Что делает LastPass таким безопасным?

32

Я не могу просто понять, насколько безопасно использование LastPass. Все, что нужно сделать злоумышленнику, - это взломать единую учетную запись LastPass, а затем он также взломал все остальные веб-сайты.

Что в этом хорошего, если сравнивать с традиционным подходом иметь отдельные учетные записи на сайте?

Действительно ли лучше иметь один надежный мастер-пароль, надежные пароли, специфичные для сайта, к которым можно получить доступ через мастер-пароль, чем иметь более слабые пароли, но разные на всех сайтах?

firefox security web lastpass RFactor
источник
Как вы будете помнить надежные пароли для нескольких десятков сайтов? В настоящее время я насчитываю более 160 учетных данных, хранящихся в моем хранилище. Это даже не считая надежно сохраненных пин-кодов для карточек и лицензионных ключей программного обеспечения, которые я храню там же. Помимо очень немногих исключений, каждый пароль там генерируется случайным образом, с использованием любого доступного символа для конкретного сайта, и максимальной длины или где-то более 20 символов. LastPass может выявлять дубликаты для меня и может дать отчет о том, где я компрометирую безопасность.
G_H

Ответы:

47

Помимо того, что вы можете создавать уникальные сложные пароли для каждого сайта, мы также предлагаем бесплатную аутентификацию по второму фактору: Grid . Таким образом, вашего имени пользователя и пароля недостаточно для доступа к вашим данным, когда используется Grid.

Кроме того, ваши пароли не хранятся в менеджерах паролей Firefox или IE, которые обычно небезопасны (просто запустите наш установщик и посмотрите, как мы можем получить все пароли).

Что касается хранения в облаке, то все шифруется локально перед отправкой на сервер, и ваш ключ никогда не отправляется нам. Вы можете узнать больше о том, как мы защищаем вас, на странице технологий на нашем веб-сайте.

Боб из LastPass
источник
9
Я ценю искреннюю честность твоего служения, но старая паранойя тяжело умирает. и тот факт, что ваша компания базируется в США (не слишком далеко от Вашингтона), тоже не сильно помогает. если появляются агенты национальной безопасности или других менее существующих агентств, высылают верительные грамоты и напоминают вам о вашем патриотическом долге, я думаю, что ваши лучшие намерения не стоят большого. Надеюсь, вы не против, что я предпочитаю местное решение.
21
На самом деле, Молли, это звучит так, как будто все зашифровано и расшифровано на стороне клиента - так как они сами не могут получить доступ к чему-либо. Если это правда, я не понимаю, почему это менее безопасно, чем иметь что-то локально.
Фоши
10
Да, все зашифровано локально. Мы, честно говоря, не хотим, чтобы мы имели доступ к вашим конфиденциальным данным, это ненужный риск, который мы не хотим брать на себя. FWIW, мы вошли в топ-100 продуктов pcmag 2009 года, вошли в список лучших продуктов безопасности pcworld 2009 года и в настоящее время размещаются на сайте расширений Google Chrome в качестве лучших.
Боб из LastPass
2
достаточно справедливо (хотя Google может не отдавать предпочтение оценке продуктов, связанных с конфиденциальностью, учитывая их послужной список), но факт остается фактом, что мои пароли в конечном итоге перестают быть доступны исключительно мне, когда они хранятся в Интернете, независимо от сложности защитных мер.
3
Приятно слышать от первого лица. +1 для вашей "Grid" технологии, это действительно умная идея. :)
Саша Чедыгов
19

Я не считаю LastPass особенно безопасным (как и все, что хранится «в облаке»), я предпочитаю локальное решение (например, KeePass ). Удобство онлайн-доступа к информации для входа в систему по недопустимой цене (по крайней мере, для старого, параноика).

Питер Мортенсен
источник
2
KeePass имеет версии для Unix (KeePassX) и Windows и работает с USB-накопителя (идеально подходит для паролей для сайтов, таких как SuperUser).
@Molly - красиво сказано.
Ладья
6
@Molly Похоже, что информация LastPass шифруется локально, а не «в облаке».
Феб
2
Я использую его, но дело в том, чтобы поддерживать файл хранилища ключей в актуальном состоянии и создавать резервные копии. Это компромисс с хранителями пароля онлайн.
Мартен Бодьюс
2
Раньше я использовал KeePass. Думать, что это более безопасно, чем LastPass, и получать те же преимущества - иллюзия. Как вы собираетесь делать резервные копии своей базы данных KeePass и поддерживать все копии в актуальном состоянии? Либо вручную, с риском кражи или поломки носителя (например, жесткого диска, USB-накопителя, смартфона) или хранения его на чем-то вроде Dropbox. И угадайте что, тогда вы снова вернетесь к хранению вещей в облаке. Минус преимущества возможностей LastPass.
G_H
16

Что делает его безопасным, так это то, что они никому не могут сказать, какие у вас пароли, даже с пистолетом в голову. Даже при использовании веб-интерфейса ваши пароли перед передачей шифруются локально.

Да, это правда, что он обеспечивает «единую точку отказа», если не используется Grid. Тем не менее, вы можете иметь смехотворно надежный мастер-пароль - кого волнует, нужно ли вам вводить пароль из 100 символов, если вы делаете это только один раз в день? А поскольку он сохраняет ваши «пароли», вы можете иметь их намного надежнее, чем обычно.

Еще одним преимуществом является то, что большинство людей не будут иметь разные пароли для каждого веб-сайта (или будут иметь шаблон), и LastPass позволяет отказаться от этого. Итак, если раньше каждый сайт, на котором вы работали, был потенциальной точкой входа на все остальные сайты, на которых вы были, то теперь только ваша учетная запись LastPass. Взлом любого «дополнительного пароля» не дает никакой дополнительной информации злоумышленнику.

Это полезно, потому что вы не знаете , шифруют ли ваши сайты ваш пароль или перебивают его. Я мог бы назвать веб-сайт с 11 миллионами пользователей, который хранит незашифрованные пароли в своей базе данных.

Наконец, LastPass предлагает такие функции, как одноразовые пароли для доступа к вашим паролям в ненадежных местах, что обеспечивает безопасность вашей учетной записи даже от самых продвинутых клавиатурных шпионов.

ZoFreX
источник
Это хороший момент ... большинство людей повторно используют свой пароль ... или имеют два или три, которые охватывают все базы
JSJ
4

Просто быстро взглянул на их сайт - я думаю, что ваши очки верны ... Если кто-то взломает ваш пароль там, у него есть все ваши пароли - он просто объединяет несколько функций из нескольких программ в одну программу.

Посмотрев туда, нет ничего, что заставляет меня думать, что это «более безопасно», чем иметь отдельные пароли для разных сайтов - как вы все равно будете ... Последний проход просто облегчает управление.

Уильям Хилсум
источник
Служба Lastpass не работает так, как объяснено в комментарии Боба. Похоже, что в наше время людям не хватает того, что самый небезопасный способ хранения ваших конфиденциальных данных и паролей - на стороне ПК. Многие люди используют небезопасные пароли Firefox, Chrome и т. Д., Хотя это неверное чувство безопасности. Хорошему хакеру, умному вору или трояну требуется всего одна минута, чтобы получить все ваши пароли, получить доступ к вашей почте и другим данным. Lastpass не имеет никакой информации, тогда зашифрованный мусор на их стороне. Как охранное агентство может скомпрометировать это? Ключ находится на стороне ПК.
Рик Стивен
Если вы запустите установщик Windows LastPass, мы извлечем все ваши пароли из IE, FF и Chrome (кстати, если мы сможем это сделать, любая программа сможет), а затем предложим вам возможность их удалить. Мы определенно чувствуем, что мы гораздо более безопасны, чем этот способ запоминания ваших паролей в браузере, и нам гораздо удобнее.
Боб из LastPass
3

Возможно, было бы полезно узнать, что Стив Гибсон (из « Безопасности сейчас!» ) Ссылается на LastPass в подкасте :

... то, что я должен сказать, я думаю, самое лучшее решение.

В своих более чем 600 эпизодах безопасности Гибсон часто напоминает слушателям, что самые лучшие пароли бывают бессмысленными и длинными. В этом конкретном подкасте он говорит

... чем дольше ваш пароль, тем он надежнее

kizzx2
источник
0

Никакой онлайн-инструмент для хранения паролей не может гарантировать вам безопасность. Они утверждают, что механизм хранения защищенных паролей от хоста скрывает пароли от хоста, и только клиентская сторона знает ключ и расшифрованную форму.

Но следующее сообщение в блоге показывает недостаток в этом утверждении:

Одна из причин, почему мы не можем доверять онлайн-хранилищу паролей

Джадер Диас
источник
0

Используя LastPass с плагином Chrome, я смог получить пароль, перейдя на страницу входа в систему, введя пароль и введя следующее в консоли (нажмите F12).

document.querySelectorAll("[type=password]")[0].value

Это с двухфакторной аутентификацией и включенной опцией «требовать мастер-пароль для отображения / копирования пароля». Я предполагаю, что это не составит труда автоматизировать, а это означает, что пароли могут быть легко извлечены из LastPass, как и другие хранилища паролей, что противоречит тому, что, по-видимому, утверждает «Боб из LastPass».

Я думаю, что LastPass считается лучше, чем ручное управление паролями экспертами по безопасности, такими как Стив Гибсон, просто потому, что риск компрометации из-за слабого / повторно использованного пароля или из-за общего кейлоггера больше, чем риск от вредоносных программ, которые специально атакуют LastPass. Тем не менее, я бы использовал его только для сайтов, которые я могу позволить себе потерять, и никогда для банковской / основной электронной почты / Dropbox и т. Д.

Менеджер паролей, требующий двухфакторной аутентификации для каждого пароля, загружаемого с сервера (LastPass требует его только при первом входе в систему), ограничит повреждение только паролями, которые использовались на зараженном компьютере, но я не нашел менеджера паролей с этим вариантом еще.

dschlyter
источник
Похоже, вы пытаетесь показать, почему LastPass не является безопасным, показывая, что код Javascript, запущенный на веб-странице, может видеть пароли, введенные в формы на этой странице. Это правда, но это все еще верно даже без запуска LastPass. И это не позволяет странице получать пароли из LastPass для других сайтов, поэтому вы ничем не хуже, чем без нее.
Кевин Панко
Вы правы, и я, вероятно, не был достаточно ясен. Я не пытался утверждать, что любая веб-страница, которую вы посещаете, может украсть ваши пароли с помощью JavaScript. Я пытался утверждать, что кто-то, имеющий доступ к вашему компьютеру (например, злой друг или вредоносное ПО на общедоступном компьютере), может извлечь ваши сохраненные пароли из LastPass, даже с 2-факторной защитой паролем при просмотре паролей. Пример javascript был лишь одним из простых способов продемонстрировать это.
dschlyter
@dschlyter Я не уверен, что ты здесь говоришь. LastPass дает вам возможность либо автоматически вводить пароль, либо требовать от вас повторной аутентификации перед заполнением. Опция автозаполнения всегда включена, и я никогда не выбираю ее для сайтов, предоставляющих финансовые, электронные или облачные услуги. складские услуги. Это означает, что тот, кто пытался использовать трюк JS, который вы показываете, в лучшем случае получит только мои пароли для Stack Exchange и т. Д. И я не уверен, что ваш трюк так же легко осуществить, как вы думаете.
samwyse