Что делает LastPass таким безопасным?

Question

Я не могу просто понять, насколько безопасно использование LastPass. Все, что нужно сделать злоумышленнику, - это взломать единую учетную запись LastPass, а затем он также взломал все остальные веб-сайты.

Что хорошего в этом по сравнению с традиционным подходом иметь отдельные учетные записи на сайт?

Действительно ли лучше иметь один надежный мастер-пароль, надежные пароли, специфичные для сайта, к которым можно получить доступ через мастер-пароль, чем иметь более слабые пароли, но отличающиеся на всех сайтах?

Answer 1

Помимо того, что вы можете создавать уникальные сложные пароли для каждого сайта, мы также предлагаем бесплатную аутентификацию по второму фактору: Grid. Таким образом, вашего имени пользователя и пароля недостаточно для доступа к вашим данным, когда используется Grid.

Кроме того, ваши пароли не хранятся в менеджерах паролей Firefox или IE, которые обычно небезопасны (просто запустите наш установщик и посмотрите, как мы можем получить все пароли).

Что касается хранения в облаке, то все шифруется локально перед отправкой на сервер, и ваш ключ никогда не отправляется нам. Вы можете прочитать больше о том, как мы защищаем вас, на странице технологий на нашем сайте.

Answer 2

Я не считаю LastPass особенно безопасным (как и все, что хранится «в облаке»), я предпочитаю локальное решение (например, KeePass). Удобство онлайн-доступа к информации для входа в систему по недопустимой цене (по крайней мере, для параноика старого меня).

Answer 3

Что делает его безопасным, так это то, что он никому не может сказать, какие у вас пароли, даже с пистолетом в голову. Даже при использовании веб-интерфейса ваши пароли перед передачей шифруются локально.

Да, это правда, что он обеспечивает "единую точку отказа", если не используется Grid. Тем не менее, вы можете иметь смехотворно надежный мастер-пароль - кого волнует, нужно ли вам вводить пароль из 100 символов, если вы делаете это только один раз в день? И поскольку он сохраняет ваши "пароли", вы можете иметь их намного сильнее, чем обычно.

Другое преимущество состоит в том, что большинство людей не будут иметь разные пароли для каждого веб-сайта (или будут иметь шаблон), и LastPass позволяет вам отказаться от этого. Итак, если раньше каждый сайт, на котором вы работали, был потенциальной точкой входа на все остальные сайты, на которых вы были, то теперь только ваша учетная запись LastPass. Взлом любого "дополнительного пароля" не дает никакой дополнительной информации злоумышленнику.

Это полезно, потому что вы не знаете , шифруют ли ваши сайты ваш пароль или перебивают его. Я мог бы назвать веб-сайт с 11 миллионами пользователей, который хранит незашифрованные пароли в своей базе данных.

Наконец, LastPass предлагает такие функции, как одноразовые пароли для доступа к вашим паролям в ненадежных местах, что обеспечивает защиту вашей учетной записи даже от самых продвинутых клавиатурных шпионов.

Answer 4

Просто бросил быстрый взгляд на их сайт - я думаю, что ваши очки верны ... Если кто-то взломает ваш пароль там, у него есть все ваши пароли - он просто объединяет несколько функций из нескольких программ в одну программу.

Посмотрев туда, нет ничего, что заставляет меня думать, что это "более безопасно", чем иметь отдельные пароли для разных сайтов - как вы будете в любом случае ... Последний проход просто облегчает управление.

Answer 5

Может быть полезно узнать Стива Гибсона (из Security Now! слава) ссылается на LastPass в подкасте:

... то, что я должен сказать, я думаю, это лучшее из возможных решений.

В своих более чем 600 эпизодах безопасности Гибсон часто напоминает слушателям, что лучшие пароли являются бессмысленными и длинными. В этом конкретном подкасте он говорит

... чем длиннее ваш пароль, тем он крепче

Answer 6

Используя LastPass с плагином Chrome, я смог получить пароль, перейдя на страницу входа в систему, введя пароль и введя следующее в консоли (нажмите F12).

document.querySelectorAll("[type=password]")[0].value

Это с двухфакторной аутентификацией и включенной опцией «требовать мастер-пароль для отображения / копирования пароля». Я предполагаю, что это не составит труда автоматизировать, это означает, что пароли могут быть легко извлечены из LastPass, как и другие хранилища паролей, что противоречит тому, что, по-видимому, заявляет "Боб из LastPass".

Я думаю, что LastPass считается лучше, чем ручное управление паролями экспертами по безопасности, такими как Стив Гибсон, просто потому, что риск компрометации из-за слабого / повторно используемого пароля или из-за общего кейлоггера больше, чем риск от вредоносного ПО, которое специально атакует LastPass. Тем не менее, я бы использовал его только для сайтов, которые я могу позволить себе потерять, и никогда для банковской / основной электронной почты / Dropbox и т.д.

Менеджер паролей, требующий двухфакторной аутентификации для каждого пароля, загружаемого с сервера (LastPass требует его только при первом входе в систему), ограничит повреждение только паролями, которые использовались на зараженном компьютере, но я не нашел менеджера паролей с этим вариантом еще.

Answer 7

Никакой онлайн инструмент для хранения паролей не может гарантировать вам безопасность. Они утверждают, что механизм хранения защищенных паролей скрывает пароли от хоста, и только клиентская сторона знает ключ и расшифрованную форму.

Но следующее сообщение в блоге показывает недостаток в этом утверждении:

Одна из причин, почему мы не можем доверять онлайн-хранилищу паролей