Я не могу просто понять, насколько безопасно использование LastPass. Все, что нужно сделать злоумышленнику, - это взломать единую учетную запись LastPass, а затем он также взломал все остальные веб-сайты.
Что в этом хорошего, если сравнивать с традиционным подходом иметь отдельные учетные записи на сайте?
Действительно ли лучше иметь один надежный мастер-пароль, надежные пароли, специфичные для сайта, к которым можно получить доступ через мастер-пароль, чем иметь более слабые пароли, но разные на всех сайтах?
Ответы:
Помимо того, что вы можете создавать уникальные сложные пароли для каждого сайта, мы также предлагаем бесплатную аутентификацию по второму фактору: Grid . Таким образом, вашего имени пользователя и пароля недостаточно для доступа к вашим данным, когда используется Grid.
Кроме того, ваши пароли не хранятся в менеджерах паролей Firefox или IE, которые обычно небезопасны (просто запустите наш установщик и посмотрите, как мы можем получить все пароли).
Что касается хранения в облаке, то все шифруется локально перед отправкой на сервер, и ваш ключ никогда не отправляется нам. Вы можете узнать больше о том, как мы защищаем вас, на странице технологий на нашем веб-сайте.
источник
Я не считаю LastPass особенно безопасным (как и все, что хранится «в облаке»), я предпочитаю локальное решение (например, KeePass ). Удобство онлайн-доступа к информации для входа в систему по недопустимой цене (по крайней мере, для старого, параноика).
источник
Что делает его безопасным, так это то, что они никому не могут сказать, какие у вас пароли, даже с пистолетом в голову. Даже при использовании веб-интерфейса ваши пароли перед передачей шифруются локально.
Да, это правда, что он обеспечивает «единую точку отказа», если не используется Grid. Тем не менее, вы можете иметь смехотворно надежный мастер-пароль - кого волнует, нужно ли вам вводить пароль из 100 символов, если вы делаете это только один раз в день? А поскольку он сохраняет ваши «пароли», вы можете иметь их намного надежнее, чем обычно.
Еще одним преимуществом является то, что большинство людей не будут иметь разные пароли для каждого веб-сайта (или будут иметь шаблон), и LastPass позволяет отказаться от этого. Итак, если раньше каждый сайт, на котором вы работали, был потенциальной точкой входа на все остальные сайты, на которых вы были, то теперь только ваша учетная запись LastPass. Взлом любого «дополнительного пароля» не дает никакой дополнительной информации злоумышленнику.
Это полезно, потому что вы не знаете , шифруют ли ваши сайты ваш пароль или перебивают его. Я мог бы назвать веб-сайт с 11 миллионами пользователей, который хранит незашифрованные пароли в своей базе данных.
Наконец, LastPass предлагает такие функции, как одноразовые пароли для доступа к вашим паролям в ненадежных местах, что обеспечивает безопасность вашей учетной записи даже от самых продвинутых клавиатурных шпионов.
источник
Просто быстро взглянул на их сайт - я думаю, что ваши очки верны ... Если кто-то взломает ваш пароль там, у него есть все ваши пароли - он просто объединяет несколько функций из нескольких программ в одну программу.
Посмотрев туда, нет ничего, что заставляет меня думать, что это «более безопасно», чем иметь отдельные пароли для разных сайтов - как вы все равно будете ... Последний проход просто облегчает управление.
источник
Возможно, было бы полезно узнать, что Стив Гибсон (из « Безопасности сейчас!» ) Ссылается на LastPass в подкасте :
В своих более чем 600 эпизодах безопасности Гибсон часто напоминает слушателям, что самые лучшие пароли бывают бессмысленными и длинными. В этом конкретном подкасте он говорит
источник
Никакой онлайн-инструмент для хранения паролей не может гарантировать вам безопасность. Они утверждают, что механизм хранения защищенных паролей от хоста скрывает пароли от хоста, и только клиентская сторона знает ключ и расшифрованную форму.
Но следующее сообщение в блоге показывает недостаток в этом утверждении:
Одна из причин, почему мы не можем доверять онлайн-хранилищу паролей
источник
Используя LastPass с плагином Chrome, я смог получить пароль, перейдя на страницу входа в систему, введя пароль и введя следующее в консоли (нажмите F12).
Это с двухфакторной аутентификацией и включенной опцией «требовать мастер-пароль для отображения / копирования пароля». Я предполагаю, что это не составит труда автоматизировать, а это означает, что пароли могут быть легко извлечены из LastPass, как и другие хранилища паролей, что противоречит тому, что, по-видимому, утверждает «Боб из LastPass».
Я думаю, что LastPass считается лучше, чем ручное управление паролями экспертами по безопасности, такими как Стив Гибсон, просто потому, что риск компрометации из-за слабого / повторно использованного пароля или из-за общего кейлоггера больше, чем риск от вредоносных программ, которые специально атакуют LastPass. Тем не менее, я бы использовал его только для сайтов, которые я могу позволить себе потерять, и никогда для банковской / основной электронной почты / Dropbox и т. Д.
Менеджер паролей, требующий двухфакторной аутентификации для каждого пароля, загружаемого с сервера (LastPass требует его только при первом входе в систему), ограничит повреждение только паролями, которые использовались на зараженном компьютере, но я не нашел менеджера паролей с этим вариантом еще.
источник