Що робить LastPass настільки безпечним?


32

Я не можу просто зрозуміти, наскільки безпечне використання LastPass. Все, що зловмисник повинен зробити, це скомпрометувати єдиний обліковий запис LastPass, а потім він також скомпрометував усі інші веб-сайти.

Що такого хорошого в порівнянні з традиційним підходом мати окремі облікові записи на сайті?

Чи справді краще мати один міцний головний пароль, надійні паролі для певного сайту, до яких можна отримати доступ через головний пароль, ніж слабкіші паролі, але різні на всіх веб-сайтах?


Як саме ви пам’ятаєте надійні паролі для кількох десятків сайтів? Я нараховую 160+ облікових даних, що зберігаються у моєму сховищі на даний момент. Це навіть не враховує надійно збережені пін-коди для карток та ліцензійних ключів програмного забезпечення, які я також зберігаю. Окрім нечисленних винятків, кожен пароль в ньому генерується випадковим чином, використовуючи будь-який доступний символ для певного сайту та має максимальну довжину або десь понад 20 символів. LastPass може нюхати дублікати для мене і може дати звіт про те, де я загрожую безпеці.
G_H

Відповіді:


47

Окрім дозволу створювати унікальні, складні паролі для кожного сайту, ми також пропонуємо безкоштовну аутентифікацію другого фактора: Grid . Тож вашого імені користувача та пароля недостатньо для доступу до ваших даних під час використання Grid.

Крім того, ваші паролі не зберігаються в менеджерах паролів Firefox або IE, які, як правило, не є безпечними (просто запустіть наш інсталятор і дивіться, як ми можемо витягнути всі паролі).

Що стосується зберігання у хмарі, то все зашифроване локально, перш ніж воно буде надіслане на сервер, і ваш ключ ніколи не надсилається нам. Ви можете прочитати більше про те, як ми захищаємо вас на сторінці технологій на нашому веб-сайті.


9
я ціную щиру сумлінність вашої служби, але стара параноїя важко вмирає. і той факт, що ваша компанія розташована в США (не дуже далеко від Вашингтона), теж не дуже допомагає. якщо агенти Вітчизняної Безпеки чи інші менш існуючі агенції з’являються, миготять повноваження та нагадують вам про ваш патріотичний обов’язок, я думаю, що ваші найкращі наміри не варті багато. Я сподіваюся, ви не заперечуєте, що я віддаю перевагу місцевому рішенню.

21
Насправді, моллі, це здається, що все зашифроване та розшифроване на стороні клієнта - як і в них, вони нічого не можуть отримати доступ самі. Якщо це правда, я не бачу, чому це менш безпечно, ніж щось місцеве.
Фоши

10
Так, все зашифровано локально. Ми, відверто кажучи, не хочемо, щоб відповідальність за доступ до ваших конфіденційних даних відповідала, це зайвий ризик, який ми не хочемо брати на себе. FWIW, ми потрапили в топ-100 продуктів pcmag 2009 року, потрапили до найкращих продуктів безпеки pcworld 2009 року і в даний час представлені на сайті розширень google chrome як їх головні вибори.
Боб з LastPass

2
досить справедливо (хоча Google може не вважати моїм уподобанням оцінювати продукти, пов’язані з конфіденційністю, враховуючи їх послужний список), але факт залишається фактом, що мої паролі в кінцевому рахунку вже не доступні виключно для мене, коли вони зберігаються в Інтернеті, незалежно від складності захисних заходів.

3
Приємно почути від першої сторони. +1 для вашої технології "Grid", це дійсно розумна ідея. :)
Саша Чедигов

19

Я не вважаю LastPass особливо безпечним (як і все, що зберігається "у хмарі"), я більше віддаю перевагу локальному рішенню (наприклад, KeePass ). Зручність доступу до Інтернету для доступу до інформації для входу приходить за неприйнятною ціною (принаймні, для параноїдального старого мене).


2
У KeePass є версії Unix (KeePassX) та Windows та працює з USB-накопичувача (ідеально підходить для паролів для таких сайтів, як SuperUser).

@Molly - красиво кажучи.
Грак

6
@Molly Здається, що інформація про LastPass зашифрована локально, а не "в хмарі".
фоєб

2
Я використовую його, але хитрість полягає в тому, щоб постійно зберігати та зберігати резервні копії файлів зберігання ключів. Це компроміс з онлайн-власниками паролів.
Maarten Bodewes

2
Раніше я використовував KeePass. Думати, що це більш безпечно, ніж LastPass І отримувати ті самі переваги, є ілюзією. Як ви будете робити резервну копію вашої бази даних KeePass та зберігати всі копії в актуальному стані? Або вручну, з ризиком того, що носій (наприклад, жорсткий диск, USB-накопичувач, смартфон) буде викрадений або зламаний, або ви збережете його на щось на зразок Dropbox. І вгадайте що, тоді ви знову повертаєтесь до того, щоб зберігати речі у хмарі. Мінус переваг функцій LastPass.
G_H

16

Це безпечно - це те, що вони не можуть сказати нікому, які ваші паролі, навіть із пістолетом до голови. Навіть під час використання веб-інтерфейсу ваші паролі шифруються локально перед передачею.

Так, це правда, що вона забезпечує "єдину точку відмови", якщо не використовується Grid. Однак у вас може бути смішно міцний головний пароль - кого хвилює, якщо вам доведеться вводити пароль у 100 символів, якщо ви робите це лише раз на день? А оскільки це зберігає ваші "додаткові паролі", ви можете мати їх набагато сильніше, ніж зазвичай.

Ще одна перевага полягає в тому, що більшість людей не матимуть різних паролів для кожного веб-сайту (або матимуть зразок), а LastPass дозволяє скинути це. Тож коли раніше кожен ваш сайт був потенційною точкою входу на всі інші сайти, на яких ви знаходитесь, тепер лише ваш обліковий запис LastPass є. Злом будь-якого "під пароля" не дає додатковій інформації зловмиснику.

Це корисно, оскільки ви не маєте уявлення про те, чи веб-сайти, на яких ви перебуваєте, шифрують ваш пароль чи солять його. Я міг би назвати веб-сайт із 11 мільйонами користувачів, який зберігає паролі незашифровані у своїй базі даних.

Нарешті, LastPass пропонує такі функції, як разові паролі для доступу до ваших паролів у недостовірних місцях, що захищає ваш обліковий запис навіть від найсучасніших кейлогерів.


Це хороший момент .. більшість людей повторно використовують свій пароль .. або мають два-три, які охоплюють усі бази
jsj

4

Просто швидко перегляньте їхній сайт - я думаю, що ваші пункти правильні ... Якщо хтось зламає ваш пароль, у них є всі ваші паролі - він просто поєднує кілька функцій з кількох програм в одну програму.

З огляду на це, ніщо не змушує мене думати, що це "безпечніше", ніж мати окремі паролі для різних сайтів - як ви все одно будете ... Останній прохід просто полегшує управління.


Послуга Lastpass не працює так, як пояснено в коментарі Боба. Що, здається, людям сьогодні бракує, це те, що найнебезпечніший спосіб зберігання ваших конфіденційних даних та паролів - саме на ПК. Багато людей використовують незахищені функції пароля Firefox, Chrome тощо, хоча це неправильне почуття безпеки. Хорошому хакеру, розумному злодію чи трояну потрібна лише хвилина, щоб отримати всі ваші паролі, отримати доступ до вашої пошти та інших даних. Lastpass не має жодної інформації, а потім зашифрований сміття на їхній стороні. Як агентство безпеки може це скомпрометувати? Ключ знаходиться на стороні ПК.
Рік Стівен

Якщо ви запускаєте інсталятор Windows LastPass, ми витягуємо всі ваші паролі з IE, FF та Chrome (btw ... якщо ми можемо це зробити, може будь-яка програма), а потім пропонуємо вам можливість їх видалити. Ми, безумовно, вважаємо, що набагато безпечніше, ніж цей статус-кво запам'ятовувати ваші паролі в браузері, і ми також набагато зручніше.
Боб з LastPass

3

Можливо, буде корисно знати, що Стів Гібсон (про безпеку зараз! Слава) згадував LastPass у подкасті :

... що я маю сказати - це, думаю, найкраще можливе рішення.

У своїх понад 600 епізодах безпеки Гибсон часто нагадує слухачам, що найкращі паролі - гнучкі та довгі. У цьому конкретному подкасті він говорить

... чим довше ваш пароль, тим він сильніший


0

Жоден онлайн-інструмент зберігання паролів не може гарантувати вам безпеку. Вони стверджують, що механізм зберігання паролів, що підтверджує хост, приховує паролі від хоста, і ключ та розшифровану форму знає лише сторона клієнта.

Але наступне повідомлення в блозі показує недолік у цьому твердженні:

Однією з причин ми не можемо довіряти онлайн-зберігання паролів


0

Використовуючи LastPass з плагіном Chrome, я зміг витягнути пароль, перейшовши на сторінку входу, заповнивши пароль та ввівши в консоль (натисніть F12).

document.querySelectorAll("[type=password]")[0].value

Це з двофакторною автентифікацією та з увімкненою опцією "вимагати головного пароля для показу / копіювання пароля". Я здогадуюсь, що це не важко автоматизувати, це означає, що паролі можна легко витягнути з LastPass так само, як і інші сховища паролів, що суперечить тому, що, схоже, стверджує "Боб з LastPass".

Я думаю, що LastPass вважається кращим за ручне управління паролем експертами з безпеки, такими як Стів Гібсон, просто тому, що ризик отримати компроміс із-за слабкого / повторно використаного пароля або загального кейлоггера більший, ніж ризик зловмисного програмного забезпечення, яке спеціально атакує LastPass. Я б все-таки використовував його лише для сайтів, які я можу дозволити собі втратити, і ніколи для банківської / первинної електронної пошти / Dropbox тощо.

Менеджер паролів, що вимагає двофакторної автентифікації для кожного завантаженого з сервера пароля (LastPass вимагає його лише при першому вході), обмежив би шкоду лише паролям, які використовувались на зараженому комп'ютері, але я не знайшов менеджера паролів з цим варіантом ще.


Здається, ви намагаєтеся показати, чому LastPass не захищений, показавши, що код Javascript, який працює на веб-сторінці, може бачити паролі, введені у форми на цій сторінці. Це правда, але це все-таки вірно навіть без запуску LastPass. І це не дозволяє цій сторінці вилучати паролі з LastPass для інших сайтів, тому вам не гірше, ніж без неї.
Кевін Панько

Ви маєте рацію, і я, мабуть, був недостатньо зрозумілий. Я не намагався стверджувати, що будь-яка веб-сторінка, яку ви відвідуєте, може красти ваші паролі за допомогою JavaScript. Я намагався стверджувати, що хтось із доступом до вашого комп'ютера (наприклад, злий друг чи зловмисне програмне забезпечення на загальнодоступному комп'ютері) може витягнути збережені паролі з LastPass, навіть із двофакторним та захищеним паролем під час перегляду паролів. Приклад javascript був лише одним простим способом продемонструвати це.
dschlyter

@dschlyter Я не впевнений, що ти тут говориш. LastPass надає вам можливість автоматично заповнити пароль або вимагати повторної автентифікації перед тим, як заповнити його. Опція автозаповнення завжди ввімкнена, і я ніколи не вибираю її для веб-сайтів, які надають фінансову інформацію, електронну пошту чи хмару послуги зберігання. Це означає, що той, хто намагався використати трюк JS, який ви показуєте, отримав би максимум лише мої паролі для обміну стеками і т. Д. І я не впевнений, що ваш трюк так легко легко зняти, як вам здається, ви думаєте.
samwyse
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.