LastPass ทำให้อะไรปลอดภัย?

32

ฉันไม่เข้าใจว่าการใช้ LastPass นั้นปลอดภัยเพียงใด ผู้โจมตีทั้งหมดที่ต้องทำคือการประนีประนอมบัญชี LastPass เพียงบัญชีเดียวจากนั้นเขาได้บุกรุกเว็บไซต์อื่น ๆ ทั้งหมด

มีอะไรดีเกี่ยวกับวิธีการเปรียบเทียบกับวิธีดั้งเดิมที่มีบัญชีแยกกันต่อไซต์

มันจะดีกว่าถ้ามีรหัสผ่านหลักที่รัดกุมรหัสผ่านที่รัดกุมเฉพาะไซต์ที่สามารถเข้าถึงได้ผ่านทางรหัสผ่านหลักมากกว่ารหัสผ่านที่อ่อนแอกว่า แต่แตกต่างกันในทุกเว็บไซต์

— rFactor
แหล่งที่มา

คุณจะจำรหัสผ่านที่คาดเดาได้ยากสำหรับเว็บไซต์หลายโหลได้อย่างไร ฉันกำลังนับข้อมูลประจำตัวที่เก็บไว้ในห้องนิรภัยของฉันมากกว่า 160 รายการในขณะนี้ นั่นไม่ได้นับรหัสพินที่จัดเก็บไว้อย่างปลอดภัยสำหรับการ์ดและคีย์ใบอนุญาตซอฟต์แวร์ที่ฉันเก็บไว้เช่นกัน นอกเหนือจากข้อยกเว้นน้อยมากรหัสผ่านทุกตัวในนั้นจะถูกสร้างแบบสุ่มโดยใช้อักขระใด ๆ ที่มีอยู่สำหรับไซต์นั้น ๆ และมีความยาวสูงสุดหรือมากกว่า 20 ตัวอักษร LastPass สามารถสูดดมข้อมูลที่ซ้ำกันให้ฉันและสามารถให้รายงานว่าฉันกำลังทำลายระบบความปลอดภัยอย่างไร

— G_H

47

นอกเหนือจากการช่วยให้คุณสร้างที่ไม่ซ้ำกัน, รหัสผ่านที่ซับซ้อนสำหรับแต่ละเว็บไซต์เรายังมีการตรวจสอบปัจจัยที่สองฟรี: กริด ดังนั้นชื่อผู้ใช้และรหัสผ่านของคุณจะไม่เพียงพอที่จะเข้าถึงข้อมูลของคุณเมื่อมีการใช้กริด

นอกจากนี้รหัสผ่านของคุณจะไม่ถูกเก็บไว้ในเครื่องมือจัดการรหัสผ่านของ Firefox หรือ IE ซึ่งไม่ปลอดภัย (เพียงเรียกใช้โปรแกรมติดตั้งของเราและดูว่าเราสามารถดึงรหัสผ่านทั้งหมดได้อย่างไร)

สำหรับการจัดเก็บในคลาวด์ทุกอย่างจะถูกเข้ารหัสในเครื่องก่อนที่มันจะถูกส่งไปยังเซิร์ฟเวอร์และคีย์ของคุณจะไม่ถูกส่งถึงเรา คุณสามารถอ่านเพิ่มเติมเกี่ยวกับวิธีที่เราทำให้คุณปลอดภัยบนหน้าเทคโนโลยีในเว็บไซต์ของเรา

— Bob จาก LastPass
แหล่งที่มา

9

ฉันซาบซึ้งในความจริงใจในการให้บริการของคุณอย่างแท้จริง แต่ความหวาดระแวงแก่ก็สิ้นลง และความจริงที่ว่า บริษัท ของคุณตั้งอยู่ในสหรัฐอเมริกา (ไม่ไกลจากวอชิงตัน) ไม่ได้ช่วยอะไรมาก หากตัวแทนความมั่นคงแห่งมาตุภูมิหรือหน่วยงานที่มีอยู่น้อยปรากฏขึ้นกระพริบข้อมูลประจำตัวและเตือนคุณถึงหน้าที่รักชาติของคุณฉันคิดว่าความตั้งใจที่ดีที่สุดของคุณไม่คุ้มค่ามากนัก ฉันหวังว่าคุณจะไม่คิดว่าฉันต้องการทางออกในท้องถิ่น

21

ที่จริงแล้วมอลลี่ดูเหมือนว่าทุกอย่างจะถูกเข้ารหัสและถอดรหัสฝั่งไคลเอ็นต์ - ในขณะที่พวกเขาไม่สามารถเข้าถึงสิ่งใดด้วยตัวเอง หากเป็นเรื่องจริงฉันไม่เห็นว่าทำไมจึงปลอดภัยน้อยกว่าการมีบางอย่างในเครื่อง

— Phoshi

10

ใช่ทุกอย่างถูกเข้ารหัสในเครื่อง เราไม่ต้องการให้มีความรับผิดชอบในการเข้าถึงข้อมูลที่ละเอียดอ่อนของคุณมันเป็นความเสี่ยงที่ไม่จำเป็นซึ่งเราไม่ต้องการรับ FWIW เราได้รับการจัดอันดับให้อยู่ใน 100 อันดับแรกของผลิตภัณฑ์ pcmag ในปี 2009 ติดอันดับในผลิตภัณฑ์ด้านความปลอดภัยที่ดีที่สุดของ pcworld ในปี 2009 และกำลังได้รับการเผยแพร่บนเว็บไซต์ส่วนขยายของ google chrome เป็นตัวเลือกอันดับต้น ๆ

— บ๊อบจาก LastPass

2

ยุติธรรมมากพอ (แม้ว่า Google อาจจะไม่ชอบให้คะแนนผลิตภัณฑ์ที่เกี่ยวข้องกับความเป็นส่วนตัวตามบันทึกของพวกเขา) แต่ข้อเท็จจริงก็คือรหัสผ่านของฉันจะไม่สามารถเข้าถึงได้อีกต่อไปโดยเฉพาะเมื่อฉันถูกจัดเก็บออนไลน์โดยไม่คำนึงถึงความซับซ้อนของมาตรการป้องกัน

3

ดีใจที่ได้ยินจากบุคคลที่หนึ่ง +1 สำหรับเทคโนโลยี "กริด" ของคุณนั่นเป็นความคิดที่ฉลาดจริงๆ :)

— Sasha Chedygov

19

ฉันไม่คิดว่า LastPass ปลอดภัยเป็นพิเศษ (เหมือนกับทุกอย่างที่เก็บไว้ 'ในคลาวด์') ฉันชอบโซลูชันท้องถิ่นมากกว่า (ตัวอย่างเช่นKeePass ) ความสะดวกสบายของการเข้าถึงข้อมูลการเข้าสู่ระบบออนไลน์นั้นในราคาที่ยอมรับไม่ได้ (อย่างน้อยฉันก็หวาดระแวงตัวเอง)

— ปีเตอร์มอร์เทนเซ่น
แหล่งที่มา

2

KeePass มีเวอร์ชั่น Unix (KeePassX) และ Windows และทำงานจากไดรฟ์ USB (เหมาะสำหรับรหัสผ่านสำหรับไซต์เช่น SuperUser)

@ มอลลี่ - ใส่ไว้อย่างดี

— โกง

6

@Molly ดูเหมือนว่าข้อมูล LastPass จะถูกเข้ารหัสแบบโลคัลไม่ใช่ "ในคลาวด์"

— phoebus

2

ฉันใช้มัน แต่เคล็ดลับคือการทำให้ไฟล์ที่เก็บคีย์เป็นข้อมูลล่าสุดและสำรองข้อมูล นี่คือการแลกเปลี่ยนกับผู้เฝ้าดูรหัสผ่านออนไลน์

— Maarten Bodewes

2

ฉันเคยใช้ KeePass การคิดว่ามันปลอดภัยกว่า LastPass และการได้รับประโยชน์เหมือนกันนั้นเป็นภาพลวงตา คุณจะสำรองฐานข้อมูล KeePass ของคุณและเก็บสำเนาทั้งหมดได้อย่างไร ไม่ว่าจะด้วยตนเองด้วยความเสี่ยงของผู้ให้บริการ (เช่น HDD, USB stick, สมาร์ทโฟน) ถูกขโมยหรือแตกหักหรือคุณเก็บไว้ในบางสิ่งเช่น Dropbox และคาดเดาสิ่งที่คุณจะกลับไปเก็บสิ่งที่อยู่ในเมฆ ลบข้อดีของฟีเจอร์ LastPass

— G_H

16

สิ่งที่ทำให้มีความปลอดภัยก็คือพวกเขาไม่สามารถบอกใครได้ว่ารหัสผ่านของคุณคืออะไรแม้จะมีปืนอยู่ที่หัวก็ตาม แม้เมื่อใช้เว็บอินเตอร์เฟสรหัสผ่านของคุณจะถูกเข้ารหัสในเครื่องก่อนส่ง

ใช่มันเป็นความจริงที่จะให้ "จุดเดียวของความล้มเหลว" เว้นแต่จะใช้กริด อย่างไรก็ตามคุณอาจมีรหัสผ่านหลักที่แข็งแกร่งอย่างน่าขันใครจะสนใจถ้าคุณต้องพิมพ์รหัสผ่าน 100 ตัวอักษรหากคุณทำวันละครั้งเท่านั้น และเนื่องจากเป็นการบันทึก "รหัสผ่านย่อย" ของคุณคุณสามารถทำให้พวกเขาแข็งแกร่งกว่าปกติได้

ข้อดีอีกประการคือคนส่วนใหญ่จะไม่มีรหัสผ่านที่แตกต่างกันสำหรับทุกเว็บไซต์ (หรือจะมีรูปแบบ) และ LastPass ช่วยให้คุณทิ้งสิ่งนี้ได้ ดังนั้นในขณะที่ก่อนที่คุณจะเข้าสู่ทุก ๆ เว็บไซต์นั้นเป็นจุดเริ่มต้นที่เป็นไปได้สำหรับเว็บไซต์อื่น ๆ ทั้งหมดที่คุณอยู่ตอนนี้เฉพาะบัญชี LastPass ของคุณเท่านั้น การถอดรหัส "รหัสผ่านย่อย" ใด ๆ ทำให้ไม่มีข้อมูลเพิ่มเติมให้กับผู้โจมตี

สิ่งนี้มีประโยชน์เพราะคุณไม่รู้ว่าไซต์ที่คุณกำลังเข้ารหัสรหัสผ่านของคุณหรือไม่ ฉันสามารถตั้งชื่อเว็บไซต์ที่มีผู้ใช้ 11 ล้านคนที่เก็บรหัสผ่านโดยไม่เข้ารหัสในฐานข้อมูลของพวกเขา

ในที่สุด LastPass มีคุณสมบัติเช่นรหัสผ่านครั้งเดียวสำหรับการเข้าถึงรหัสผ่านของคุณในสถานที่ที่ไม่น่าเชื่อถือซึ่งช่วยให้บัญชีของคุณปลอดภัยจากแม้แต่คีย์ล็อกเกอร์ขั้นสูงที่สุด

— ZoFreX
แหล่งที่มา

เป็นจุดที่ดี .. คนส่วนใหญ่ใช้รหัสผ่านซ้ำ .. หรือมีสองหรือสามตัวที่ครอบคลุมทุกฐาน

— jsj

4

เพิ่งดูเว็บไซต์ของพวกเขาได้อย่างรวดเร็ว - ฉันคิดว่าคะแนนของคุณถูกต้อง ... หากมีคนถอดรหัสรหัสผ่านของคุณที่นั่นพวกเขามีรหัสผ่านทั้งหมดของคุณ - มันรวมคุณสมบัติบางอย่างจากโปรแกรมไม่กี่โปรแกรมในหนึ่งโปรแกรม

จากการดูที่นั่นไม่มีอะไรที่ทำให้ฉันคิดว่ามัน "ปลอดภัยกว่า" กว่าการมีรหัสผ่านแยกต่างหากสำหรับเว็บไซต์ต่าง ๆ - คุณจะต้องอยู่ต่อ ... การผ่านครั้งสุดท้ายเพียงทำให้การจัดการง่ายขึ้น

— William Hilsum
แหล่งที่มา

บริการ Lastpass ไม่ทำงานอย่างที่อธิบายไว้ในความคิดเห็นของ Bob สิ่งที่คนดูเหมือนจะขาดหายไปทุกวันนี้คือวิธีที่ไม่ปลอดภัยที่สุดในการจัดเก็บข้อมูลและรหัสผ่านที่สำคัญของคุณคือด้านพีซี หลายคนใช้คุณสมบัติรหัสผ่านที่ไม่ปลอดภัยของ Firefox, Chrome และอื่น ๆ ซึ่งเป็นความรู้สึกผิดพลาดด้านความปลอดภัย แฮ็คเกอร์ที่ดีขโมยอัจฉริยะหรือโทรจันใช้เวลาเพียงหนึ่งนาทีในการรับรหัสผ่านทั้งหมดของคุณเข้าถึงอีเมลและข้อมูลอื่น ๆ Lastpass ไม่มีข้อมูลใด ๆ แล้วเข้ารหัสขยะที่ด้านข้าง บริษัท รักษาความปลอดภัยจะประนีประนอมได้อย่างไร? ที่สำคัญคือด้านพีซี

— Rick Steven

หากคุณเรียกใช้โปรแกรมติดตั้ง windows LastPass เราจะดึงรหัสผ่านทั้งหมดของคุณจาก IE, FF และ Chrome (btw ... หากเราสามารถทำได้โปรแกรมใดก็ได้) แล้วให้คุณสามารถลบได้ เรารู้สึกว่าเราปลอดภัยกว่าสถานะนี้ในการจดจำรหัสผ่านของคุณในเบราว์เซอร์และเราก็สะดวกกว่าเช่นกัน

— Bob จาก LastPass

3

อาจเป็นประโยชน์หากได้รู้จัก Steve Gibson (จากSecurity Now! fame) ที่อ้างถึง LastPass ในพ็อดแคสต์ :

... สิ่งที่ฉันต้องพูดคือฉันคิดว่าทางออกที่ดีที่สุดที่เป็นไปได้

ในการรักษาความปลอดภัยกว่า 600 ตอนของเขาตอนนี้กิบสันมักจะเตือนผู้ฟังว่ารหัสผ่านที่ดีที่สุดนั้นไม่ชัดเจนและใช้เวลานาน ในพอดคาสต์นี้โดยเฉพาะเขาพูดว่า

... ยิ่งรหัสผ่านของคุณยาวเท่าไหร่ก็ยิ่งแข็งแกร่งเท่านั้น

— kizzx2
แหล่งที่มา

0

ไม่มีเครื่องมือจัดเก็บรหัสผ่านออนไลน์ที่สามารถรับประกันความปลอดภัยของคุณได้ พวกเขาอ้างว่ากลไกการจัดเก็บรหัสผ่านพิสูจน์โฮสต์ซ่อนรหัสผ่านจากโฮสต์และเฉพาะฝั่งไคลเอ็นต์เท่านั้นที่รู้คีย์และรูปแบบการถอดรหัส

แต่โพสต์บล็อกต่อไปนี้แสดงข้อบกพร่องในการยืนยันดังกล่าว:

สาเหตุหนึ่งที่ทำให้เราไม่สามารถเชื่อถือการจัดเก็บรหัสผ่านออนไลน์ได้

— Jader Dias
แหล่งที่มา

0

ใช้ LastPass กับปลั๊กอิน Chrome ฉันสามารถดึงรหัสผ่านโดยไปที่หน้าเข้าสู่ระบบกรอกรหัสผ่านและป้อนข้อมูลต่อไปนี้ในคอนโซล (กดF12)

document.querySelectorAll("[type=password]")[0].value

นี่คือการตรวจสอบสองปัจจัยและด้วย "ต้องใช้รหัสผ่านหลักเพื่อแสดง / คัดลอกรหัสผ่าน" - เปิดใช้งานตัวเลือก ฉันเดาว่าคงไม่ยากที่จะทำให้เป็นแบบอัตโนมัติซึ่งหมายความว่ารหัสผ่านสามารถดึงได้อย่างง่ายดายจาก LastPass เช่นเดียวกับที่เก็บรหัสผ่านอื่น ๆ ซึ่งขัดแย้งกับสิ่งที่ "Bob จาก LastPass" ดูเหมือนจะอ้างสิทธิ์

ฉันเดา LastPass ถือว่าดีกว่าการจัดการรหัสผ่านด้วยตนเองโดยผู้เชี่ยวชาญด้านความปลอดภัยอย่างSteve Gibsonเพียงเพราะความเสี่ยงของการถูกบุกรุกจากรหัสผ่านที่อ่อนแอ / นำกลับมาใช้ใหม่หรือโดย keylogger ทั่วไปนั้นใหญ่กว่าความเสี่ยงจากมัลแวร์ที่โจมตีเฉพาะ LastPass ถึงกระนั้นฉันก็จะใช้มันสำหรับเว็บไซต์ที่ฉันสามารถที่จะสูญเสียและไม่เคยสำหรับธนาคาร / อีเมลหลัก / Dropboxฯลฯ

ตัวจัดการรหัสผ่านที่ต้องการการรับรองความถูกต้องแบบสองปัจจัยสำหรับทุกรหัสผ่านที่ดาวน์โหลดจากเซิร์ฟเวอร์ (LastPass ต้องการเพียงแค่การเข้าสู่ระบบครั้งแรก) จะจำกัดความเสียหายเฉพาะรหัสผ่านที่ใช้ในคอมพิวเตอร์ที่ติดไวรัส แต่ฉันไม่พบตัวจัดการรหัสผ่าน ด้วยตัวเลือกนั้น

— dschlyter
แหล่งที่มา

ดูเหมือนว่าคุณกำลังพยายามแสดงว่าเหตุใด LastPass จึงไม่ปลอดภัยโดยแสดงรหัส Javascript ที่ทำงานในเว็บเพจสามารถดูรหัสผ่านที่ป้อนลงในแบบฟอร์มในหน้านั้น สิ่งนี้เป็นจริง แต่ก็ยังคงเป็นจริงแม้ว่าจะไม่ได้ใช้ LastPass ก็ตาม และไม่อนุญาตให้เพจรับรหัสผ่านออกจาก LastPass สำหรับเว็บไซต์อื่น ๆ ดังนั้นคุณจึงไม่ได้แย่ไปกว่านี้หากไม่มี

— Kevin Panko

คุณพูดถูกและฉันอาจไม่ชัดเจนพอ ฉันไม่ได้พยายามอ้างว่าหน้าเว็บใด ๆ ที่คุณเยี่ยมชมสามารถขโมยรหัสผ่านของคุณด้วย javascript ฉันพยายามที่จะอ้างว่าใครบางคนที่สามารถเข้าถึงคอมพิวเตอร์ของคุณ (เช่นเพื่อนที่ชั่วร้ายหรือมัลแวร์ในคอมพิวเตอร์สาธารณะ) สามารถดึงรหัสผ่านที่บันทึกไว้จาก LastPass ได้แม้จะมีการป้องกันด้วย 2 ปัจจัยและรหัสผ่านในการดูรหัสผ่าน ตัวอย่างจาวาสคริปต์เป็นเพียงวิธีง่าย ๆ ในการแสดงให้เห็นว่า

— dschlyter

@dschlyter ฉันไม่แน่ใจว่าสิ่งที่คุณพูดที่นี่ LastPass ให้ตัวเลือกแก่คุณในการกรอกรหัสผ่านโดยอัตโนมัติหรือกำหนดให้คุณรับรองความถูกต้องของตัวเองอีกครั้งก่อนที่จะป้อนตัวเลือกป้อนอัตโนมัติจะเลือกใช้เสมอและฉันไม่เคยเลือกไว้สำหรับเว็บไซต์ที่ให้บริการทางการเงินอีเมลหรือคลาวด์ บริการจัดเก็บข้อมูล ซึ่งหมายความว่าคนที่พยายามใช้เคล็ดลับ JS ที่คุณแสดงจะได้รับรหัสผ่านของฉันสำหรับ Stack Exchange เท่านั้นและฉันไม่แน่ใจว่าเคล็ดลับของคุณนั้นง่ายที่จะดึงออกมาอย่างที่คุณคิด

— samwyse