Żadne narzędzie do przechowywania haseł online nie może zapewnić bezpieczeństwa. Twierdzą, że mechanizm przechowywania haseł proof proof ukrywa hasła przed hostem i tylko strona kliencka zna klucz i odszyfrowaną formę.
Ale następujący post na blogu pokazuje wadę tego twierdzenia:
Jednym z powodów, dla których nie możemy ufać przechowywaniu haseł online
źródło
Korzystając z LastPass z wtyczką Chrome byłem w stanie wyciągnąć hasło, przechodząc do strony logowania, wypełniając hasło i wprowadzając następujące dane w konsoli (naciśnij F12).
Ma to miejsce przy uwierzytelnianiu dwuskładnikowym i włączonej opcji „Wymagaj hasła głównego, aby pokazać / skopiować hasło”. Zgaduję, że automatyzacja tego nie byłaby trudna, co oznacza, że hasła można łatwo wyciągnąć z LastPass, podobnie jak inne przechowywanie haseł, co jest sprzeczne z tym, co twierdzi „Bob z LastPass”.
Sądzę, że LastPass jest uważany za lepszy niż ręczne zarządzanie hasłami przez ekspertów ds. Bezpieczeństwa, takich jak Steve Gibson, po prostu dlatego, że ryzyko naruszenia bezpieczeństwa przez słabe / ponownie użyte hasło lub przez ogólny keylogger jest większe niż ryzyko złośliwego oprogramowania, które specjalnie atakuje LastPass. Nadal używałbym go tylko do witryn, które mogę sobie pozwolić na utratę, a nigdy do bankowości / podstawowej poczty e-mail / Dropbox itp.
Menedżer haseł wymagający uwierzytelnienia dwuskładnikowego dla każdego hasła pobranego z serwera (LastPass wymaga go tylko przy pierwszym logowaniu) ograniczy uszkodzenie tylko do haseł używanych na zainfekowanym komputerze, ale nie znalazłem menedżera haseł z tą opcją jeszcze.
źródło