Saya tidak bisa begitu memahami bagaimana menggunakan LastPass aman. Yang perlu dilakukan penyerang adalah mengkompromikan akun LastPass tunggal dan kemudian dia juga telah mengkompromikan semua situs web lainnya.
Apa yang baik tentang itu dibandingkan dengan pendekatan tradisional untuk memiliki akun terpisah per situs?
Apakah benar-benar lebih baik memiliki satu kata sandi utama yang kuat, kata sandi khusus situs yang kuat yang dapat diakses melalui kata sandi utama daripada kata sandi yang lebih lemah, tetapi berbeda di semua situs web?
Jawaban:
Selain memungkinkan Anda membuat kata sandi unik dan kompleks untuk setiap situs, kami juga menawarkan otentikasi faktor kedua gratis: Kotak . Jadi nama pengguna dan kata sandi Anda tidak cukup untuk mengakses data Anda ketika Grid digunakan.
Selain itu, kata sandi Anda tidak disimpan di pengelola kata sandi Firefox atau IE yang umumnya tidak aman (jalankan saja penginstal kami dan perhatikan bagaimana kami dapat menarik semua kata sandi).
Sedangkan untuk menyimpan di cloud, semuanya dienkripsi secara lokal sebelum dikirim ke server dan kunci Anda tidak pernah dikirimkan kepada kami. Anda dapat membaca lebih lanjut tentang bagaimana kami membuat Anda tetap aman di halaman teknologi di situs web kami.
sumber
Saya tidak menganggap LastPass sangat aman (seperti apa pun yang disimpan 'di cloud'), saya lebih suka solusi lokal (misalnya, KeePass ). Kenyamanan memiliki akses online ke informasi masuk datang dengan harga yang tidak dapat diterima (setidaknya untuk saya yang paranoid).
sumber
Apa yang membuatnya aman adalah karena mereka tidak bisa memberi tahu siapa pun kata sandi Anda, bahkan dengan pistol di kepala mereka. Bahkan ketika menggunakan antarmuka web, kata sandi Anda dienkripsi secara lokal sebelum dikirim.
Ya, memang benar bahwa ia memberikan "satu titik kegagalan" kecuali jika Grid digunakan. Namun, Anda dapat memiliki kata sandi master yang sangat kuat - siapa yang peduli jika Anda harus mengetikkan kata sandi 100 karakter jika Anda hanya melakukannya sekali sehari? Dan karena itu menyimpan "sub kata sandi" Anda, Anda dapat membuatnya jauh lebih kuat dari biasanya.
Keuntungan lain adalah bahwa kebanyakan orang tidak akan memiliki kata sandi yang berbeda untuk setiap situs web (atau akan memiliki pola), dan LastPass memungkinkan Anda membuang ini. Jadi, sementara sebelum setiap situs Anda berada adalah titik masuk potensial ke semua situs lain yang Anda kunjungi, sekarang hanya akun LastPass Anda. Memecahkan "kata sandi" apa pun tidak menghasilkan informasi tambahan bagi penyerang.
Ini berguna karena Anda tidak tahu apakah situs Anda sedang mengenkripsi kata sandi Anda, atau salting itu. Saya bisa memberi nama sebuah situs web dengan 11 juta pengguna yang menyimpan kata sandi yang tidak dienkripsi dalam basis data mereka.
Terakhir, LastPass menawarkan fitur seperti kata sandi satu kali untuk mengakses kata sandi Anda di lokasi yang tidak dapat dipercaya, yang membuat akun Anda aman dari bahkan keyloggers yang paling canggih sekalipun.
sumber
Lihat saja situs mereka - saya pikir poin Anda benar ... Jika seseorang memecahkan kata sandi Anda di sana, mereka memiliki semua kata sandi Anda - itu hanya menggabungkan beberapa fitur dari beberapa program menjadi satu program.
Dari melihat di sana, tidak ada yang membuat saya berpikir itu "lebih aman" daripada memiliki kata sandi terpisah untuk situs yang berbeda - karena Anda akan tetap ... Pass terakhir hanya membuatnya lebih mudah untuk dikelola.
sumber
Mungkin bermanfaat untuk mengetahui Steve Gibson (dari Security Now! Fame) yang dirujuk ke LastPass di podcast :
Dalam lebih dari 600 episode keamanannya sekarang, Gibson sering mengingatkan pendengar bahwa kata sandi terbaik adalah omong kosong dan panjang. Dalam podcast khusus ini katanya
sumber
Tidak ada alat penyimpanan kata sandi online yang dapat menjamin keamanan Anda. Mereka mengklaim bahwa mekanisme penyimpanan kata sandi bukti host menyembunyikan kata sandi dari host, dan hanya sisi klien yang mengetahui kunci dan formulir yang didekripsi.
Tetapi posting blog berikut menunjukkan kesalahan dalam pernyataan itu:
Salah satu alasan mengapa kami tidak dapat mempercayai penyimpanan kata sandi online
sumber
Menggunakan LastPass dengan plugin Chrome saya dapat menarik kata sandi dengan menavigasi ke halaman login, mengisi kata sandi dan memasukkan yang berikut di konsol (tekan F12).
Ini dengan otentikasi dua faktor dan dengan opsi "memerlukan kata sandi utama untuk menunjukkan / menyalin kata sandi" diaktifkan. Saya kira itu tidak akan sulit untuk mengotomatisasi ini, yang berarti bahwa kata sandi dapat ditarik dengan mudah dari LastPass seperti penyimpanan kata sandi lainnya, bertentangan dengan apa yang tampaknya diklaim oleh "Bob from LastPass".
Saya kira LastPass dianggap lebih baik daripada manajemen kata sandi manual oleh para ahli keamanan seperti Steve Gibson hanya karena risiko kompromi dari kata sandi yang lemah / digunakan kembali atau oleh keylogger generik lebih besar daripada risiko dari malware yang secara khusus menyerang LastPass. Tetap saya hanya akan menggunakannya untuk situs yang saya bisa kehilangan, dan tidak pernah untuk perbankan / email utama / Dropbox , dll.
Pengelola kata sandi yang memerlukan otentikasi dua faktor untuk setiap kata sandi yang diunduh dari server (LastPass hanya mengharuskannya saat masuk pertama kali) akan membatasi kerusakan hanya pada kata sandi yang digunakan pada komputer yang terinfeksi, tetapi saya belum menemukan pengelola kata sandi dengan opsi itu.
sumber