Что делает LastPass таким безопасным?

15982
rFactor

Я не могу просто понять, насколько безопасно использование LastPass. Все, что нужно сделать злоумышленнику, - это взломать единую учетную запись LastPass, а затем он также взломал все остальные веб-сайты.

Что хорошего в этом по сравнению с традиционным подходом иметь отдельные учетные записи на сайт?

Действительно ли лучше иметь один надежный мастер-пароль, надежные пароли, специфичные для сайта, к которым можно получить доступ через мастер-пароль, чем иметь более слабые пароли, но отличающиеся на всех сайтах?

32
Как вы будете помнить надежные пароли для нескольких десятков сайтов? В настоящее время я насчитываю более 160 учетных данных, хранящихся в моем хранилище. Это даже не считая надежно сохраненных пин-кодов для карточек и лицензионных ключей программного обеспечения, которые я храню там же. Помимо очень немногих исключений, каждый пароль там генерируется случайным образом, с использованием любого доступного символа для конкретного сайта, и максимальной длины или где-то более 20 символов. LastPass может выявлять дубликаты для меня и может дать отчет о том, где я компрометирую безопасность. G_H 10 лет назад 0

7 ответов на вопрос

47
Bob from LastPass

Помимо того, что вы можете создавать уникальные сложные пароли для каждого сайта, мы также предлагаем бесплатную аутентификацию по второму фактору: Grid . Таким образом, вашего имени пользователя и пароля недостаточно для доступа к вашим данным, когда используется Grid.

Кроме того, ваши пароли не хранятся в менеджерах паролей Firefox или IE, которые обычно небезопасны (просто запустите наш установщик и посмотрите, как мы можем получить все пароли).

Что касается хранения в облаке, то все шифруется локально перед отправкой на сервер, и ваш ключ никогда не отправляется нам. Вы можете прочитать больше о том, как мы защищаем вас, на странице технологий на нашем сайте.

Я ценю искреннюю честность вашего служения, но старая паранойя тяжело умирает. и тот факт, что ваша компания базируется в США (не слишком далеко от Вашингтона), тоже не сильно помогает. если появятся агенты национальной безопасности или других менее существующих агентств, выскажут верительные грамоты и напомнят вам о вашем патриотическом долге, я думаю, что ваши лучшие намерения не стоят большого. Надеюсь, вы не против, что я предпочитаю местное решение. 14 лет назад 9
На самом деле, Молли, это звучит так, как будто все зашифровано и расшифровано на стороне клиента - так как они сами не могут получить доступ к чему-либо. Если это правда, я не понимаю, почему это менее безопасно, чем иметь что-то локально. Phoshi 14 лет назад 21
Да, все зашифровано локально. Мы, честно говоря, не хотим, чтобы мы имели доступ к вашим конфиденциальным данным, это ненужный риск, который мы не хотим брать на себя. FWIW, мы вошли в список 100 лучших продуктов pcmag 2009 года, вошли в список лучших продуктов для обеспечения безопасности pcworld 2009 года и в настоящее время размещаются на сайте расширений Google Chrome в качестве лучших. Bob from LastPass 14 лет назад 10
достаточно справедливо (хотя Google, возможно, не предпочитает оценивать продукты, связанные с конфиденциальностью, учитывая их послужной список), но факт остается фактом, что мои пароли в конечном итоге перестают быть доступны исключительно мне, когда они хранятся в Интернете, независимо от сложности защитных мер. 14 лет назад 2
Приятно слышать от первого лица. +1 для вашей "Grid" технологии, это действительно умная идея. :) Sasha Chedygov 14 лет назад 3
@Bob Привет, я указал в своем [сообщении в блоге] (http://hourlyapps.blogspot.com/2010/02/one-reason-why-we-cant-trust-online.html) один фундаментальный недостаток вашего сервиса , Как вы планируете устранить этот недостаток? Jader Dias 14 лет назад 1
Что если браузер не защищен? Я имею в виду, если кто-то установил расширение, которое начинает работать, когда я захожу в браузер. Смотрите мой твик на Android [здесь] (http://madlabstest.com/blog/2012/08/23/tweaks-on-lastpass-and-android/) Vikas 11 лет назад 1
Как это «зашифровано локально» и «ключ никогда не отправляется вам», если я могу просматривать свои пароли с нескольких компьютеров или даже с веб-сайта? Greg 11 лет назад 0
@Greg Они хранят зашифрованные учетные данные. Шифрование происходит на стороне клиента с использованием вашего мастер-пароля и любого другого механизма аутентификации, который вы дополнительно активировали, и зашифрованные данные отправляются им на хранение. Даже если эти данные были скомпрометированы, дешифрование без вашего мастер-пароля (и дополнительных мер) неосуществимо. Поскольку это облачное решение, вы можете получить доступ к своим данным в любом месте, но расшифровка все еще выполняется только на стороне клиента. Даже при доступе к вашему хранилищу с помощью веб-сайта вместо использования плагина (в этом случае используются клиентские скрипты). G_H 10 лет назад 1
@G_H: «Ключ» (т. Е. Мастер-пароль) вам никогда не отправляется, но есть его локально зашифрованная версия? Я думаю, я предполагал, что «ключ никогда не посылается вам» означал, что вы каким-то образом не сохранили какое-либо представление мастер-пароля, что, очевидно, невозможно. Greg 10 лет назад 0
@Greg Ваш мастер-пароль не хранится. Ни локально, ни на своих серверах. Он просто используется для шифрования и дешифрования данных. Вот почему вы должны помнить это! Предположим, у меня есть какая-то умная схема шифрования, которая требует пароль для шифрования и дешифрования. Я шифрую файл и отправляю его вам на хранение. Вы оставляете это для меня, но не можете расшифровать это. Когда вы отправляете его мне, я могу расшифровать его с помощью пароля, который знаю только я. Вот как это работает. G_H 10 лет назад 2
19
Peter Mortensen

Я не считаю LastPass особенно безопасным (как и все, что хранится «в облаке»), я предпочитаю локальное решение (например, KeePass ). Удобство онлайн-доступа к информации для входа в систему по недопустимой цене (по крайней мере, для параноика старого меня).

KeePass имеет версии для Unix (KeePassX) и Windows и работает с USB-накопителя (идеально подходит для паролей для сайтов, таких как SuperUser). 14 лет назад 2
@Molly - красиво сказано. Rook 14 лет назад 0
@Molly Похоже, что информация LastPass зашифрована локально, а не «в облаке». phoebus 14 лет назад 6
именно так, но информация больше не доступна исключительно мне, когда хранится на внешнем сервере. это компромисс, удобство для исключительности, риск, на который я не хочу идти. 14 лет назад 0
Существуют также версии KeePass для Android и Windows Mobile и, возможно, другие. TREE 13 лет назад 0
Я использую его, но дело в том, чтобы поддерживать файл хранилища ключей в актуальном состоянии и создавать резервные копии. Это компромисс с хранителями паролей онлайн. Maarten Bodewes 12 лет назад 2
Раньше я использовал KeePass. Думать, что это более безопасно, чем LastPass, и получать те же преимущества - иллюзия. Как вы собираетесь делать резервные копии своей базы данных KeePass и поддерживать все копии в актуальном состоянии? Либо вручную, с риском кражи или поломки носителя (например, жесткого диска, USB-накопителя, смартфона) или хранения его на чем-то вроде Dropbox. И угадайте что, тогда вы снова вернетесь к хранению вещей в облаке. Минус преимущества возможностей LastPass. G_H 10 лет назад 2
@G_H, не обязательно. Я использую Keepass для создания базы данных и файла ключей + пароль. Я настроил приложение так, чтобы оно сохраняло базу данных в локальном хранилище экземпляра owncloud, а файл ключа - в другом экземпляре owncloud (или на USB-ключе). Пароль, конечно, будет более 35-битным, известным только мне. Файлы owncloud хранятся в зашифрованном виде на моем собственном VPS / выделенном сервере. Конечно, агентство может иметь ордер на DC, который предоставляет мне сервер. Но им понадобятся дополнительно мой ключевой файл и мой пароль. Нахождение в облаке не обязательно означает, что это небезопасно. Joel G Mathew 10 лет назад 0
16
ZoFreX

Что делает его безопасным, так это то, что он никому не может сказать, какие у вас пароли, даже с пистолетом в голову. Даже при использовании веб-интерфейса ваши пароли перед передачей шифруются локально.

Да, это правда, что он обеспечивает «единую точку отказа», если не используется Grid. Тем не менее, вы можете иметь смехотворно надежный мастер-пароль - кого волнует, нужно ли вам вводить пароль из 100 символов, если вы делаете это только один раз в день? И поскольку он сохраняет ваши «пароли», вы можете иметь их намного сильнее, чем обычно.

Другое преимущество состоит в том, что большинство людей не будут иметь разные пароли для каждого веб-сайта (или будут иметь шаблон), и LastPass позволяет вам отказаться от этого. Итак, если раньше каждый сайт, на котором вы работали, был потенциальной точкой входа на все остальные сайты, на которых вы были, то теперь только ваша учетная запись LastPass. Взлом любого «дополнительного пароля» не дает никакой дополнительной информации злоумышленнику.

Это полезно, потому что вы не знаете, шифруют ли ваши сайты ваш пароль или перебивают его. Я мог бы назвать веб-сайт с 11 миллионами пользователей, который хранит незашифрованные пароли в своей базе данных.

Наконец, LastPass предлагает такие функции, как одноразовые пароли для доступа к вашим паролям в ненадежных местах, что обеспечивает безопасность вашей учетной записи даже от самых продвинутых клавиатурных шпионов.

Это хороший момент ... большинство людей повторно используют свой пароль ... или имеют два или три, которые охватывают все базы jsj 12 лет назад 0
4
William Hilsum

Просто быстро взглянул на их сайт - я думаю, что ваши очки верны ... Если кто-то взломает ваш пароль там, у него есть все ваши пароли - он просто объединяет несколько функций из нескольких программ в одну программу.

Посмотрев туда, нет ничего, что заставляет меня думать, что это «более безопасно», чем иметь отдельные пароли для разных сайтов - как вы все равно будете ... Последний проход просто облегчает управление.

Служба Lastpass не работает так, как объяснено в комментарии Боба. Похоже, что в наше время людям не хватает того, что самый небезопасный способ хранения ваших конфиденциальных данных и паролей - на стороне ПК. Многие люди используют небезопасные парольные функции Firefox, Chrome и т. Д., Хотя это неправильное чувство безопасности. Хорошему хакеру, умному вору или трояну требуется всего одна минута, чтобы получить все ваши пароли, получить доступ к вашей почте и другим данным. Lastpass не имеет никакой информации, тогда зашифрованный мусор на их стороне. Как охранное агентство может скомпрометировать это? Ключ на стороне ПК. Rick Steven 14 лет назад 0
Если вы запустите установщик Windows LastPass, мы извлечем все ваши пароли из IE, FF и Chrome (кстати, если мы сможем это сделать, может любая программа), а затем предложим вам возможность их удалить. Мы определенно чувствуем, что мы гораздо более безопасны, чем этот способ запоминания ваших паролей в браузере, и нам гораздо удобнее. Bob from LastPass 14 лет назад 0
3
kizzx2

Возможно, было бы полезно узнать, что Стив Гибсон (из « Безопасности сейчас!» ) Ссылался на LastPass в подкасте :

... то, что я должен сказать, я думаю, это лучшее из возможных решений.

В своих более чем 600 эпизодах безопасности Гибсон часто напоминает слушателям, что лучшие пароли являются бессмысленными и длинными. В этом конкретном подкасте он говорит

... чем длиннее ваш пароль, тем он крепче

0
Jader Dias

Никакой онлайн инструмент для хранения паролей не может гарантировать вам безопасность. Они утверждают, что механизм хранения защищенных паролей скрывает пароли от хоста, и только клиентская сторона знает ключ и расшифрованную форму.

Но следующее сообщение в блоге показывает недостаток в этом утверждении:

Одна из причин, почему мы не можем доверять хранению пароля в Интернете

0
dschlyter

Using LastPass with the Chrome plugin I was able to pull a password by navigating to a login page, filling in the password and entering the following in the console (press F12).

document.querySelectorAll("[type=password]")[0].value

This is with two-factor authentication and with the "require master-password to show/copy password"-option enabled. I'm guessing it would not be hard to automate this, meaning that passwords can be pulled easily from LastPass just like other password storage, contradicting what "Bob from LastPass" seems to be claiming.

I guess LastPass is considered better than manual password management by security experts like Steve Gibson simply because the risk of compromise from a weak/reused password or by a generic keylogger is bigger than the risk from malware that's specifically attacking LastPass. Still I would only use it for sites that I can afford to lose, and never for banking/primary email/Dropbox, etc.

A password manager requiring two-factor authentication for every password that is downloaded from the server (LastPass only requires it on first login) would limit the damage to only the passwords that were used on the infected computer, but I have not found a password manager with that option yet.

Похоже, вы пытаетесь показать, почему LastPass не является безопасным, показывая, что код Javascript, запущенный на веб-странице, может видеть пароли, введенные в формы на этой странице. Это правда, но это все еще верно даже без запуска LastPass. И это не позволяет странице получать пароли из LastPass для других сайтов, поэтому вы ничем не хуже, чем без нее. Kevin Panko 9 лет назад 0
Вы правы, и я, вероятно, не был достаточно ясен. Я не пытался утверждать, что любая веб-страница, которую вы посещаете, может украсть ваши пароли с помощью JavaScript. Я пытался утверждать, что кто-то, имеющий доступ к вашему компьютеру (например, злой друг или вредоносное ПО на общедоступном компьютере), может извлечь ваши сохраненные пароли из LastPass, даже с 2-факторной защитой паролем при просмотре паролей. Пример javascript был лишь одним из простых способов продемонстрировать это. dschlyter 9 лет назад 0
@dschlyter Я не уверен, что ты здесь говоришь. LastPass дает вам возможность либо автоматически вводить пароль, либо требовать от вас повторной аутентификации перед его заполнением. Опция автозаполнения всегда включена, и я никогда не выбираю ее для сайтов, предоставляющих финансовые услуги, электронную почту или облако. складские услуги. Это означает, что тот, кто пытался использовать трюк JS, который вы показываете, в лучшем случае получит только мои пароли для Stack Exchange и т. Д. И я не уверен, что ваш трюк так же легко осуществить, как вы думаете. samwyse 9 лет назад 0

Похожие вопросы