LastPass'ı bu kadar güvenli yapan şey nedir?

32

LastPass kullanmanın nasıl güvenli olduğunu basitçe anlayamıyorum. Bir saldırganın tek yapması gereken, LastPass'ın tek hesabını riske atmak ve daha sonra diğer tüm web sitelerini de tehlikeye attı.

Site başına ayrı hesaplara sahip olma geleneksel yaklaşımla karşılaştırıldığında bunun nesi iyi?

Bir güçlü ana parola, ana parola ile erişilebilen daha zayıf parolalara sahip olmaktan ziyade siteye özgü parolalara sahip olmak, ancak tüm web sitelerinde farklı olmak gerçekten daha iyi mi?

— rFactor
kaynak

Tam olarak, birkaç düzine site için güçlü şifreleri nasıl hatırlayacaksın? Şu anda kasamda depolanan 160+ kimlik belgesini sayıyorum. Bu, orada sakladığım kartlar ve yazılım lisans anahtarları için güvenli bir şekilde depolanan pin kodlarını bile saymıyor. Çok az istisna dışında, oradaki her şifre, belirli bir site için kullanılabilir herhangi bir karakter kullanılarak ve en fazla 20 karakterden uzun veya herhangi bir yerde rastgele oluşturulur. LastPass benim için kopyaları alabilir ve güvenliği tehlikeye attığım yerlerin bir raporunu verebilir.

— G_H

47

Her site için benzersiz, karmaşık şifreler oluşturmanıza izin vermenin yanı sıra, ücretsiz ikinci faktör kimlik doğrulaması da sunuyoruz: Izgara . Dolayısıyla, kullanıcı adınız ve şifreniz, Grid kullanıldığında verilerinize erişmek için yeterli değil.

Ek olarak, şifreleriniz genellikle güvensiz olan Firefox’un veya IE’nin şifre yöneticilerinde saklanmaz (yalnızca kurucumuzu çalıştırın ve tüm şifreleri nasıl alabileceğimizi izleyin).

Bulutta depolamaya gelince, her şey sunucuya gönderilmeden önce yerel olarak şifrelenir ve anahtarınız asla bize gönderilmez. Sizi nasıl koruduğumuz hakkında web sitemizdeki teknoloji sayfasından daha fazla bilgi edinebilirsiniz.

— LastPass'tan Bob
kaynak

9

Hizmetinizin samimi bütünlüğünü takdir ediyorum, ancak eski paranoya zor ölüyor. ve şirketinizin ABD’nin (Washington’dan çok uzak olmayan) ABD’de olması gerçeği de pek yardımcı olmuyor. Vatan Güvenliği ajanları veya daha az var olan diğer ajanslar ortaya çıkarsa, referansları gösterip vatanseverlik görevinizi hatırlatırsa, en iyi niyetinizin değmeyeceğini düşünüyorum. Umarım yerel bir çözümü tercih etmemin sakıncası yoktur.

21

Aslında, molly, her şey şifreli ve müşteri tarafında şifresi çözülmüş gibi geliyor - olduğu gibi, hiçbir şeye kendileri erişemiyorlar. Eğer bu doğruysa, bunun neden yerelde bir şeylere sahip olmaktan daha az güvenli olduğunu anlamıyorum.

— Phoshi

10

Evet, her şey yerel olarak şifrelenir. Açıkçası hassas verilerinize erişme yükümlülüğünü istemiyoruz, almak istemediğimiz gereksiz bir risk. FWIW, pcmag'ın 2009 yılının en iyi 100 ürününde, pcworld'ün 2009 yılının en iyi güvenlik ürünlerinde yer aldık ve şu anda google chrome 'un uzatma sitesinde en çok tercih edilenleri olarak yer alıyoruz.

— LastPass'tan Bob

2

yeterince adil (her ne kadar Google, takip kayıtlarına göre gizlilikle ilgili ürünleri derecelendirme tercihim olmasa da), ancak koruyucu önlemlerin karmaşıklığı ne olursa olsun, çevrimiçi olarak depolandıklarında şifrelerimin artık yalnızca kendi başıma erişemeyeceği gerçeğini sürdürüyor.

3

Birinci partiden haber almak güzel. "Grid" teknolojiniz için +1, bu gerçekten akıllıca bir fikir. :)

— Sasha Chedygov

19

LastPass'i özellikle güvenli bulmuyorum ('bulutta depolanan herhangi bir şey gibi), yerel bir çözümü tercih ediyorum (örneğin, KeePass ). Giriş bilgilerine çevrimiçi erişime sahip olmanın rahatlığı kabul edilemez bir fiyatla geliyor (en azından benim için paranoyak).

— Peter Mortensen
kaynak

2

KeePass, Unix (KeePassX) ve Windows sürümlerine sahiptir ve bir USB sürücüden çalışır (SuperUser gibi siteler için şifreler için mükemmel).

@ Molly - güzel koymak.

— Rook

6

@ Molly LastPass bilgilerinin "bulutta" değil, yerel olarak şifreli olduğu anlaşılıyor.

— phoebus

2

Kullanıyorum, ancak püf noktası, anahtar deposu dosyasını güncel tutup yedeklemektir. Bu, çevrimiçi parola saklayıcılarla yapılan tradeoff.

— Maarten Bodewes

2

KeePass'ı kullanırdım. LastPass'tan daha güvenli olduğunu düşünmek ve aynı faydaları elde etmek bir yanılsamadır. KeePass veritabanınızı nasıl yedekleyecek ve tüm kopyalarını güncel tutacaksınız? Ya manuel olarak, bir taşıyıcının (HDD, USB bellek, akıllı telefon gibi) çalınması ya da kırılması riskiyle ya da Dropbox gibi bir şey üzerinde durma riskiyle. Ve tahmin et ne oldu, sonra bulutta bir şeyleri tutmaya başladın. LastPass'ın özelliklerinin avantajlarını eksi.

— G_H

16

Güvende kılan şey, basitçe kimseye şifrelerinizin ne olduğunu söyleyememeleri, hatta kafasına silah da olsa. Web arayüzünü kullanırken bile, şifreleriniz iletilmeden önce yerel olarak şifrelenir.

Evet, Grid kullanılmadığı sürece "tek bir başarısızlık noktası" sağladığı doğrudur. Ancak, gülünç derecede güçlü bir ana parolanız olabilir - günde yalnızca bir kez yaparsanız 100 karakterlik bir parola yazmanızın kimin umrunda? Ve "alt şifrelerinizi" kurtardığından, normalde olduğundan çok daha güçlü bir hale getirebilirsiniz.

Diğer bir avantaj, çoğu insanın her web sitesi için farklı şifrelere sahip olmaması (veya bir desene sahip olması) ve LastPass'ın bunu atlamanıza izin vermesidir. Bu nedenle, bulunduğunuz her bir siteden önce bulunduğunuz tüm sitelere potansiyel bir giriş noktası olmadı, şimdi ise yalnızca LastPass hesabınız var. Herhangi bir "alt şifreyi" kırmak, bir saldırgana ek bilgi vermez.

Eğer var çünkü bu yararlıdır hiçbir fikri size şifrenizi şifreleyerek ya da tuzlama olan siteler olsun. Veritabanlarında şifrelenmemiş şifreleri saklayan 11 milyon kullanıcılı web sitesine isim verebilirim.

Son olarak, LastPass güvenilmez konumlardaki şifrelerinize erişmek için tek seferlik şifreler gibi özellikler sunar, bu da hesabınızı en gelişmiş keylogger'lardan bile korur.

— ZoFreX
kaynak

Bu iyi bir nokta .. çoğu insan şifresini yeniden kullanıyor .. ya da bütün üsleri kapsayan iki ya da üçü var

— jsj

4

Sadece sitelerini hızlıca inceledim - puanlarınızın doğru olduğunu düşünüyorum ... Birisi şifrenizi orada kırsa, tüm şifrelerinize sahipse - birkaç programdan bir programa birkaç özelliği bir araya getirir.

Oraya baktıktan sonra, farklı siteler için ayrı şifrelere sahip olmaktan daha "güvenli" olduğunu düşündüren hiçbir şey yok - yine de olacağınız gibi ... Son geçiş sadece yönetimi daha kolay hale getiriyor.

— William Hilsum
kaynak

Lastpass servisi, Bob'un yorumunda açıklandığı gibi çalışmaz. Bugünlerde insanların eksik gözüktüğü şey, hassas verilerinizi ve şifrelerinizi depolamanın en güvenli yolunun bilgisayar tarafında olmasıdır. Birçok kişi Firefox, Chrome vb. Güvensiz parola özelliklerini kullanırken bu yanlış bir güvenlik hissidir. İyi bir bilgisayar korsanı, akıllı hırsız veya truva atı tüm şifrelerinizi almak, postalarınıza ve diğer verilerinize erişmek için bir dakikaya ihtiyaç duyar. Lastpass hiçbir bilgiyi içermiyor, sonra kendi tarafında şifreli çöpleri. Bir güvenlik kurumu bunu nasıl tehlikeye atabilir? Anahtar pc tarafında.

— Rick Steven

LastPass windows yükleyicisini çalıştırırsanız, tüm şifrelerinizi IE, FF ve Chrome'dan alırız (btw ... eğer yapabilirsek, herhangi bir program yapabilir) ve sonra bunları silme olanağı sunarız. Tarayıcıdaki şifrelerinizi hatırlamanın bu durum quo yönteminden çok daha güvenli olduğumuzu kesinlikle hissediyoruz ve biz de daha rahatız.

— LastPass'dan Bob

3

Bir podcast'te LastPass'a atıfta bulunulan Steve Gibson ( Security Now! Şöhretinin) olduğunu bilmek faydalı olabilir :

... söylemem gereken şey, bence mümkün olan en iyi çözüm.

Şimdiki 600'den fazla güvenlik bölümündeki Gibson, sık sık dinleyicilere en iyi şifrelerin saçma ve uzun olduğunu hatırlatır. Bu özel podcast’te diyor ki

... şifreniz ne kadar uzunsa, o kadar güçlü

— kizzx2
kaynak

0

Hiçbir çevrimiçi şifre saklama aracı güvenliği garanti edemez. Ana bilgisayar kanıtı parola depolama mekanizmasının parolaları ana bilgisayardan gizlediğini ve yalnızca istemci tarafının anahtarı ve şifresi çözülen formu bildiğini iddia ediyorlar.

Ancak aşağıdaki blog yazısı bu iddiadaki bir kusuru göstermektedir:

Çevrimiçi şifre depolamasına güvenemememizin bir nedeni

— Jader Dias
kaynak

0

Chrome eklentisi ile LastPass'ı kullanarak bir giriş sayfasına giderek, şifreyi doldurarak ve aşağıdakileri konsolda girerek bir şifre çekebildim (basın F12).

document.querySelectorAll("[type=password]")[0].value

Bu, iki faktörlü kimlik doğrulaması ve "parola göstermek / kopyalamak için ana parola gerektir" seçeneği ile etkindir. Bunu otomatikleştirmek zor olmayacak, sanırım "LastPass'tan Bob" un iddia ettiği şeyle çelişen, aynı parolaların LastPass'tan kolayca çıkarılabileceği anlamına geliyor.

Sanırım LastPass, Steve Gibson gibi güvenlik uzmanları tarafından manuel parola yönetiminden daha iyi olarak kabul edilir, çünkü zayıf / yeniden kullanılan bir paroladan veya genel bir keylogger'den ödün verme riski, özellikle LastPass'a saldıran kötü amaçlı yazılımlardan kaynaklanan riskten daha büyüktür. Yine de, yalnızca kaybetmeyi göze alabileceğim siteler için kullanırdım ve asla bankacılık / birincil e-posta / Dropbox , vb. İçin kullanmazdım.

Sunucudan indirilen her şifre için iki faktörlü kimlik doğrulaması gerektiren bir şifre yöneticisi (yalnızca LastPass ilk giriş yapıldığında gerekir) zararı yalnızca virüslü bilgisayarda kullanılan şifrelere sınırlar, ancak şifre yöneticisi bulamadım Bu seçenek henüz.

— dschlyter
kaynak

Bir web sayfasında çalışan Javascript kodunun o sayfada formlara girilen şifreleri görebildiğini göstererek, LastPass'ın neden güvenli olmadığını göstermeye çalışıyor gibi görünüyorsunuz. Bu doğru, ancak LastPass çalışmıyorken bile geçerlidir. Ayrıca, sayfanın diğer siteler için LastPass'tan şifreler almasına izin vermediğinden, onsuzdan daha kötü bir durum elde edemezsiniz.

— Kevin Panko

Haklısın ve muhtemelen yeterince açık değildim. Ziyaret ettiğiniz herhangi bir web sayfasının şifrelerinizi javascript ile çalabileceğini iddia etmeye çalışmıyorum. Bilgisayarınıza erişimi olan (yani, genel bilgisayardaki kötü arkadaş veya kötü amaçlı yazılım) birinin şifreleri görüntüleme konusunda 2 faktörlü ve şifre korumalı olsa bile, LastPass'tan çekebileceğini iddia etmeye çalışıyordum. Javascript örneği, bunu göstermenin kolay bir yoluydu.

— dschlyter

@ dschlyter Burada ne söylediğinizden emin değilim. LastPass size ya otomatik olarak bir parola doldurma seçeneği sunar ya da doldurmadan önce kendinizin kimliğini doğrulamanızı ister. Otomatik doldurma seçeneği her zaman tercihlidir ve hiçbir zaman finansal, e-posta veya bulut sağlayan siteler için seçmem. depolama hizmetleri Bu, gösterdiğiniz JS numarasını kullanmaya çalışan birinin en çok Yığın Değişim Borsası şifrelerimi alacağı anlamına gelir. Ve numarasının sandığınız kadar kolay göründüğünden emin değilim.

— samwyse