O que torna o LastPass tão seguro?

32

Eu simplesmente não consigo entender como o LastPass é seguro. Tudo o que um invasor precisa fazer é comprometer a conta única do LastPass e, em seguida, ele também comprometeu todos os outros sites.

O que há de tão bom nisso em comparação com a abordagem tradicional de ter contas separadas por site?

É realmente melhor ter uma senha mestre forte, senhas fortes específicas de sites que podem ser acessadas através da senha mestre do que ter senhas mais fracas, mas diferentes em todos os sites?

— rFactor
fonte

Exatamente como você vai se lembrar de senhas fortes para várias dezenas de sites? Estou contando mais de 160 credenciais armazenadas no meu cofre neste momento. Isso nem conta os códigos PIN armazenados de forma segura para cartões e chaves de licença de software que também estou mantendo lá. Além de poucas exceções, todas as senhas são geradas aleatoriamente, usando qualquer caractere disponível para o site em particular e com comprimento máximo ou mais de 20 caracteres. O LastPass pode detectar duplicatas para mim e fornecer um relatório de onde estou comprometendo a segurança.

— G_H

47

Além de permitir que você crie senhas únicas e complexas para cada site, também oferecemos autenticação gratuita de segundo fator: Grade . Portanto, seu nome de usuário e senha não são suficientes para acessar seus dados quando o Grid é usado.

Além disso, suas senhas não são armazenadas nos gerenciadores de senhas do Firefox ou do IE, que geralmente são inseguros (basta executar nosso instalador e ver como podemos extrair todas as senhas).

Quanto ao armazenamento na nuvem, tudo é criptografado localmente antes de ser enviado ao servidor e sua chave nunca é enviada para nós. Você pode ler mais sobre como o mantemos seguro na página de tecnologia em nosso site.

— Bob de LastPass
fonte

9

Aprecio a integridade sincera de seu serviço, mas a antiga paranóia morre muito. e o fato de sua empresa estar sediada nos EUA de A (não muito longe de Washington) também não ajuda muito. se agentes da Homeland Security ou outras agências menos existentes aparecerem, exibindo credenciais e lembrando seu dever patriótico, acho que suas melhores intenções não valem muito. Espero que você não se importe que prefira uma solução local.

21

Na verdade, molly, parece que tudo é criptografado e descriptografado no lado do cliente - como eles não conseguem acessar nada sozinhos. Se isso for verdade, não vejo por que isso é menos seguro do que ter algo localmente.

— Phoshi

10

Sim, tudo é criptografado localmente. Francamente, não queremos a responsabilidade de poder acessar seus dados confidenciais; é um risco desnecessário que não queremos correr. FWIW, fomos classificados entre os 100 principais produtos da pcmag em 2009, entre os melhores produtos de segurança da pcworld em 2009 e atualmente estão sendo apresentados no site de extensão do google chrome como as principais opções.

— Bob de LastPass

2

justo o suficiente (embora o Google possa não ser minha preferência para classificar produtos relacionados à privacidade, considerando seu histórico), mas o fato é que minhas senhas não são mais acessíveis exclusivamente por mim quando armazenadas on-line, independentemente da sofisticação das medidas de proteção.

3

É bom ouvir de uma primeira pessoa. +1 para a tecnologia "Grade", é uma ideia muito inteligente. :)

— Sasha Chedygov

19

Não considero o LastPass particularmente seguro (como qualquer coisa armazenada 'na nuvem'), prefiro uma solução local (por exemplo, KeePass ). A conveniência de ter acesso on-line às informações de login tem um preço inaceitável (pelo menos para os antigos paranóicos).

— Peter Mortensen
fonte

2

O KeePass possui versões do Unix (KeePassX) e Windows e funciona a partir de uma unidade USB (perfeita para senhas de sites como o SuperUser).

@Molly - bem colocado.

— Rook

6

@Molly Parece que as informações do LastPass são criptografadas localmente, não "na nuvem".

— Phoebus

2

Estou usando, mas o truque é manter o arquivo de armazenamento de chaves atualizado e fazer backup. Essa é a troca com os detentores de senhas on-line.

— Maarten Bodewes

2

Eu costumava usar o KeePass. Pensar que é mais seguro que o LastPass E colher os mesmos benefícios é uma ilusão. Como você fará backup do seu banco de dados KeePass e manterá todas as cópias atualizadas? Manualmente, com o risco de uma operadora (como HDD, pen drive, smartphone) ser roubada ou quebrada, ou você a mantém em algo como o Dropbox. E adivinhe, então você volta a manter as coisas na nuvem. Menos as vantagens dos recursos do LastPass.

— G_H

16

O que o torna seguro é simplesmente que eles não podem contar a ninguém quais são suas senhas, mesmo com uma arma na cabeça. Mesmo ao usar a interface da web, suas senhas são criptografadas localmente antes de serem transmitidas.

Sim, é verdade que ele fornece um "ponto único de falha", a menos que o Grid seja usado. No entanto, você pode ter uma senha mestra ridiculamente forte - quem se importa se você precisar digitar uma senha de 100 caracteres se a fizer apenas uma vez por dia? E como ele salva suas "sub senhas", você pode tê-las muito mais fortes do que normalmente.

Outra vantagem é que a maioria das pessoas não terá senhas diferentes para cada site (ou terá um padrão), e o LastPass permite que você evite isso. Portanto, considerando que antes de cada site em que você estava era um ponto de entrada em potencial para todos os outros sites em que você estava, agora apenas sua conta LastPass é. Quebrar qualquer "sub senha" não gera informações extras para um invasor.

Isso é útil porque você não tem idéia se os sites em que você está criptografam ou salgam sua senha. Eu poderia nomear um site com 11 milhões de usuários que armazena senhas não criptografadas em seus bancos de dados.

Finalmente, o LastPass oferece recursos como senhas únicas para acessar suas senhas em locais não confiáveis, o que mantém sua conta segura até mesmo dos keyloggers mais avançados.

— ZoFreX
fonte

Esse é um bom ponto .. a maioria das pessoas reutiliza sua senha .. ou tem duas ou três que cobrem todas as bases #

— 18711

4

Acabei de dar uma olhada rápida no site deles - acho que seus pontos estão corretos ... Se alguém quebra sua senha lá, eles têm todas as suas senhas - simplesmente agrega alguns recursos de alguns programas em um programa.

Ao olhar para lá, não há nada que me faça pensar que é "mais seguro" do que ter senhas separadas para sites diferentes - como você sempre será ... O último passe simplesmente facilita o gerenciamento.

— William Hilsum
fonte

O serviço Lastpass não funciona assim, conforme explicado no comentário de Bob. O que as pessoas parecem estar perdendo hoje em dia é que a maneira mais insegura de armazenar dados e senhas confidenciais é no lado do PC. Muitas pessoas usam os recursos de senha insegura do Firefox, Chrome etc., enquanto isso é um sentimento errado de segurança. Um bom hacker, ladrão inteligente ou cavalo de Troia precisa de apenas um minuto para obter todas as suas senhas, acessar seu e-mail e outros dados. Lastpass não tem nenhuma informação e lixo criptografado. Como uma agência de segurança pode comprometer isso? A chave está no lado do PC.

— Rick Steven

Se você executar o instalador do Windows LastPass, extraímos todas as suas senhas do IE, FF e Chrome (btw ... se pudermos fazer isso, qualquer programa pode) e ofereceremos a capacidade de excluí-las. Definitivamente, sentimos que somos muito mais seguros do que esse modo atual de lembrar suas senhas no navegador e também somos muito mais convenientes.

— Bob de LastPass

3

Talvez seja útil saber que Steve Gibson (do Security Now! Fame) se referiu ao LastPass em um podcast :

... o que tenho a dizer é, penso, a melhor solução possível.

Atualmente, em seus mais de 600 episódios de segurança, Gibson lembra aos ouvintes que as melhores senhas são longas e longas. Neste podcast em particular, ele diz

... quanto mais longa sua senha, mais forte ela é

— kizzx2
fonte

0

Nenhuma ferramenta de armazenamento de senhas on-line pode garantir segurança. Eles alegam que o mecanismo de armazenamento de senha à prova de host oculta as senhas do host e apenas o lado do cliente conhece a chave e o formulário descriptografado.

Mas a seguinte postagem no blog mostra uma falha nessa afirmação:

Uma razão pela qual não podemos confiar no armazenamento de senhas on-line

— Jader Dias
fonte

0

Usando o LastPass com o plug-in do Chrome, consegui extrair uma senha navegando até uma página de login, preenchendo a senha e inserindo o seguinte no console (pressione F12).

document.querySelectorAll("[type=password]")[0].value

Isso ocorre com autenticação de dois fatores e com a opção "exigir senha mestra para mostrar / copiar senha" ativada. Suponho que não seria difícil automatizar isso, o que significa que as senhas podem ser extraídas facilmente do LastPass, assim como outro armazenamento de senhas, contradizendo o que "Bob from LastPass" parece estar reivindicando.

Eu acho que o LastPass é considerado melhor que o gerenciamento manual de senhas por especialistas em segurança como Steve Gibson, simplesmente porque o risco de comprometimento de uma senha fraca / reutilizada ou de um keylogger genérico é maior que o risco de malware que está atacando especificamente o LastPass. Ainda assim, eu o usaria apenas para sites que posso perder, e nunca para serviços bancários / e-mail principal / Dropbox , etc.

Um gerenciador de senhas que exija autenticação de dois fatores para cada senha baixada do servidor (o LastPass exige apenas no primeiro login) limitaria o dano apenas às senhas usadas no computador infectado, mas não encontrei um gerenciador de senhas com essa opção ainda.

— dschlyter
fonte

Você parece estar tentando mostrar por que o LastPass não é seguro, mostrando que o código Javascript em execução em uma página da Web pode ver as senhas inseridas nos formulários dessa página. Isso é verdade, mas ainda é verdade mesmo sem o LastPass sendo executado. E não permite que a página obtenha senhas do LastPass para outros sites; portanto, você não está em pior situação do que sem ela.

— Kevin Panko 22/09

Você está certo, e eu provavelmente não fui suficientemente clara. Eu não estava tentando afirmar que qualquer página da Web que você visita pode roubar suas senhas com javascript. Eu estava tentando afirmar que alguém com acesso ao seu computador (por exemplo, amigo mal ou malware em um computador público) pode extrair suas senhas salvas do LastPass, mesmo com proteção de dois fatores e senha na exibição de senhas. O exemplo de javascript foi apenas uma maneira fácil de demonstrar isso.

— dschlyter

@dschlyter Não sei bem o que você está dizendo aqui. O LastPass oferece a opção de preencher automaticamente uma senha ou exigir que você se autentique novamente antes de preenchê-la. A opção de preenchimento automático é sempre opcional, e eu nunca a seleciono para sites que fornecem dados financeiros, email ou nuvem serviços de armazenamento. Isso significa que alguém que tentou usar o truque JS que você mostra só obteria minhas senhas para o Stack Exchange, etc. E não tenho certeza se seu truque é tão fácil de executar quanto parece.

— samwyse