Was macht LastPass so sicher?

16179
rFactor

Ich kann nicht einfach verstehen, wie die Verwendung von LastPass sicher ist. Ein Angreifer muss lediglich das einzige LastPass-Konto und dann auch alle anderen Websites kompromittieren.

Was ist so gut im Vergleich zu dem traditionellen Ansatz, separate Konten pro Standort zu haben?

Ist es wirklich besser, ein starkes Hauptkennwort zu besitzen, starke ortsspezifische Kennwörter, auf die über das Hauptkennwort zugegriffen werden kann, als auf schwächere Kennwörter, die jedoch auf allen Websites unterschiedlich sind?

32
Wie genau erinnern Sie sich an starke Passwörter für mehrere Dutzend Websites? Ich zähle zu diesem Zeitpunkt mehr als 160 Anmeldeinformationen in meinem Tresor. Das zählt nicht einmal sicher gespeicherte PIN-Codes für Karten und Software-Lizenzschlüssel, die ich auch dort aufbewahre. Bis auf wenige Ausnahmen wird jedes Passwort zufällig generiert, wobei jedes verfügbare Zeichen für die betreffende Site verwendet wird und eine maximale Länge oder mehr als 20 Zeichen hat. LastPass kann Duplikate für mich ausfindig machen und einen Bericht darüber geben, wo ich die Sicherheit beeinträchtige. G_H vor 11 Jahren 0

7 Antworten auf die Frage

47
Bob from LastPass

Neben der Möglichkeit, eindeutige, komplexe Passwörter für jede Site zu erstellen, bieten wir auch eine kostenlose Second-Factor-Authentifizierung an: Grid . Ihr Benutzername und Ihr Passwort reichen also nicht aus, um auf Ihre Daten zuzugreifen, wenn Grid verwendet wird.

Außerdem werden Ihre Passwörter nicht in den Passwortmanagern von Firefox oder IE gespeichert, die in der Regel unsicher sind (führen Sie einfach unser Installationsprogramm aus und beobachten Sie, wie wir alle Passwörter abrufen können).

Bei der Speicherung in der Cloud wird alles lokal verschlüsselt, bevor es an den Server gesendet wird, und Ihr Schlüssel wird niemals an uns gesendet. Auf unserer Technologieseite auf unserer Website erfahren Sie mehr darüber, wie wir Sie schützen.

Ich schätze die aufrichtige Integrität Ihres Dienstes, aber die alte Paranoia stirbt schwer. Und die Tatsache, dass Ihr Unternehmen in den USA von A (nicht zu weit von Washington entfernt) ansässig ist, hilft auch nicht viel. Wenn Agenten der Heimatschutzbehörde oder anderer, weniger existierender Agenturen auftauchen, die Anmeldeinformationen blinken und Sie an Ihre patriotische Pflicht erinnern, denke ich, dass Ihre besten Absichten nicht viel wert sind. Ich hoffe, es macht Ihnen nichts aus, dass ich eine lokale Lösung ziehe. vor 14 Jahren 9
Eigentlich, Molly, klingt es so, als wäre alles auf der Client-Seite verschlüsselt und entschlüsselt - wie in, sie können auf nichts alleine zugreifen. Wenn das stimmt, sehe ich nicht, warum dies weniger sicher ist als etwas vor Ort zu haben. Phoshi vor 14 Jahren 21
Ja, alles wird lokal verschlüsselt. Wir möchten offen gesagt nicht die Haftung für den Zugriff auf Ihre sensiblen Daten übernehmen, es ist ein unnötiges Risiko, das wir nicht eingehen möchten. FWIW, wir wurden in den 100 besten Produkten von pcmag von 2009 eingestuft, in die besten Sicherheitsprodukte von pcworld von 2009 eingestuft und werden derzeit auf der Erweiterungsseite von google chrome als Top-Auswahl angezeigt. Bob from LastPass vor 14 Jahren 10
fair genug (obgleich Google möglicherweise nicht meine Vorliebe ist, Produkte zum Schutz der Privatsphäre in Anbetracht ihrer Erfolgsbilanz zu bewerten), es bleibt jedoch die Tatsache, dass meine Passwörter letztendlich nicht mehr ausschließlich für mich zugänglich sind, wenn sie online gespeichert werden, unabhängig von den Schutzmaßnahmen. vor 14 Jahren 2
Es ist schön, von einer First-Party zu hören. +1 für Ihre "Grid" -Technologie, das ist eine wirklich kluge Idee. :) Sasha Chedygov vor 14 Jahren 3
@ Bob Hallo, ich habe in meinem [blog post] (http://hourlyapps.blogspot.com/2010/02/one-reason-why-we-cant-trust-online.html) auf einen grundlegenden Fehler Ihres Dienstes hingewiesen . Wie wollen Sie diesen Fehler beheben? Jader Dias vor 14 Jahren 1
Was ist, wenn der Browser nicht sicher ist? Ich meine, wenn jemand eine Erweiterung installiert hat, die funktioniert, wenn ich im Browser angemeldet bin. Siehe mein Tweak für Android [hier] (http://madlabstest.com/blog/2012/08/23/tweaks-on-lastpass-and-android/) Vikas vor 12 Jahren 1
Wie ist es "lokal verschlüsselt" und "Schlüssel wird nie an Sie gesendet", wenn ich meine Kennwörter von mehreren Computern oder sogar von der Website aus anzeigen kann? Greg vor 11 Jahren 0
@Greg Sie speichern die verschlüsselten Anmeldeinformationen. Die Verschlüsselung erfolgt clientseitig unter Verwendung Ihres Hauptkennworts und eines anderen Authentifizierungsmechanismus, den Sie zusätzlich aktiviert haben, und die verschlüsselten Daten werden zur Speicherung an sie gesendet. Selbst wenn diese Daten gefährdet wurden, ist eine Entschlüsselung ohne Ihr Hauptkennwort (und zusätzliche Maßnahmen) nicht realistisch. Da es sich um eine Cloud-Lösung handelt, können Sie von überall auf Ihre Daten zugreifen. Die Entschlüsselung erfolgt jedoch immer nur auf der Clientseite. Auch wenn Sie über die Website auf Ihren Tresor zugreifen, anstatt ein Plugin zu verwenden (in diesem Fall werden Client-Skripts verwendet). G_H vor 11 Jahren 1
@ G_H: Der "Schlüssel" (dh das Master-Passwort) wird niemals an Sie gesendet, aber eine lokal verschlüsselte Version davon? Ich glaube, ich habe angenommen, dass "Schlüssel wird nie an Sie gesendet" bedeutet, dass Sie irgendwie keine Repräsentation des Master-Passworts gespeichert haben, was offensichtlich unmöglich ist. Greg vor 11 Jahren 0
@Greg Ihr Master-Passwort wird nicht gespeichert. Weder lokal noch auf ihren Servern. Sie werden lediglich zum Ver- und Entschlüsseln von Daten verwendet. Deshalb musst du dich daran erinnern! Angenommen, ich habe ein ausgeklügeltes Verschlüsselungsschema, das ein Kennwort sowohl für die Verschlüsselung als auch für die Entschlüsselung erfordert. Ich verschlüssele eine Datei und schicke sie zur Aufbewahrung an Sie. Sie behalten es für mich, können es aber nicht entschlüsseln. Wenn Sie es mir zurückschicken, kann ich es mit dem Passwort entschlüsseln, das nur ich weiß. So funktioniert es. G_H vor 11 Jahren 2
19
Peter Mortensen

Ich halte LastPass nicht für besonders sicher (wie alles, was "in der Cloud" gespeichert wird), ich bevorzuge eine lokale Lösung (z. B. KeePass ). Die Bequemlichkeit des Online-Zugriffs auf Anmeldeinformationen ist mit einem unannehmbaren Preis verbunden (zumindest für paranoide alte Leute).

KeePass verfügt über eine Unix (KeePassX) - und Windows-Version und funktioniert über ein USB-Laufwerk (ideal für Kennwörter für Sites wie SuperUser). vor 14 Jahren 2
@Molly - schön gesetzt. Rook vor 14 Jahren 0
@Molly Es scheint, dass die LastPass-Informationen lokal verschlüsselt werden und nicht "in der Cloud". phoebus vor 14 Jahren 6
Die Informationen sind jedoch für mich nicht mehr exklusiv zugänglich, wenn sie auf einem externen Server gespeichert sind. Es ist ein Kompromiss, eine Bequemlichkeit für Exklusivität, ein Risiko, das ich nicht eingehen möchte. vor 14 Jahren 0
Es gibt auch Android- und Windows Mobile-Versionen von KeePass und wahrscheinlich auch andere. TREE vor 13 Jahren 0
Ich verwende es, aber der Trick besteht darin, die Schlüsselspeicherdatei auf dem neuesten Stand und gesichert zu halten. Dies ist der Kompromiss mit den Online-Passwort-Besitzern. Maarten Bodewes vor 12 Jahren 2
Ich habe früher KeePass benutzt. Ich denke, es ist sicherer als LastPass UND die gleichen Vorteile zu nutzen, ist eine Illusion. Wie sichern Sie Ihre KeePass-Datenbank und halten alle Kopien auf dem neuesten Stand? Entweder manuell, mit der Gefahr, dass ein Träger (wie HDD, USB-Stick, Smartphone) gestohlen wird oder zerbrochen wird, oder Sie lassen ihn auf Dropbox. Und wissen Sie was, dann sind Sie gleich wieder in der Cloud. Minus die Vorteile der LastPass-Funktionen. G_H vor 11 Jahren 2
@G_H, nicht unbedingt. Ich benutze Keepass, um eine Datenbank und eine Schlüsseldatei + ein Kennwort zu erstellen. Ich richte die App so ein, dass sie die Datenbank in einem lokalen Speicher einer owncloud-Instanz und die Schlüsseldatei in einer anderen owncloud-Instanz (oder einem USB-Stick) speichert. Das Passwort wäre natürlich ein sicheres 35+ Bit, das nur mir bekannt ist. Die owncloud-Dateien werden verschlüsselt auf meinem eigenen VPS / Dedicated-Server gespeichert. Zugegeben, eine Agentur kann einen Haftbefehl gegen den DC haben, der mir den Server zur Verfügung stellt. Dafür benötigen sie aber zusätzlich meine Schlüsseldatei und mein Passwort. In der Cloud zu sein bedeutet nicht unbedingt, dass es unsicher ist. Joel G Mathew vor 11 Jahren 0
16
ZoFreX

Was es sicher macht, ist einfach, dass sie niemandem sagen können, was Ihre Passwörter sind, selbst wenn sich eine Waffe im Kopf befindet. Selbst wenn Sie die Webschnittstelle verwenden, werden Ihre Passwörter vor der Übertragung lokal verschlüsselt.

Ja, es ist wahr, dass es einen "Single Point of Failure" bietet, wenn Grid nicht verwendet wird. Sie könnten jedoch ein unglaublich starkes Master-Passwort haben. Wen kümmert es, wenn Sie ein Passwort mit 100 Zeichen eingeben müssen, wenn Sie es nur einmal am Tag tun? Und weil es Ihre "Unterpasswörter" speichert, können Sie sie viel stärker haben, als Sie es normalerweise tun würden.

Ein weiterer Vorteil ist, dass die meisten Benutzer keine unterschiedlichen Passwörter für jede Website haben (oder ein Muster haben werden), und LastPass gibt Ihnen die Möglichkeit, dies aufzuheben. Während also vor jeder einzelnen Site, an der Sie sich befanden, ein potenzieller Einstiegspunkt für alle anderen Sites war, auf denen Sie sich befanden, ist jetzt nur Ihr LastPass-Konto vorhanden. Wenn Sie ein beliebiges "Unterpasswort" knacken, erhalten Sie keine zusätzlichen Informationen für einen Angreifer.

Dies ist nützlich, weil Sie nicht wissen, ob die Websites, auf denen Sie sich befinden, Ihr Kennwort verschlüsseln oder es verschlüsseln. Ich könnte eine Website mit 11 Millionen Benutzern benennen, die unverschlüsselte Passwörter in ihrer Datenbank speichert.

LastPass bietet Funktionen wie einmalige Kennwörter für den Zugriff auf Kennwörter an nicht vertrauenswürdigen Standorten. Dadurch ist Ihr Konto auch vor den fortschrittlichsten Keyloggern geschützt.

Das ist ein guter Punkt. Die meisten Leute verwenden ihr Passwort wieder .. oder haben zwei oder drei, die alle Basen abdecken jsj vor 13 Jahren 0
4
William Hilsum

Ich habe nur einen kurzen Blick auf ihre Website geworfen - ich denke, Ihre Punkte sind richtig ... Wenn dort jemand Ihr Passwort knackt, haben Sie alle Ihre Passwörter - es bündelt einfach einige Funktionen aus ein paar Programmen in einem Programm.

Wenn ich dort hinschaue, gibt es nichts, was mich der Meinung macht, dass es "sicherer" ist, als separate Kennwörter für verschiedene Websites zu haben - wie Sie es auch immer tun werden ... Mit dem letzten Durchlauf wird die Verwaltung einfacher.

Der Lastpass-Dienst funktioniert nicht so, wie in Bobs Kommentar erläutert. Heutzutage scheinen die Leute vermisst zu werden, dass die sicherste Art, sensible Daten und Kennwörter zu speichern, auf der PC-Seite liegt. Viele verwenden die unsicheren Kennwortfunktionen von Firefox, Chrome usw., obwohl dies ein falsches Sicherheitsgefühl darstellt. Ein guter Hacker, intelligenter Dieb oder Trojaner benötigt nur eine Minute, um alle Passwörter zu erhalten, auf Ihre E-Mails und andere Daten zuzugreifen. Lastpass hat keine Informationen und nicht verschlüsselten Müll auf seiner Seite. Wie kann eine Sicherheitsagentur das kompromittieren? Der Schlüssel befindet sich auf der PC-Seite. Rick Steven vor 14 Jahren 0
Wenn Sie das LastPass-Windows-Installationsprogramm ausführen, holen wir alle Ihre Passwörter aus IE, FF und Chrome (btw ... wenn wir das können, jedes Programm kann) und bieten Ihnen dann die Möglichkeit, sie zu löschen. Wir fühlen uns definitiv viel sicherer als diese Status-Quo-Methode, um sich Ihre Passwörter im Browser zu merken, und wir sind auch viel bequemer. Bob from LastPass vor 14 Jahren 0
3
kizzx2

Es kann hilfreich sein zu wissen, dass Steve Gibson (of Security Now! ) In einem Podcast auf LastPass Bezug nahm :

... was ich zu sagen habe, ist meiner Meinung nach die bestmögliche Lösung.

In seinen über 600 Episoden der Sicherheit erinnert Gibson die Zuhörer oft daran, dass die besten Passwörter Kauderwelsch und lang sind. In diesem speziellen Podcast sagt er

... je länger Ihr Passwort ist, desto stärker ist es

0
Jader Dias

Kein Online-Kennwortspeichertool kann Ihnen Sicherheit bieten. Sie behaupten, dass der Host-Proof-Kennwortspeichermechanismus die Kennwörter vor dem Host verbirgt und nur der Client den Schlüssel und das entschlüsselte Formular kennt.

Der folgende Blogbeitrag zeigt jedoch einen Fehler in dieser Behauptung:

Ein Grund, warum wir der Online-Passwortspeicherung nicht vertrauen können

0
dschlyter

Verwenden von LastPass mit dem Chrome-Plugin Ich konnte ein Kennwort abrufen, indem ich zu einer Anmeldeseite navigierte, das Kennwort ausfüllte und Folgendes in die Konsole eingebe (drücken F12).

document.querySelectorAll("[type=password]")[0].value

Dies ist bei der Zwei-Faktor-Authentifizierung und bei aktivierter Option "Master-Kennwort zum Anzeigen / Kopieren des Kennworts erforderlich" erforderlich. Ich vermute, es wäre nicht schwer, dies zu automatisieren, was bedeutet, dass Passwörter genauso wie andere Passwortspeicherungen einfach aus LastPass abgerufen werden können. Dies widerspricht dem, was "Bob von LastPass" zu behaupten scheint.

Ich denke, LastPass wird von Sicherheitsexperten wie Steve Gibson für besseres manuelles Passwort-Management gehalten, weil das Risiko einer Gefährdung durch ein schwaches / wiederverwendetes Passwort oder durch einen generischen Keylogger größer ist als das Risiko von Malware, die speziell LastPass angreift. Trotzdem würde ich es nur für Websites verwenden, die ich mir leisten kann, und niemals für Bankgeschäfte / primäre E-Mail / Dropbox usw.

Ein Passwort-Manager, der für jedes vom Server heruntergeladene Passwort eine Zwei-Faktor-Authentifizierung erfordert (LastPass erfordert dies nur beim ersten Login), würde den Schaden auf die Passwörter beschränken, die auf dem infizierten Computer verwendet wurden. Ich habe jedoch keinen Passwort-Manager gefunden mit dieser Option noch.

Sie scheinen zu zeigen, warum LastPass nicht sicher ist, indem sie zeigen, dass Javascript-Code, der auf einer Webseite ausgeführt wird, in diese Formulare eingegebene Passwörter sehen kann. Dies ist wahr, aber es ist immer noch wahr, auch wenn LastPass nicht läuft. Und es erlaubt der Seite nicht, Passwörter für andere Sites aus LastPass herauszuholen, so dass Sie nicht schlechter dran sind als ohne. Kevin Panko vor 10 Jahren 0
Sie haben recht und ich war wahrscheinlich nicht klar genug. Ich habe nicht versucht zu behaupten, dass jede von Ihnen besuchte Webseite Ihre Passwörter mit Javascript stehlen kann. Ich habe versucht zu behaupten, dass jemand mit Zugriff auf Ihren Computer (z. B. bösartiger Freund oder Malware auf einem öffentlichen Computer) die gespeicherten Kennwörter von LastPass abrufen kann, auch wenn er beim Anzeigen von Kennwörtern mit einem 2-Faktor- und Kennwortschutz geschützt ist. Das Javascript-Beispiel war nur eine einfache Möglichkeit, dies zu demonstrieren. dschlyter vor 10 Jahren 0
Ich bin mir nicht sicher, was du hier sagst. Mit LastPass haben Sie die Möglichkeit, entweder automatisch ein Kennwort einzugeben, oder Sie müssen sich vor dem Ausfüllen erneut authentifizieren. Die Option zum automatischen Ausfüllen ist immer aktiviert, und ich wähle es nie für Websites aus, die Geld, E-Mail oder Cloud bereitstellen Speicherdienste. Das bedeutet, dass jemand, der versucht hat, den von Ihnen gezeigten JS-Trick zu verwenden, höchstens meine Passwörter für Stack Exchange usw. erhalten würde. Ich bin mir nicht sicher, ob Ihr Trick so einfach ist, wie Sie denken. samwyse vor 9 Jahren 0

Verwandte Probleme