Apa yang membuat LastPass begitu aman?

32

Saya tidak bisa begitu memahami bagaimana menggunakan LastPass aman. Yang perlu dilakukan penyerang adalah mengkompromikan akun LastPass tunggal dan kemudian dia juga telah mengkompromikan semua situs web lainnya.

Apa yang baik tentang itu dibandingkan dengan pendekatan tradisional untuk memiliki akun terpisah per situs?

Apakah benar-benar lebih baik memiliki satu kata sandi utama yang kuat, kata sandi khusus situs yang kuat yang dapat diakses melalui kata sandi utama daripada kata sandi yang lebih lemah, tetapi berbeda di semua situs web?

rFaktor
sumber
Bagaimana tepatnya Anda akan mengingat kata sandi yang kuat untuk beberapa lusin situs? Saya menghitung 160+ kredensial yang disimpan di brankas saya saat ini. Itu bahkan tidak menghitung kode pin yang disimpan dengan aman untuk kartu dan kunci lisensi perangkat lunak yang saya simpan di sana juga. Terlepas dari beberapa pengecualian, setiap kata sandi di sana dibuat secara acak, menggunakan karakter apa pun yang tersedia untuk situs tertentu, dan panjang maksimum atau di suatu tempat lebih dari 20 karakter. LastPass dapat mengendus duplikat untuk saya dan dapat memberikan laporan di mana saya membahayakan keamanan.
G_H

Jawaban:

47

Selain memungkinkan Anda membuat kata sandi unik dan kompleks untuk setiap situs, kami juga menawarkan otentikasi faktor kedua gratis: Kotak . Jadi nama pengguna dan kata sandi Anda tidak cukup untuk mengakses data Anda ketika Grid digunakan.

Selain itu, kata sandi Anda tidak disimpan di pengelola kata sandi Firefox atau IE yang umumnya tidak aman (jalankan saja penginstal kami dan perhatikan bagaimana kami dapat menarik semua kata sandi).

Sedangkan untuk menyimpan di cloud, semuanya dienkripsi secara lokal sebelum dikirim ke server dan kunci Anda tidak pernah dikirimkan kepada kami. Anda dapat membaca lebih lanjut tentang bagaimana kami membuat Anda tetap aman di halaman teknologi di situs web kami.

Bob dari LastPass
sumber
9
Saya sangat menghargai integritas tulus dari layanan Anda, tetapi paranoia lama mati keras. dan fakta bahwa perusahaan Anda berbasis di AS A (tidak terlalu jauh dari Washington) juga tidak banyak membantu. jika agen Homeland Security atau agen lain yang tidak ada muncul, menunjukkan kredensial dan mengingatkan Anda tentang tugas patriotik Anda, saya pikir niat terbaik Anda tidak banyak berarti. Saya harap Anda tidak keberatan bahwa saya lebih suka solusi lokal.
21
Sebenarnya, molly, sepertinya semuanya terenkripsi dan didekripsi sisi klien - seperti, mereka tidak dapat mengakses apa pun sendiri. Jika itu benar, saya tidak melihat mengapa ini kurang aman daripada memiliki sesuatu secara lokal.
Phoshi
10
Ya, semuanya dienkripsi secara lokal. Kami terus terang tidak ingin tanggung jawab untuk dapat mengakses data sensitif Anda, itu adalah risiko yang tidak perlu yang tidak ingin kami ambil. FWIW, kami mendapat peringkat dalam 100 produk teratas pcmag tahun 2009, peringkat dalam produk keamanan terbaik pcworld tahun 2009 dan saat ini sedang ditampilkan di situs ekstensi google chrome sebagai pilihan teratas mereka.
Bob dari LastPass
2
cukup adil (walaupun Google mungkin bukan preferensi saya untuk menilai produk terkait privasi dengan catatan rekam jejak mereka), tetapi faktanya tetap bahwa kata sandi saya pada akhirnya tidak lagi dapat diakses secara eksklusif oleh saya sendiri ketika disimpan secara online, terlepas dari kecanggihan tindakan perlindungan.
3
Sangat menyenangkan untuk mendengar dari pihak pertama. +1 untuk teknologi "Grid" Anda, itu ide yang sangat cerdas. :)
Sasha Chedygov
19

Saya tidak menganggap LastPass sangat aman (seperti apa pun yang disimpan 'di cloud'), saya lebih suka solusi lokal (misalnya, KeePass ). Kenyamanan memiliki akses online ke informasi masuk datang dengan harga yang tidak dapat diterima (setidaknya untuk saya yang paranoid).

Peter Mortensen
sumber
2
KeePass memiliki versi Unix (KeePassX) dan Windows, dan berfungsi dari drive USB (sempurna untuk kata sandi untuk situs seperti SuperUser).
@ Molly - dimasukkan dengan baik.
Benteng
6
@Molly Tampaknya info LastPass dienkripsi secara lokal, bukan "di awan".
phoebus
2
Saya menggunakannya, tetapi triknya adalah menjaga agar file penyimpanan kunci tetap terbaru dan dicadangkan. Ini adalah kompromi dengan penyimpan kata sandi online.
Maarten Bodewes
2
Saya dulu menggunakan KeePass. Berpikir itu lebih aman daripada LastPass DAN menuai manfaat yang sama adalah ilusi. Bagaimana Anda akan membuat cadangan basis data KeePass Anda dan menyimpan semua salinan terbaru? Baik secara manual, dengan risiko pembawa (seperti HDD, stik USB, smartphone) dicuri atau dihancurkan, atau Anda menyimpannya di sesuatu seperti Dropbox. Dan coba tebak, maka Anda segera kembali untuk menyimpan barang-barang di awan. Minus keuntungan dari fitur LastPass.
G_H
16

Apa yang membuatnya aman adalah karena mereka tidak bisa memberi tahu siapa pun kata sandi Anda, bahkan dengan pistol di kepala mereka. Bahkan ketika menggunakan antarmuka web, kata sandi Anda dienkripsi secara lokal sebelum dikirim.

Ya, memang benar bahwa ia memberikan "satu titik kegagalan" kecuali jika Grid digunakan. Namun, Anda dapat memiliki kata sandi master yang sangat kuat - siapa yang peduli jika Anda harus mengetikkan kata sandi 100 karakter jika Anda hanya melakukannya sekali sehari? Dan karena itu menyimpan "sub kata sandi" Anda, Anda dapat membuatnya jauh lebih kuat dari biasanya.

Keuntungan lain adalah bahwa kebanyakan orang tidak akan memiliki kata sandi yang berbeda untuk setiap situs web (atau akan memiliki pola), dan LastPass memungkinkan Anda membuang ini. Jadi, sementara sebelum setiap situs Anda berada adalah titik masuk potensial ke semua situs lain yang Anda kunjungi, sekarang hanya akun LastPass Anda. Memecahkan "kata sandi" apa pun tidak menghasilkan informasi tambahan bagi penyerang.

Ini berguna karena Anda tidak tahu apakah situs Anda sedang mengenkripsi kata sandi Anda, atau salting itu. Saya bisa memberi nama sebuah situs web dengan 11 juta pengguna yang menyimpan kata sandi yang tidak dienkripsi dalam basis data mereka.

Terakhir, LastPass menawarkan fitur seperti kata sandi satu kali untuk mengakses kata sandi Anda di lokasi yang tidak dapat dipercaya, yang membuat akun Anda aman dari bahkan keyloggers yang paling canggih sekalipun.

ZoFreX
sumber
Itu poin yang bagus .. kebanyakan orang menggunakan kembali kata sandi mereka .. atau memiliki dua atau tiga yang mencakup semua basis
jsj
4

Lihat saja situs mereka - saya pikir poin Anda benar ... Jika seseorang memecahkan kata sandi Anda di sana, mereka memiliki semua kata sandi Anda - itu hanya menggabungkan beberapa fitur dari beberapa program menjadi satu program.

Dari melihat di sana, tidak ada yang membuat saya berpikir itu "lebih aman" daripada memiliki kata sandi terpisah untuk situs yang berbeda - karena Anda akan tetap ... Pass terakhir hanya membuatnya lebih mudah untuk dikelola.

William Hilsum
sumber
Layanan Lastpass tidak berfungsi seperti yang dijelaskan dalam komentar Bob. Apa yang tampaknya orang hilang saat ini adalah bahwa cara paling tidak aman untuk menyimpan data dan kata sandi Anda adalah di sisi komputer. Banyak orang menggunakan fitur kata sandi tidak aman dari Firefox, Chrome dll sementara itu adalah perasaan aman yang salah. Peretas, pencuri cerdas, atau trojan yang baik hanya perlu satu menit untuk mendapatkan semua kata sandi Anda, mengakses email Anda dan data lainnya. Lastpass tidak memiliki informasi apa pun kemudian sampah terenkripsi di pihak mereka. Bagaimana agen keamanan dapat kompromi? Kuncinya ada di sisi pc.
Rick Steven
Jika Anda menjalankan penginstal windows LastPass, kami menarik semua kata sandi Anda dari IE, FF dan Chrome (btw ... jika kami bisa melakukannya, program apa pun bisa) dan kemudian menawarkan Anda kemampuan untuk menghapusnya. Kami jelas merasa kami jauh lebih aman daripada cara status quo ini untuk mengingat kata sandi Anda di browser dan kami juga jauh lebih nyaman.
Bob dari LastPass
3

Mungkin bermanfaat untuk mengetahui Steve Gibson (dari Security Now! Fame) yang dirujuk ke LastPass di podcast :

... apa yang harus saya katakan adalah, saya pikir, solusi terbaik.

Dalam lebih dari 600 episode keamanannya sekarang, Gibson sering mengingatkan pendengar bahwa kata sandi terbaik adalah omong kosong dan panjang. Dalam podcast khusus ini katanya

... semakin lama kata sandi Anda, semakin kuat

kizzx2
sumber
0

Tidak ada alat penyimpanan kata sandi online yang dapat menjamin keamanan Anda. Mereka mengklaim bahwa mekanisme penyimpanan kata sandi bukti host menyembunyikan kata sandi dari host, dan hanya sisi klien yang mengetahui kunci dan formulir yang didekripsi.

Tetapi posting blog berikut menunjukkan kesalahan dalam pernyataan itu:

Salah satu alasan mengapa kami tidak dapat mempercayai penyimpanan kata sandi online

Jader Dias
sumber
0

Menggunakan LastPass dengan plugin Chrome saya dapat menarik kata sandi dengan menavigasi ke halaman login, mengisi kata sandi dan memasukkan yang berikut di konsol (tekan F12).

document.querySelectorAll("[type=password]")[0].value

Ini dengan otentikasi dua faktor dan dengan opsi "memerlukan kata sandi utama untuk menunjukkan / menyalin kata sandi" diaktifkan. Saya kira itu tidak akan sulit untuk mengotomatisasi ini, yang berarti bahwa kata sandi dapat ditarik dengan mudah dari LastPass seperti penyimpanan kata sandi lainnya, bertentangan dengan apa yang tampaknya diklaim oleh "Bob from LastPass".

Saya kira LastPass dianggap lebih baik daripada manajemen kata sandi manual oleh para ahli keamanan seperti Steve Gibson hanya karena risiko kompromi dari kata sandi yang lemah / digunakan kembali atau oleh keylogger generik lebih besar daripada risiko dari malware yang secara khusus menyerang LastPass. Tetap saya hanya akan menggunakannya untuk situs yang saya bisa kehilangan, dan tidak pernah untuk perbankan / email utama / Dropbox , dll.

Pengelola kata sandi yang memerlukan otentikasi dua faktor untuk setiap kata sandi yang diunduh dari server (LastPass hanya mengharuskannya saat masuk pertama kali) akan membatasi kerusakan hanya pada kata sandi yang digunakan pada komputer yang terinfeksi, tetapi saya belum menemukan pengelola kata sandi dengan opsi itu.

dschlyter
sumber
Anda tampaknya mencoba menunjukkan mengapa LastPass tidak aman dengan menunjukkan bahwa kode Javascript yang berjalan di halaman web dapat melihat kata sandi dimasukkan ke dalam formulir di halaman itu. Ini benar, tetapi masih benar bahkan tanpa LastPass berjalan. Dan itu tidak memungkinkan halaman untuk mengeluarkan kata sandi dari LastPass untuk situs lain, jadi Anda tidak lebih buruk daripada tanpa itu.
Kevin Panko
Anda benar, dan saya mungkin tidak cukup jelas. Saya tidak mencoba mengklaim bahwa laman web mana pun yang Anda kunjungi dapat mencuri kata sandi Anda dengan javascript. Saya mencoba mengklaim bahwa seseorang yang memiliki akses ke komputer Anda (mis. Teman jahat atau malware di komputer publik) dapat menarik kata sandi Anda yang disimpan dari LastPass, bahkan dengan 2-faktor dan perlindungan kata sandi saat melihat kata sandi. Contoh javascript hanyalah satu cara mudah untuk menunjukkan itu.
dschlyter
@Schlyter Saya tidak yakin apa yang Anda katakan di sini. LastPass memberi Anda opsi untuk secara otomatis mengisi kata sandi, atau meminta Anda untuk mengautentikasi ulang diri Anda sendiri sebelum mengisinya. Opsi pengisian otomatis selalu disertakan, dan saya tidak pernah memilihnya untuk situs yang menyediakan keuangan, email, atau cloud layanan penyimpanan. Ini berarti bahwa seseorang yang mencoba menggunakan trik JS yang Anda perlihatkan paling banyak hanya akan mendapatkan kata sandi saya untuk Stack Exchange, dll. Dan saya tidak yakin trik Anda semudah seperti yang Anda pikirkan.
samwyse