Скажем, я был в Starbucks и хотел использовать LastPass... смогут ли пользователи FireSheep украсть пароль /cookie / сессию?
2 ответа
10
В общем нет. В дополнение к их серверам ваши пароли хранятся на вашем локальном компьютере в зашифрованном состоянии, и когда вы отправляете свой пароль на их сервер, он шифруется 256-битным шифрованием AES (т.е. действительно хорошим) перед тем, как покинуть ваш компьютер. Аналогично, когда вы получаете свой пароль от их сервера, он находится в зашифрованном состоянии, и только ваш главный пароль может расшифровать его. Если вы входите на веб-сайт без SSL (например, HTTPS), то этот конкретный пароль уязвим, но ваш мастер-пароль будет в безопасности. Вы использовали другой пароль для своего мастер-пароля, верно?
Кроме того, когда вы войдете на их сайт, вы будете в безопасном сеансе, что означает, что любая информация, передаваемая между вами и LastPass, (теоретически) безопасна.
Поскольку LastPass не хранит пароли в открытом виде (особенно ваш главный пароль, который я не думаю, что они хранятся вообще), единственной уязвимостью будет, если кому-то удастся завладеть их солью шифрования и хотя бы одним мастером пароль. Это сокращает время, необходимое для взлома другого мастер-пароля (помните, что у них, возможно, еще нет логина) с возраста юниверса в квадрате до нескольких миллионов лет, при условии, что ключ шифрования генерируется только из мастер-пароля и соли. , что для LastPass я не верю, так, я уверен, что это сложнее.
Подводя итог, вам нужно беспокоиться, только если вы заходите на сайт, который уже небезопасен, и все же ваш главный пароль в безопасности. Без LastPass вы, вероятно, использовали бы тот же самый неэффективный пароль, что и любой другой сайт, что означало бы, что вы бы в целом были менее защищены без него.
7
Из обзора технологии LastPass все данные шифруются и дешифруются локально, а их передача данных шифруется с помощью AES-256. FireSheep использует атаку типа «человек посередине», которая делает незашифрованные соединения уязвимыми.
Единственным эффективным решением этой проблемы является полное сквозное шифрование, известное в Интернете как HTTPS или SSL.
Поэтому, чтобы ответить на ваш вопрос, пользователи FireSheep смогут украсть ваши учетные данные, если веб-сайт, на который вы входите , не использует HTTPS. Сам LastPass не уязвим.