Điều gì làm cho LastPass an toàn như vậy?


32

Tôi không thể hiểu đơn giản cách sử dụng LastPass là an toàn. Tất cả những gì kẻ tấn công cần làm là thỏa hiệp tài khoản LastPass duy nhất và sau đó anh ta cũng đã xâm phạm tất cả các trang web khác.

Điều gì tốt về điều đó so với cách tiếp cận truyền thống để có tài khoản riêng trên mỗi trang web?

Có thực sự tốt hơn khi có một mật khẩu chính mạnh, mật khẩu dành riêng cho trang web mạnh có thể được truy cập qua mật khẩu chính so với mật khẩu yếu hơn, nhưng khác nhau trên tất cả các trang web?


Chính xác làm thế nào bạn sẽ nhớ mật khẩu mạnh cho vài chục trang web? Tôi đang đếm hơn 160 thông tin được lưu trữ trong kho tiền của tôi tại thời điểm này. Điều đó thậm chí còn không tính mã pin được lưu trữ an toàn cho thẻ và khóa giấy phép phần mềm mà tôi đang giữ ở đó. Ngoài một vài trường hợp ngoại lệ, mọi mật khẩu trong đó đều được tạo ngẫu nhiên, sử dụng bất kỳ ký tự có sẵn nào cho trang web cụ thể và có độ dài tối đa hoặc ở đâu đó trên 20 ký tự. LastPass có thể phát hiện ra các bản sao cho tôi và có thể đưa ra một báo cáo về nơi tôi đang xâm phạm an ninh.
G_H

Câu trả lời:


47

Ngoài việc cho phép bạn tạo mật khẩu độc đáo, phức tạp cho từng trang web, chúng tôi cũng cung cấp xác thực yếu tố thứ hai miễn phí: Lưới . Vì vậy, tên người dùng và mật khẩu của bạn không đủ để truy cập dữ liệu của bạn khi sử dụng Grid.

Ngoài ra, mật khẩu của bạn không được lưu trữ trong trình quản lý mật khẩu của Firefox hoặc IE thường không an toàn (chỉ cần chạy trình cài đặt của chúng tôi và xem cách chúng tôi có thể lấy tất cả mật khẩu).

Đối với việc lưu trữ trên đám mây, mọi thứ đều được mã hóa cục bộ trước khi được gửi đến máy chủ và khóa của bạn không bao giờ được gửi cho chúng tôi. Bạn có thể đọc thêm về cách chúng tôi giữ bạn an toàn trên trang công nghệ trên trang web của chúng tôi.


9
Tôi đánh giá cao sự toàn vẹn chân thành của dịch vụ của bạn, nhưng sự hoang tưởng cũ chết cứng. và thực tế là công ty của bạn có trụ sở tại Hoa Kỳ của A (không quá xa Washington) cũng không giúp được gì nhiều. nếu các đại lý của An ninh Nội địa hoặc các cơ quan ít tồn tại khác xuất hiện, nhấp nháy thông tin và nhắc nhở bạn về nghĩa vụ yêu nước của bạn, tôi nghĩ rằng ý định tốt nhất của bạn không có giá trị nhiều. tôi hy vọng bạn không bận tâm rằng tôi thích một giải pháp địa phương.

21
Trên thực tế, molly, có vẻ như mọi thứ đều được mã hóa và giải mã phía máy khách - như trong, họ không thể tự mình truy cập bất cứ thứ gì. Nếu đó là sự thật, tôi không hiểu tại sao điều này lại kém an toàn hơn là có một thứ gì đó ở địa phương.
Phoshi

10
Vâng, mọi thứ đều được mã hóa cục bộ. Chúng tôi thực sự không muốn có trách nhiệm truy cập dữ liệu nhạy cảm của bạn, đó là một rủi ro không cần thiết mà chúng tôi không muốn nhận. FWIW, chúng tôi đã được xếp hạng trong 100 sản phẩm hàng đầu năm 2009 của pcmag, được xếp hạng trong các sản phẩm bảo mật tốt nhất năm 2009 của pcworld và hiện đang được giới thiệu trên trang web mở rộng của Google chrome là lựa chọn hàng đầu của họ.
Bob từ LastPass

2
đủ công bằng (mặc dù Google có thể không phải là sở thích của tôi để xếp hạng các sản phẩm liên quan đến quyền riêng tư được cung cấp theo dõi hồ sơ của họ), nhưng thực tế là mật khẩu của tôi cuối cùng không còn có thể truy cập được khi tôi được lưu trữ trực tuyến, bất kể các biện pháp bảo vệ tinh vi.

3
Thật tuyệt khi được nghe từ một bên thứ nhất. +1 cho công nghệ "Lưới" của bạn, đó là một ý tưởng thực sự thông minh. :)
Sasha Chedygov

19

Tôi không coi LastPass đặc biệt an toàn (như mọi thứ được lưu trữ 'trên đám mây'), tôi rất thích một giải pháp cục bộ (ví dụ: KeePass ). Sự tiện lợi của việc truy cập trực tuyến vào thông tin đăng nhập có mức giá không thể chấp nhận được (ít nhất là đối với tôi già hoang tưởng).


2
KeePass có phiên bản Unix (KeePassX) và Windows và hoạt động từ ổ USB (hoàn hảo cho mật khẩu cho các trang web như SuperUser).

@Molly - độc đáo đặt.
Rook

6
@Molly Dường như thông tin LastPass được mã hóa cục bộ, không phải "trong đám mây".
phoebus

2
Tôi đang sử dụng nó, nhưng mẹo là giữ cho tệp lưu trữ khóa được cập nhật và sao lưu. Đây là sự đánh đổi với những người giữ mật khẩu trực tuyến.
Maarten Bodewes

2
Tôi đã từng sử dụng KeePass. Nghĩ rằng nó an toàn hơn LastPass VÀ gặt hái những lợi ích tương tự là một ảo ảnh. Làm thế nào bạn sẽ sao lưu cơ sở dữ liệu KeePass của bạn và giữ cho tất cả các bản sao được cập nhật? Hoặc bằng tay, với nguy cơ nhà mạng (như ổ cứng, thẻ nhớ USB, điện thoại thông minh) bị đánh cắp hoặc phá vỡ hoặc bạn giữ nó trên một cái gì đó như Dropbox. Và đoán xem, sau đó bạn quay lại để giữ mọi thứ trên đám mây. Trừ đi những lợi thế của các tính năng của LastPass.
G_H

16

Điều làm cho nó an toàn chỉ đơn giản là họ không thể nói cho ai biết mật khẩu của bạn là gì, ngay cả khi dùng súng bắn vào đầu họ. Ngay cả khi sử dụng giao diện web, mật khẩu của bạn được mã hóa cục bộ trước khi được truyền đi.

Đúng, đúng là nó cung cấp "một điểm thất bại" trừ khi Grid được sử dụng. Tuy nhiên, bạn có thể có một mật khẩu chủ cực kỳ mạnh mẽ - ai quan tâm nếu bạn phải nhập mật khẩu 100 ký tự nếu bạn chỉ làm điều đó một lần một ngày? Và bởi vì nó lưu "mật khẩu phụ" của bạn, bạn có thể có chúng mạnh hơn rất nhiều so với bình thường.

Một lợi thế khác là hầu hết mọi người sẽ không có mật khẩu khác nhau cho mỗi trang web (hoặc sẽ có mẫu) và LastPass cho phép bạn bỏ qua điều này. Vì vậy, trong khi trước mỗi trang web bạn truy cập là một điểm nhập tiềm năng cho tất cả các trang web khác bạn đang truy cập, thì bây giờ chỉ có tài khoản LastPass của bạn. Việc bẻ khóa bất kỳ "mật khẩu phụ" sẽ không mang lại thêm thông tin cho kẻ tấn công.

Điều này rất hữu ích vì bạn không biết liệu các trang web bạn đang truy cập đang mã hóa mật khẩu hay muối. Tôi có thể đặt tên cho một trang web với 11 triệu người dùng lưu trữ mật khẩu không được mã hóa trong cơ sở dữ liệu của họ.

Cuối cùng, LastPass cung cấp các tính năng như mật khẩu một lần để truy cập mật khẩu của bạn ở những vị trí không đáng tin cậy, giúp giữ an toàn cho tài khoản của bạn ngay cả những keylogger tiên tiến nhất.


Đó là một điểm tốt .. hầu hết mọi người sử dụng lại mật khẩu của họ .. hoặc có hai hoặc ba bao gồm tất cả các cơ sở
jsj

4

Chỉ cần xem nhanh trang web của họ - Tôi nghĩ rằng điểm của bạn là chính xác ... Nếu ai đó bẻ khóa mật khẩu của bạn ở đó, họ có tất cả mật khẩu của bạn - nó chỉ gói một vài tính năng từ một vài chương trình vào một chương trình.

Từ việc nhìn vào đó, không có gì khiến tôi nghĩ nó "an toàn" hơn việc có mật khẩu riêng cho các trang web khác nhau - vì dù sao bạn cũng sẽ ... Cách cuối cùng đơn giản giúp quản lý dễ dàng hơn.


Dịch vụ Lastpass không hoạt động như vậy như được giải thích trong bình luận của Bob. Những gì mọi người dường như đang thiếu hiện nay là cách không an toàn nhất để lưu trữ dữ liệu và mật khẩu nhạy cảm của bạn là ở phía máy tính. Nhiều người sử dụng các tính năng mật khẩu không an toàn của Firefox, Chrome, v.v. trong khi đó là một cảm giác sai về bảo mật. Một hacker giỏi, kẻ trộm thông minh hoặc trojan chỉ cần một phút để lấy tất cả mật khẩu, truy cập thư và dữ liệu khác của bạn. Lastpass không có bất kỳ thông tin nào sau đó được mã hóa rác về phía họ. Làm thế nào một cơ quan an ninh có thể thỏa hiệp điều đó? Chìa khóa nằm ở phía pc.
Rick Steven

Nếu bạn chạy trình cài đặt cửa sổ LastPass, chúng tôi sẽ lấy tất cả mật khẩu của bạn từ IE, FF và Chrome (btw ... nếu chúng tôi có thể làm điều đó, bất kỳ chương trình nào cũng có thể) và sau đó cung cấp cho bạn khả năng xóa chúng. Chúng tôi chắc chắn cảm thấy chúng tôi an toàn hơn nhiều so với cách ghi nhớ mật khẩu này trong trình duyệt và chúng tôi cũng thuận tiện hơn nhiều.
Bob từ LastPass

3

Có thể hữu ích khi biết Steve Gibson (của Security Now! Fame) đã đề cập đến LastPass trong một podcast :

... những gì tôi phải nói là, tôi nghĩ, giải pháp tốt nhất có thể.

Trong hơn 600 tập bảo mật của mình bây giờ, Gibson thường nhắc nhở người nghe những mật khẩu tốt nhất là vô nghĩa và dài. Trong podcast đặc biệt này, ông nói

... mật khẩu của bạn càng dài thì nó càng mạnh


0

Không có công cụ lưu trữ mật khẩu trực tuyến có thể đảm bảo an ninh cho bạn. Họ cho rằng cơ chế lưu trữ mật khẩu bằng chứng của máy chủ sẽ ẩn mật khẩu khỏi máy chủ và chỉ có phía khách hàng biết khóa và biểu mẫu được giải mã.

Nhưng bài đăng trên blog sau đây cho thấy một lỗ hổng trong khẳng định đó:

Một lý do tại sao chúng tôi không thể tin tưởng lưu trữ mật khẩu trực tuyến


0

Sử dụng LastPass với plugin Chrome, tôi có thể lấy mật khẩu bằng cách điều hướng đến trang đăng nhập, điền mật khẩu và nhập thông tin sau vào bảng điều khiển (nhấn F12).

document.querySelectorAll("[type=password]")[0].value

Điều này là với xác thực hai yếu tố và với "yêu cầu mật khẩu chính để hiển thị / sao chép mật khẩu" được kích hoạt. Tôi đoán sẽ không khó để tự động hóa việc này, có nghĩa là mật khẩu có thể được lấy dễ dàng từ LastPass giống như các bộ lưu trữ mật khẩu khác, trái ngược với những gì "Bob từ LastPass" dường như đang tuyên bố.

Tôi đoán LastPass được coi là tốt hơn so với quản lý mật khẩu thủ công bởi các chuyên gia bảo mật như Steve Gibson đơn giản vì nguy cơ thỏa hiệp từ mật khẩu yếu / được sử dụng lại hoặc bởi một keylogger chung lớn hơn rủi ro từ phần mềm độc hại tấn công LastPass. Tuy nhiên, tôi sẽ chỉ sử dụng nó cho các trang web mà tôi có thể đủ khả năng để mất và không bao giờ cho ngân hàng / email chính / Dropbox , v.v.

Trình quản lý mật khẩu yêu cầu xác thực hai yếu tố cho mỗi mật khẩu được tải xuống từ máy chủ (LastPass chỉ yêu cầu mật khẩu khi đăng nhập lần đầu) sẽ hạn chế thiệt hại chỉ những mật khẩu được sử dụng trên máy tính bị nhiễm, nhưng tôi không tìm thấy trình quản lý mật khẩu với tùy chọn đó chưa.


Có vẻ như bạn đang cố gắng chỉ ra lý do tại sao LastPass không an toàn bằng cách hiển thị rằng mã Javascript đang chạy trong một trang web có thể thấy mật khẩu được nhập vào các biểu mẫu trên trang đó. Điều này đúng, nhưng nó vẫn đúng ngay cả khi không chạy LastPass. Và nó không cho phép trang lấy mật khẩu ra khỏi LastPass cho các trang web khác, vì vậy bạn sẽ không tệ hơn nếu không có nó.
Kevin Panko

Bạn nói đúng, và tôi có lẽ không đủ rõ ràng. Tôi đã không cố khẳng định rằng bất kỳ trang web nào bạn truy cập đều có thể đánh cắp mật khẩu của bạn bằng javascript. Tôi đã cố gắng tuyên bố rằng ai đó có quyền truy cập vào máy tính của bạn (ví dụ: người bạn độc ác hoặc phần mềm độc hại trên máy tính công cộng) có thể lấy mật khẩu đã lưu của bạn từ LastPass, ngay cả với bảo vệ 2 yếu tố và mật khẩu khi xem mật khẩu. Ví dụ javascript chỉ là một cách dễ dàng để chứng minh điều đó.
dschlyter

@dschlyter Tôi không chắc bạn đang nói gì ở đây. LastPass cung cấp cho bạn tùy chọn tự động điền mật khẩu hoặc yêu cầu bạn tự xác thực lại trước khi điền. Tùy chọn tự động điền luôn luôn chọn và tôi không bao giờ chọn nó cho các trang web cung cấp tài chính, email hoặc đám mây dịch vụ lưu trữ. Điều này có nghĩa là ai đó đã cố gắng sử dụng thủ thuật JS mà bạn hiển thị nhiều nhất sẽ chỉ nhận được mật khẩu của tôi cho Stack Exchange, v.v. Và tôi không chắc rằng thủ thuật của bạn dễ dàng thực hiện như bạn nghĩ.
samwyse
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.