Cosa rende LastPass così sicuro?

32

Non riesco semplicemente a capire come l'utilizzo di LastPass sia sicuro. Tutto ciò che un utente malintenzionato deve fare è compromettere il singolo account LastPass e quindi ha anche compromesso tutti gli altri siti Web.

Cosa c'è di così bello rispetto all'approccio tradizionale di avere account separati per sito?

È davvero meglio avere una password principale forte, password specifiche del sito a cui è possibile accedere tramite la password principale piuttosto che avere password più deboli, ma diverse su tutti i siti Web?

— rFactor
fonte

Esattamente come ricorderai le password complesse per diverse decine di siti? Sto contando oltre 160 credenziali archiviate nel mio caveau in questo momento. Non sto nemmeno contando i codici pin memorizzati in modo sicuro per le carte e le chiavi di licenza software che sto conservando. A parte pochissime eccezioni, ogni password presente viene generata casualmente, utilizzando qualsiasi carattere disponibile per il sito specifico e di lunghezza massima o da qualche parte superiore a 20 caratteri. LastPass può sniffare duplicati per me e può fornire un rapporto su dove sto compromettendo la sicurezza.

— G_H,

47

Oltre a consentirti di creare password uniche e complesse per ogni sito, offriamo anche un'autenticazione gratuita di secondo fattore: Grid . Pertanto, il nome utente e la password non sono sufficienti per accedere ai dati quando si utilizza Grid.

Inoltre, le tue password non sono memorizzate nei gestori password di Firefox o IE che sono generalmente insicuri (basta eseguire il nostro programma di installazione e vedere come possiamo estrarre tutte le password).

Per quanto riguarda l'archiviazione nel cloud, tutto viene crittografato localmente prima di essere inviato al server e la tua chiave non ci viene mai inviata. Puoi leggere di più su come ti proteggiamo nella pagina della tecnologia sul nostro sito Web.

— Bob di LastPass
fonte

9

apprezzo la sincera integrità del tuo servizio, eppure la vecchia paranoia muore duramente. e il fatto che la tua azienda abbia sede negli Stati Uniti di A (non troppo lontano da Washington) non aiuta molto. se gli agenti della Homeland Security o altre agenzie inesistenti si presentano, mostrano credenziali e ti ricordano il tuo dovere patriottico, penso che le tue migliori intenzioni non valgano molto. spero non ti dispiaccia che preferisco una soluzione locale.

21

In realtà, molly, sembra che tutto sia crittografato e decrittografato sul lato client - come in, non possono accedere a nulla da soli. Se è vero, non vedo perché questo sia meno sicuro di avere qualcosa a livello locale.

— Phoshi,

10

Sì, tutto è crittografato localmente. Francamente non vogliamo la responsabilità di poter accedere ai tuoi dati sensibili, è un rischio inutile che non vogliamo prendere. FWIW, siamo stati classificati tra i primi 100 prodotti di pcmag del 2009, classificati nei migliori prodotti di sicurezza di pcworld del 2009 e sono attualmente presenti sul sito di estensione di Google Chrome come le loro scelte migliori.

— Bob da LastPass il

2

abbastanza equo (anche se Google potrebbe non essere la mia preferenza per valutare i prodotti correlati alla privacy in base alla loro esperienza), ma resta il fatto che le mie password non sono in definitiva accessibili esclusivamente da me quando vengono archiviate online, indipendentemente dalla raffinatezza delle misure di protezione.

3

È bello sentire da una prima parte. +1 per la tua tecnologia "Grid", è un'idea davvero intelligente. :)

— Sasha Chedygov il

19

Non considero LastPass particolarmente sicuro (come tutto ciò che viene archiviato "nel cloud"), preferisco di gran lunga una soluzione locale (ad esempio, KeePass ). La comodità di avere accesso online alle informazioni di accesso ha un prezzo inaccettabile (almeno per il vecchio me paranoico).

— Peter Mortensen
fonte

2

KeePass ha versioni Unix (KeePassX) e Windows e funziona da un'unità USB (perfetta per le password per siti come SuperUser).

@Molly - ben messo.

— Rook,

6

@Molly Sembra che le informazioni di LastPass siano crittografate localmente, non "nel cloud".

— phoebus il

2

Lo sto usando, ma il trucco è mantenere aggiornato e fare il backup del file dell'archivio chiavi. Questo è il compromesso con i gestori di password online.

— Maarten Bodewes,

2

Usavo KeePass. Pensare che sia più sicuro di LastPass E raccogliere gli stessi benefici è un'illusione. Come eseguirai il backup del database KeePass e manterrai tutte le copie aggiornate? O manualmente, con il rischio che un corriere (come HDD, chiavetta USB, smartphone) venga rubato o rotto, o lo tieni su qualcosa come Dropbox. E indovina un po ', allora torni subito a tenere le cose nel cloud. Meno i vantaggi delle funzionalità di LastPass.

— G_H,

16

Ciò che lo rende sicuro è semplicemente che non possono dire a nessuno quali sono le tue password, anche con una pistola in testa. Anche quando si utilizza l'interfaccia Web, le password vengono crittografate localmente prima di essere trasmesse.

Sì, è vero che fornisce un "singolo punto di errore" a meno che non venga utilizzato Grid. Tuttavia, potresti avere una password master ridicolmente forte - a chi importa se devi digitare una password di 100 caratteri se la fai solo una volta al giorno? E poiché salva le tue "password secondarie", puoi averle molto più forti di quanto potresti normalmente.

Un altro vantaggio è che la maggior parte delle persone non avrà password diverse per ogni sito Web (o avrà uno schema) e LastPass ti consente di abbandonare questo. Quindi, mentre prima di ogni singolo sito in cui ti trovavi era un potenziale punto di accesso a tutti gli altri siti in cui ti trovavi, ora lo è solo il tuo account LastPass. La violazione di una "sub password" non fornisce ulteriori informazioni a un utente malintenzionato.

Questo è utile perché non hai idea se i siti in cui ti trovi stanno crittografando la tua password o saltandola. Potrei nominare un sito Web con 11 milioni di utenti che memorizza le password non crittografate nel loro database.

Infine, LastPass offre funzionalità come le password di una volta per accedere alle tue password in posizioni non affidabili, che proteggono il tuo account anche dai keylogger più avanzati.

— ZoFreX
fonte

Questo è un buon punto .. la maggior parte delle persone riutilizza la propria password .. o ne ha due o tre che coprono tutte le basi

— jsj

4

Ho appena dato una rapida occhiata al loro sito - penso che i tuoi punti siano corretti ... Se qualcuno vi rompe la password lì, hanno tutte le tue password - semplicemente raggruppa alcune funzionalità di alcuni programmi in un unico programma.

Guardando lì, non c'è nulla che mi faccia pensare che sia "più sicuro" che avere password separate per siti diversi - come sarai comunque ... L'ultimo passaggio semplifica semplicemente la gestione.

— William Hilsum
fonte

Il servizio Lastpass non funziona così come spiegato nel commento di Bob. Ciò che oggi sembra mancare alle persone è che il modo più insicuro di archiviare dati e password sensibili sia dal lato PC. Molte persone usano le funzioni di password non sicure di Firefox, Chrome ecc., Mentre questa è una sensazione di sicurezza sbagliata. Un buon hacker, un ladro intelligente o un trojan ha solo bisogno di un minuto per ottenere tutte le password, accedere alla posta e ad altri dati. Lastpass non ha alcuna informazione quindi spazzatura criptata dalla sua parte. In che modo un'agenzia di sicurezza può comprometterlo? La chiave è sul lato PC.

— Rick Steven,

Se esegui il programma di installazione di Windows LastPass, estraiamo tutte le tue password da IE, FF e Chrome (a proposito ... se possiamo farlo, qualsiasi programma può) e quindi ti offriamo la possibilità di eliminarle. Riteniamo sicuramente di essere molto più sicuri di questo modo di ricordare le tue password nel browser e siamo anche molto più convenienti.

— Bob di LastPass il

3

Potrebbe essere utile conoscere Steve Gibson (di Security Now! Fame) riferito a LastPass in un podcast :

... quello che devo dire è, penso, la migliore soluzione possibile.

Nei suoi oltre 600 episodi di sicurezza, Gibson spesso ricorda agli ascoltatori che le password migliori sono incomprensibili e lunghe. In questo particolare podcast dice

... più lunga è la tua password, più forte è

— kizzx2
fonte

0

Nessuno strumento di archiviazione password online può garantire la tua sicurezza. Sostengono che il meccanismo di archiviazione delle password a prova di host nasconde le password dall'host e solo il lato client conosce la chiave e il modulo decrittografato.

Ma il seguente post sul blog mostra un difetto in questa affermazione:

Uno dei motivi per cui non possiamo fidarci dell'archiviazione delle password online

— Jader Dias
fonte

0

Utilizzando LastPass con il plug-in di Chrome sono stato in grado di estrarre una password accedendo a una pagina di accesso, compilando la password e immettendo quanto segue nella console (premere F12).

document.querySelectorAll("[type=password]")[0].value

Ciò avviene con l' autenticazione a due fattori e con l'opzione "richiede password principale per mostrare / copiare la password" abilitata. Immagino che non sarebbe difficile automatizzare questo, il che significa che le password possono essere estratte facilmente da LastPass proprio come altri archivi di password, contraddicendo ciò che "Bob di LastPass" sembra rivendicare.

Immagino che LastPass sia considerato migliore della gestione manuale delle password da esperti di sicurezza come Steve Gibson semplicemente perché il rischio di compromissione da una password debole / riutilizzata o da un keylogger generico è maggiore del rischio da malware che attacca in modo specifico LastPass. Tuttavia lo userei solo per siti che posso permettermi di perdere, e mai per operazioni bancarie / email principali / Dropbox , ecc.

Un gestore password che richiede l'autenticazione a due fattori per ogni password scaricata dal server (LastPass la richiede solo al primo accesso) limiterebbe il danno solo alle password utilizzate sul computer infetto, ma non ho trovato un gestore password con quell'opzione ancora.

— dschlyter
fonte

Sembra che tu stia cercando di mostrare perché LastPass non è sicuro mostrando che il codice Javascript in esecuzione in una pagina web può vedere le password inserite nei moduli su quella pagina. Questo è vero, ma è vero anche senza LastPass in esecuzione. E non consente alla pagina di ottenere password da LastPass per altri siti, quindi non stai peggio che senza di essa.

— Kevin Panko,

Hai ragione, e probabilmente non ero abbastanza chiaro. Non stavo cercando di affermare che qualsiasi pagina web visitata possa rubare le tue password con javascript. Stavo cercando di affermare che qualcuno con accesso al tuo computer (ad es. Amico malvagio o malware su un computer pubblico) può estrarre le tue password salvate da LastPass, anche con protezione a 2 fattori e password durante la visualizzazione delle password. L'esempio javascript era solo un modo semplice per dimostrarlo.

— dschlyter,

@dschlyter Non sono sicuro di quello che stai dicendo qui. LastPass ti dà la possibilità di compilare automaticamente una password o di richiedere nuovamente l'autenticazione prima di riempirla. L'opzione di compilazione automatica è sempre attiva e non la seleziono mai per i siti che forniscono servizi finanziari, e-mail o cloud servizi di archiviazione. Ciò significa che qualcuno che ha cercato di usare il trucco JS che mostri otterrà al massimo solo le mie password per Stack Exchange, ecc. E non sono sicuro che il tuo trucco sia facile da realizzare come sembra.

— Samwyse,