Co sprawia, że ​​LastPass jest tak bezpieczny?

32

Nie mogę po prostu zrozumieć, w jaki sposób korzystanie z LastPass jest bezpieczne. Atakujący musi jedynie złamać jedno konto LastPass, a następnie skompromitował wszystkie inne strony internetowe.

Co jest takiego dobrego w porównaniu z tradycyjnym podejściem do posiadania oddzielnych kont dla każdej witryny?

Czy naprawdę lepiej jest mieć jedno silne hasło główne, silne hasła specyficzne dla witryny, do których można uzyskać dostęp za pomocą hasła głównego, niż mieć słabsze hasła, ale inne na wszystkich stronach internetowych?

firefox security web lastpass rFactor
źródło
Jak dokładnie zapamiętasz mocne hasła do kilkudziesięciu witryn? Liczę teraz ponad 160 poświadczeń przechowywanych w moim skarbcu. To nawet nie liczy bezpiecznie przechowywanych kodów PIN dla kart i kluczy licencyjnych oprogramowania, które tam też przechowuję. Poza nielicznymi wyjątkami, każde hasło jest generowane losowo, przy użyciu dowolnego dostępnego znaku dla konkretnej witryny, o maksymalnej długości lub około 20 znaków. LastPass może wykryć dla mnie duplikaty i przekazać raport o tym, gdzie naruszam bezpieczeństwo.
G_H

Odpowiedzi:

47

Oprócz umożliwienia tworzenia unikalnych, złożonych haseł dla każdej witryny, oferujemy również bezpłatne uwierzytelnianie drugiego czynnika: Siatka . Dlatego nazwa użytkownika i hasło nie wystarczą, aby uzyskać dostęp do danych, gdy używana jest siatka.

Ponadto twoje hasła nie są przechowywane w menedżerach haseł Firefoksa lub IE, które są ogólnie niezabezpieczone (wystarczy uruchomić nasz instalator i zobaczyć, jak możemy pobrać wszystkie hasła).

Jeśli chodzi o przechowywanie w chmurze, wszystko jest szyfrowane lokalnie, zanim zostanie wysłane na serwer, a Twój klucz nigdy nie zostanie do nas przesłany. Możesz przeczytać więcej o tym, jak zapewniamy ci bezpieczeństwo na stronie technologii w naszej witrynie.

Bob z LastPass
źródło
9
Doceniam szczerą rzetelność waszych usług, ale stara paranoja umiera ciężko. fakt, że twoja firma ma siedzibę w USA w A (niedaleko Waszyngtonu) również nie pomaga. jeśli pojawią się agenci Departamentu Bezpieczeństwa Wewnętrznego lub innych mniej istniejących agencji, migając poświadczeniami i przypominając o twoim patriotycznym obowiązku, myślę, że twoje najlepsze intencje nie są wiele warte. Mam nadzieję, że nie masz nic przeciwko, że wolę lokalne rozwiązanie.
21
W rzeczywistości, Molly, brzmi to tak, jakby wszystko było zaszyfrowane i odszyfrowane po stronie klienta - ponieważ wewnątrz nie mogą oni uzyskać dostępu do niczego samodzielnie. Jeśli to prawda, nie rozumiem, dlaczego jest to mniej bezpieczne niż posiadanie czegoś lokalnie.
Phoshi
10
Tak, wszystko jest szyfrowane lokalnie. Szczerze mówiąc, nie chcemy odpowiedzialności za dostęp do twoich wrażliwych danych, niepotrzebne ryzyko, że nie chcemy podejmować. FWIW, zostaliśmy sklasyfikowani w 100 najlepszych produktach PCMAG z 2009 roku, w najlepszych produktach bezpieczeństwa PCWorld z 2009 roku i obecnie jesteśmy prezentowani na stronie rozszerzenia Google Chrome jako ich najlepsze wybory.
Bob z LastPass
2
dość uczciwe (chociaż Google może nie preferować oceniania produktów związanych z prywatnością, biorąc pod uwagę ich historię), ale faktem jest, że moje hasła nie są już dostępne wyłącznie dla mnie, gdy są przechowywane online, niezależnie od wyrafinowania środków ochronnych.
3
Miło jest słyszeć z pierwszej imprezy. +1 za technologię „Siatka”, to naprawdę sprytny pomysł. :)
Sasha Chedygov
19

Nie uważam LastPass za szczególnie bezpieczny (jak wszystko, co jest przechowywane „w chmurze”), zdecydowanie wolę lokalne rozwiązanie (na przykład KeePass ). Wygoda posiadania dostępu online do danych logowania odbywa się za niedopuszczalną cenę (przynajmniej dla starych paranoików).

Peter Mortensen
źródło
2
KeePass ma wersje Unix (KeePassX) i Windows i działa z dysku USB (idealny do haseł do witryn takich jak SuperUser).
@ Molly - ładnie ułożone.
Rook
6
@ Molly Wygląda na to, że informacje LastPass są szyfrowane lokalnie, a nie „w chmurze”.
phoebus
2
Używam go, ale sztuczka polega na tym, aby plik magazynu kluczy był aktualny i miał kopię zapasową. Jest to kompromis z internetowymi osobami przechowującymi hasła.
Maarten Bodewes
2
Kiedyś korzystałem z KeePass. Myślenie, że jest bezpieczniejsze niż LastPass ORAZ czerpanie tych samych korzyści, jest iluzją. W jaki sposób zamierzasz wykonać kopię zapasową bazy danych KeePass i zachować aktualność wszystkich kopii? Albo ręcznie, z ryzykiem kradzieży lub uszkodzenia nośnika (takiego jak dysk twardy, pamięć USB, smartfon), albo trzymasz go na czymś takim jak Dropbox. I zgadnij co, a potem wracasz do przechowywania rzeczy w chmurze. Minus zalety funkcji LastPass.
G_H
16

To, co sprawia, że ​​jest bezpieczne, to po prostu, że nie mogą nikomu powiedzieć, jakie są twoje hasła, nawet z pistoletem w głowę. Nawet podczas korzystania z interfejsu internetowego hasła są szyfrowane lokalnie przed przesłaniem.

Tak, to prawda, że ​​zapewnia „pojedynczy punkt awarii”, chyba że używana jest Siatka. Jednak możesz mieć absurdalnie silne hasło główne - kogo to obchodzi, jeśli musisz wpisać hasło o długości 100 znaków, jeśli robisz to tylko raz dziennie? A ponieważ zapisuje twoje „hasła podrzędne”, możesz mieć je silniejsze niż zwykle.

Kolejną zaletą jest to, że większość ludzi nie będzie mieć różnych haseł dla każdej strony internetowej (lub będzie miała wzór), a LastPass pozwala to porzucić. Tak więc, zanim każda strona, na której byłeś, była potencjalnym punktem wejścia do wszystkich innych stron, na których byłeś, teraz jest tylko twoje konto LastPass. Złamanie dowolnego „hasła podrzędnego” nie daje atakującemu żadnych dodatkowych informacji.

Jest to przydatne, ponieważ nie masz pojęcia, czy witryny, na których jesteś, szyfrują hasło, czy je solą. Mógłbym wymienić witrynę z 11 milionami użytkowników, która przechowuje hasła niezaszyfrowane w swojej bazie danych.

Wreszcie LastPass oferuje funkcje, takie jak hasła jednorazowe do uzyskiwania dostępu do haseł w niewiarygodnych lokalizacjach, które chronią twoje konto przed nawet najbardziej zaawansowanymi keyloggerami.

ZoFreX
źródło
To dobry punkt .. większość ludzi ponownie
używa
4

Właśnie rzuciłem okiem na ich stronę - myślę, że twoje punkty są poprawne ... Jeśli ktoś złamie tam twoje hasło, ma wszystkie twoje hasła - po prostu łączy kilka funkcji z kilku programów w jeden program.

Patrząc tam, nic nie sprawia, że ​​myślę, że jest „bezpieczniejsze” niż posiadanie oddzielnych haseł do różnych witryn - tak jak i tak będzie ... Ostatnia przepustka po prostu ułatwia zarządzanie.

William Hilsum
źródło
Usługa Lastpass nie działa w ten sposób, jak wyjaśniono w komentarzu Boba. To, czego ludzie obecnie brakuje, to fakt, że najbardziej niepewny sposób przechowywania poufnych danych i haseł znajduje się po stronie komputera. Wiele osób korzysta z niezabezpieczonych funkcji hasła w przeglądarce Firefox, Chrome itp., Podczas gdy jest to złe poczucie bezpieczeństwa. Dobry haker, inteligentny złodziej lub trojan potrzebuje tylko minuty, aby uzyskać wszystkie hasła, uzyskać dostęp do poczty i innych danych. Lastpass nie ma żadnych informacji, a następnie szyfrowane śmieci po swojej stronie. W jaki sposób agencja bezpieczeństwa może to skompromitować? Klucz znajduje się po stronie komputera.
Rick Steven
Jeśli uruchomisz instalator systemu Windows LastPass, ściągniemy wszystkie twoje hasła z IE, FF i Chrome (btw ... jeśli możemy to zrobić, dowolny program może), a następnie zaoferujemy możliwość ich usunięcia. Zdecydowanie czujemy, że jesteśmy o wiele bezpieczniejsi niż ten obecny sposób zapamiętywania haseł w przeglądarce i jesteśmy o wiele wygodniejsi.
Bob z LastPass
3

Pomocne może być poznanie Steve'a Gibsona (znanego z Security Now! ) W LastPass w podcastu :

... to, co muszę powiedzieć, to, moim zdaniem, najlepsze możliwe rozwiązanie.

W swoich ponad 600 odcinkach bezpieczeństwa Gibson często przypomina słuchaczom, że najlepsze hasła są bełkotliwe i długie. W tym konkretnym podcastu mówi

... im dłuższe jest Twoje hasło, tym jest ono silniejsze

kizzx2
źródło
0

Żadne narzędzie do przechowywania haseł online nie może zapewnić bezpieczeństwa. Twierdzą, że mechanizm przechowywania haseł proof proof ukrywa hasła przed hostem i tylko strona kliencka zna klucz i odszyfrowaną formę.

Ale następujący post na blogu pokazuje wadę tego twierdzenia:

Jednym z powodów, dla których nie możemy ufać przechowywaniu haseł online

Jader Dias
źródło
0

Korzystając z LastPass z wtyczką Chrome byłem w stanie wyciągnąć hasło, przechodząc do strony logowania, wypełniając hasło i wprowadzając następujące dane w konsoli (naciśnij F12).

document.querySelectorAll("[type=password]")[0].value

Ma to miejsce przy uwierzytelnianiu dwuskładnikowym i włączonej opcji „Wymagaj hasła głównego, aby pokazać / skopiować hasło”. Zgaduję, że automatyzacja tego nie byłaby trudna, co oznacza, że ​​hasła można łatwo wyciągnąć z LastPass, podobnie jak inne przechowywanie haseł, co jest sprzeczne z tym, co twierdzi „Bob z LastPass”.

Sądzę, że LastPass jest uważany za lepszy niż ręczne zarządzanie hasłami przez ekspertów ds. Bezpieczeństwa, takich jak Steve Gibson, po prostu dlatego, że ryzyko naruszenia bezpieczeństwa przez słabe / ponownie użyte hasło lub przez ogólny keylogger jest większe niż ryzyko złośliwego oprogramowania, które specjalnie atakuje LastPass. Nadal używałbym go tylko do witryn, które mogę sobie pozwolić na utratę, a nigdy do bankowości / podstawowej poczty e-mail / Dropbox itp.

Menedżer haseł wymagający uwierzytelnienia dwuskładnikowego dla każdego hasła pobranego z serwera (LastPass wymaga go tylko przy pierwszym logowaniu) ograniczy uszkodzenie tylko do haseł używanych na zainfekowanym komputerze, ale nie znalazłem menedżera haseł z tą opcją jeszcze.

dschlyter
źródło
Wygląda na to, że próbujesz pokazać, dlaczego LastPass nie jest bezpieczny, pokazując, że kod JavaScript działający na stronie internetowej widzi hasła wprowadzone do formularzy na tej stronie. To prawda, ale nadal tak jest, nawet bez LastPass. I nie pozwala stronie na pobieranie haseł z LastPass dla innych stron, więc nie ma się gorzej niż bez niej.
Kevin Panko
Masz rację i prawdopodobnie nie byłem wystarczająco jasny. Nie próbowałem twierdzić, że każda odwiedzana strona internetowa może ukraść twoje hasła za pomocą javascript. Próbowałem twierdzić, że ktoś mający dostęp do twojego komputera (tj. Zły przyjaciel lub złośliwe oprogramowanie na komputerze publicznym) może wyciągnąć zapisane hasła z LastPass, nawet z dwuskładnikową ochroną hasła podczas przeglądania haseł. Przykład javascript był tylko jednym łatwym sposobem na wykazanie tego.
dschlyter
@dschlyter Nie jestem pewien, co tu mówisz. LastPass daje Ci możliwość albo automatycznego wpisania hasła, albo konieczności ponownego uwierzytelnienia się przed jego wypełnieniem. Opcja autouzupełniania jest zawsze włączona i nigdy nie wybieram jej dla witryn, które dostarczają finansowe, e-mail lub chmurę usługi magazynowania. Oznacza to, że ktoś, kto próbował użyć pokazanej przez Ciebie sztuczki JS, co najwyżej otrzymałby moje hasła do Stack Exchange itp. I nie jestem pewien, czy można ją zastosować tak łatwo, jak się wydaje.
samwyse