LastPass şifrelerimi web sitelerinde nasıl saklar?


15

LastPass, web sitelerine aktarılmadan ve saklanmadan önce şifrelerin yerel olarak şifrelenmesini gerçekleştirdiklerini bildirir. Ancak, geçmiş şifremle giriş yaptığımda, tüm şifrelerime açık metinle erişebiliyorum. Bu, tüm şifrelerime de erişebilecekleri anlamına gelmez mi? Şifrelerime erişimlerinin olmadığını nasıl doğrulayabilirim?



1
Steve Gibson bunun yükselişte olduğunu söylüyor. Bu benim için yeterince iyi. blog.lastpass.com/2010/07/…
ale

Yanıtlar:


18

Tüm şifreleme / şifre çözme sunucularımızda değil bilgisayarınızda gerçekleşir. Bu, hassas verilerinizin İnternet üzerinden seyahat etmediği ve sunucularımıza asla dokunmadığı, yalnızca şifrelenmiş verilerin yaptığı anlamına gelir.

[...]

Şifreleme anahtarınız e-posta adresinizden ve Ana Parolanızdan oluşturulur. Ana Parolanız asla LastPass'a gönderilmez, kimlik doğrulaması sırasında parolanızın yalnızca tek yönlü bir karma değeri vardır, bu da anahtarınızı oluşturan bileşenlerin yerel kalması anlamına gelir. Bu yüzden LastPass Ana Parolanızı hatırlamanız çok önemlidir; bilmiyoruz ve onsuz şifrelenmiş verileriniz anlamsız. LastPass ayrıca daha fazla koruma katmanı eklemenize izin veren gelişmiş güvenlik seçenekleri sunar.

Kaynak: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

Başka bir deyişle, bilgisayarınız şifrelerinizi e-posta ve ana şifrenizle şifreler ve bu verileri Lastpass'a gönderir. Lastpass.com'da ana parolanızla kimlik doğrulaması yaptığınızda, Lastpass.com , bilgisayarınızda yerel olarak şifresi çözülen tüm şifrelenmiş parolalarınızı e-postanız ve ana parolanızla döndürür . Her iletişim SSL üzerinden gerçekleşir, bu yüzden ele geçirilen her şey iki kat işe yaramaz (çünkü her şey sadece SSL anahtarlarıyla değil e-posta ve ana şifrenizle şifrelenir).

Bunu sağlamanın en iyi yolu, ağ etkinliğini izlemek için bir komut dosyası ayarlamak ve şifresi çözülen herhangi bir şeyin (ana şifre dahil) lastpass.com'a gidip gitmediğini görmek. Forumlarda gördüklerime dayanarak, diğer kullanıcılar bunu yaptı ve şüpheli bir şey bulamadılar.


Nasıl olur da Safari'de lastpass.com'a (Lastpass firefox eklentisi olmadan) giriş yapabilir ve o zaman tüm şifreleri görebilirim?
chovy

1
@chovy Bunları tarayıcınızda görüyorsunuz - bu sunucuda görmekten farklı. Evet, ham veriler sunucudan gelir, ancak size gösterilmeden önce bilgisayarınızdaki yerel veriler kullanılarak şifresi çözülür.
Tom

1
Şifreler makinede yerel olarak nasıl saklanıyor? Düz metin olarak mı?
Meekohi

2

Waiwai'nin söylediklerini doğruladım ve lastpass sunucusuna sadece bir karma iletildi ve sadece şifrelenmiş şifreler iade edildi. Yerel depoda türetilen ve depolanan bir anahtar gibi görünüyor.

Ana parolanızı çalmak için, birisinin uygulamanın davranış biçimini değiştirmesi için bir güvenlik açığı veya sunucunun güvenliği gerekir (veya en azından gerekir). Bence lastpass normal web kullanımı için güvenli ancak yetenekli saldırganların peşinde olabileceği yüksek değerli hedefler için kullanılmaması gerektiğidir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.