LastPass จัดเก็บรหัสผ่านของฉันบนเว็บไซต์ของพวกเขาอย่างไร

15

LastPass โฆษณาว่าพวกเขาทำการเข้ารหัสรหัสผ่านท้องถิ่นก่อนที่พวกเขาจะถ่ายโอนและเก็บไว้ในเว็บไซต์ของพวกเขา อย่างไรก็ตามเมื่อฉันเข้าสู่ระบบด้วยรหัสผ่านที่ผ่านมาของฉันฉันสามารถเข้าถึงรหัสผ่านทั้งหมดของฉันในข้อความที่ชัดเจนที่นั่น สิ่งนี้ไม่ได้หมายความว่าพวกเขายังสามารถเข้าถึงรหัสผ่านทั้งหมดของฉันได้หรือไม่ ฉันจะยืนยันได้อย่างไรว่าพวกเขาไม่สามารถเข้าถึงรหัสผ่านของฉันได้?

encryption  passwords  lastpass 
dzhelil
แหล่งที่มา
9
Sathyajith Bhat
1
สตีฟกิบสันกล่าวว่ามันขึ้นและลง ดีพอสำหรับฉัน blog.lastpass.com/2010/07/...
เบียร์

คำตอบ:

18

การเข้ารหัส / ถอดรหัสทั้งหมดเกิดขึ้นในคอมพิวเตอร์ของคุณไม่ใช่บนเซิร์ฟเวอร์ของเรา ซึ่งหมายความว่าข้อมูลที่ละเอียดอ่อนของคุณไม่ได้เดินทางผ่านอินเทอร์เน็ตและไม่เคยสัมผัสเซิร์ฟเวอร์ของเรามีเพียงข้อมูลที่เข้ารหัสเท่านั้น

[ ... ]

รหัสลับของคุณถูกสร้างขึ้นจากที่อยู่อีเมลและรหัสผ่านหลักของคุณ รหัสผ่านหลักของคุณจะไม่ถูกส่งไปยัง LastPass เพียงแฮชแบบทางเดียวของรหัสผ่านของคุณเมื่อตรวจสอบความถูกต้องซึ่งหมายความว่าส่วนประกอบที่ประกอบขึ้นเป็นคีย์ของคุณยังคงอยู่ในระบบ นี่คือเหตุผลที่สำคัญมากที่ต้องจำรหัสผ่าน LastPass Master ของคุณ เราไม่ทราบและไม่มีข้อมูลที่เข้ารหัสของคุณนั้นไม่มีความหมาย LastPass ยังมีตัวเลือกการรักษาความปลอดภัยขั้นสูงที่ให้คุณเพิ่มระดับการป้องกันเพิ่มเติม

ที่มา: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

คอมพิวเตอร์ของคุณจะเข้ารหัสรหัสผ่านของคุณด้วยอีเมลและรหัสผ่านหลักและส่งข้อมูลนั้นไปยัง Lastpass เมื่อคุณตรวจสอบสิทธิ์ด้วยรหัสผ่านหลักของคุณที่ Lastpass.com Lastpass.com จะส่งคืนรหัสผ่านที่เข้ารหัสของคุณทั้งหมดซึ่งจะถูกถอดรหัสในเครื่องคอมพิวเตอร์ของคุณด้วยอีเมลและรหัสผ่านหลักของคุณ การสื่อสารทุกครั้งเกิดขึ้นผ่าน SSL ดังนั้นการดักข้อมูลจึงไร้ประโยชน์เป็นสองเท่า (เนื่องจากทุกอย่างถูกเข้ารหัสด้วยไม่ใช่แค่คีย์ SSL เท่านั้น แต่ใช้กับอีเมลและรหัสผ่านหลักของคุณ)

วิธีที่ดีที่สุดเพื่อให้แน่ใจว่านี่คือการตั้งค่าสคริปต์เพื่อตรวจสอบกิจกรรมเครือข่ายและดูว่ามีอะไรที่ถอดรหัส (รวมถึงรหัสผ่านหลัก) ไปที่ lastpass.com จากสิ่งที่ฉันเห็นในฟอรัมดูเหมือนว่าผู้ใช้รายอื่นได้ทำสิ่งนี้และไม่พบสิ่งที่น่าสงสัย

waiwai933
แหล่งที่มา
ทำไมฉันจึงสามารถลงชื่อเข้าใช้ lastpass.com ใน Safari (โดยไม่มีปลั๊กอิน Lastpass firefox) และดูรหัสผ่านทั้งหมดของฉันได้อย่างไร
chovy
1
@chovy คุณเห็นพวกเขาในเบราว์เซอร์ของคุณ - ที่แตกต่างกันแล้วเห็นพวกเขาบนเซิร์ฟเวอร์ ใช่ข้อมูลดิบมาจากเซิร์ฟเวอร์ แต่ถูกถอดรหัสโดยใช้ข้อมูลภายในเครื่องคอมพิวเตอร์ของคุณก่อนที่จะแสดงให้คุณเห็น
Tom
1
มีการจัดเก็บรหัสผ่านไว้ในเครื่องอย่างไร ในธรรมดา?
Meekohi
2

ฉันเพิ่งตรวจสอบสิ่งที่ไวไวกล่าวและมีเพียงแฮชที่ถูกส่งไปยังเซิร์ฟเวอร์ lastpass และมีการส่งคืนรหัสผ่านที่เข้ารหัสเท่านั้น ดูเหมือนว่าได้รับคีย์และเก็บไว้ในที่จัดเก็บในตัวเครื่อง

ในการขโมยรหัสผ่านหลักของคุณจำเป็นต้องมีช่องโหว่หรือการประนีประนอมของเซิร์ฟเวอร์ (หรืออย่างน้อยควร) เพื่อให้ใครบางคนเปลี่ยนวิธีการทำงานของแอปพลิเคชัน ความคิดเห็นของฉันคือ lastpass มีความปลอดภัยสำหรับการใช้งานเว็บปกติ แต่ไม่ควรใช้สำหรับเป้าหมายที่มีมูลค่าสูงซึ่งผู้โจมตีฝีมือดีอาจตามมา

Alex Lauerman
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.