O que torna o LastPass tão seguro?

Navegue suas respostas
32

Não consigo entender como o uso do LastPass é seguro. Tudo o que um invasor precisa fazer é comprometer a conta do LastPass e comprometer todos os outros sites.

O que há de bom nisso em comparação com a abordagem tradicional de ter contas separadas por site?

É realmente melhor ter uma senha mestra strong, senhas específicas de site strongs que possam ser acessadas por meio da senha mestra do que ter senhas mais fracas, mas diferentes em todos os sites?

    
por rFactor 02.01.2010 / 19:15

7 respostas

47

Além de permitir que você crie senhas únicas e complexas para cada site, também oferecemos a autenticação gratuita de segundo fator: Grid . Portanto, seu nome de usuário e senha não são suficientes para acessar seus dados quando o Grid é usado.

Além disso, suas senhas não são armazenadas nos gerenciadores de senhas do Firefox ou do IE, que geralmente são inseguros (basta executar nosso instalador e observar como podemos obter todas as senhas).

Quanto ao armazenamento na nuvem, tudo é criptografado localmente antes de ser enviado ao servidor e sua chave nunca é enviada para nós. Você pode ler mais sobre como podemos mantê-lo seguro na página de tecnologia em nosso site.

    
por 02.01.2010 / 20:32
19

Eu não considero o LastPass particularmente seguro (como qualquer coisa que esteja armazenado 'na nuvem'), prefiro muito mais uma solução local (por exemplo, KeePass ). A conveniência de ter acesso on-line às informações de login chega a um preço inaceitável (pelo menos para o paranóico antigo).

    
por 02.01.2010 / 19:28
16
O que o torna seguro é simplesmente que eles não podem dizer a ninguém quais são suas senhas, mesmo com uma arma na cabeça. Mesmo ao usar a interface da web, suas senhas são criptografadas localmente antes de serem transmitidas.

Sim, é verdade que ele fornece um "ponto único de falha", a menos que Grid seja usado. No entanto, você pode ter uma senha mestra ridiculamente strong - quem se importa se você tiver que digitar uma senha de 100 caracteres se fizer isso apenas uma vez por dia? E porque salva suas "sub senhas", você pode tê-las muito mais strongs do que o normal.

Outra vantagem é que a maioria das pessoas não terá senhas diferentes para cada site (ou terá um padrão), e o LastPass permite que você faça isso. Então, enquanto antes todos os sites em que você estava era um possível ponto de entrada para todos os outros sites em que você estava, agora apenas sua conta do LastPass é. Quebrar qualquer "sub-senha" não gera informações extras para um invasor.

Isso é útil porque você não tem ideia se os sites em que você está estão criptografando sua senha ou salgando-a. Eu poderia nomear um site com 11 milhões de usuários que armazena senhas não criptografadas em seu banco de dados.

Por fim, o LastPass oferece recursos como senhas únicas para acessar suas senhas em locais não confiáveis, o que mantém sua conta segura até mesmo dos keyloggers mais avançados.

    
por 03.01.2010 / 00:17
4

Acabei de dar uma rápida olhada no site deles - acho que seus pontos estão corretos ... Se alguém quebrar sua senha lá, eles terão todas as suas senhas - ela simplesmente reunirá alguns recursos de alguns programas em um programa. / p>

De lá, não há nada que me faça pensar que é "mais seguro" do que ter senhas separadas para sites diferentes - como você vai ser de qualquer maneira ... O último passo simplesmente facilita o gerenciamento.

    
por 02.01.2010 / 19:25
3

Pode ser útil conhecer Steve Gibson (da Segurança Agora! conhecido como LastPass em um podcast :

... what I have to say is, I think, the best solution possible.

Em seus mais de 600 episódios de segurança agora, Gibson sempre lembra aos ouvintes que as melhores senhas são rabiscos e longas. Neste podcast em particular ele diz

... the longer your password is, the stronger it is

    
por 24.01.2011 / 17:31
0

Nenhuma ferramenta de armazenamento de senha on-line pode garantir sua segurança. Eles alegam que o mecanismo de armazenamento de senha do host esconde as senhas do host, e apenas o lado do cliente conhece a chave e o formulário descriptografado.

Mas a postagem do blog a seguir mostra uma falha nessa afirmação:

Um dos motivos pelos quais não podemos confiar no armazenamento de senhas on-line

    
por 20.02.2010 / 20:00
0

Usando o LastPass com o plug-in do Google Chrome, consegui uma senha navegando para uma página de login, preenchendo a senha e inserindo o seguinte no console (pressione F12 ). 

document.querySelectorAll("[type=password]")[0].value

Isso é feito com autenticação de dois fatores e com a opção "requer senha-mestre para mostrar / copiar senha" -opção ativada. Eu estou supondo que não seria difícil automatizar isso, o que significa que as senhas podem ser facilmente extraídas do LastPass, assim como o armazenamento de outras senhas, contradizendo o que "Bob de LastPass" parece estar reivindicando.

Acho que o LastPass é considerado melhor que o gerenciamento manual de senhas por especialistas em segurança, como Steve Gibson , simplesmente porque o risco de comprometimento de uma senha fraca / reutilizada ou por um keylogger genérico é maior do que o risco de malware que está atacando especificamente o LastPass. Ainda assim, eu só usaria para sites que eu posso perder, e nunca para serviços bancários / primários de e-mail / Dropbox , etc.

Um gerenciador de senhas que requer autenticação de dois fatores para cada senha baixada do servidor (o LastPass só exige no primeiro login) limitaria o dano somente às senhas usadas no computador infectado, mas não encontrei um gerenciador de senhas com essa opção ainda.

    
por 22.09.2014 / 20:29

Tags

O fantasma dos ícones passados, devo rezar a São Guilherme? [duplicado] Por que alguns nomes de arquivos / pastas no Windows possuem um ponto na frente deles?