web-dev-qa-db-ja.com

Lastpassは、再起動後に指紋だけでモバイルコンテナーを復号化する方法を教えてください。

そのため、私のボールト(モバイルデバイス上)は私のマスターパスワードで暗号化されています。マスターパスワードがないと、復号化は実行できません。

モバイルデバイスで指紋認証を有効にするオプションがあります。明らかにそれが行われるだけですマスターパスワードを提供し、ボールトがデバイス上でローカルに「ロック解除」(復号化)されました。

ただし、モバイルデバイスを再起動しても、指紋だけで再度ログインできます。それでは、再起動後にjustフィンガープリントでボールトを復号化するにはどうすればよいですか?

「ロック解除」された格納域は、暗号化されずにデバイスの永続的(RAMではない)ストレージに格納されることを意味しますか?誰かがアプリをバイパスしてデバイスストレージ上の(暗号化されていない)金庫に直接アクセスできるので、指紋は単なるセキュリティシアターですか?

8
Slav

モバイルラストパスクライアントは、デバイスのキーロッカーにパスワードを保存します。理論的には、適切な資格情報を入力した後にのみアクセスできるようにする必要があります。この場合、指紋。

もちろん、AndroidからiOSへのセキュリティ(一般にとにかく))の間には大きな違いがあり、私はAndroid以外の実装に精通していません多くのAndroidデバイスにはハードウェアベースのロッカーがないため、期待できるセキュリティレベルを深刻に制限する可能性があります。

IOSでは、これは十分にテストされ、非常に安全であることがわかりました。したがって、AppleとFBIの間で進行中の戦いです。

ロックを解除すると、ボールトはメモリに保持されます。したがって、理論的には、アクセスを取得することは可能です。ただし、保護されたメモリを使用しますすべき他のアプリケーションからはアクセスできません。 iOSはより安全で制限されたベースを持っているので、これもAndroidよりも安全である可能性があります。 Android専門家がより明確な答えを出すことができるかもしれませんが。

指紋でラストパスを保護することの欠点は、米国の国境管理が、指紋の提供を強制できるが、パスワードの提供を強制できないと決定したことです。これは米国の裁判所で確認されています。

米国に旅行するとき、気にしないものを除いてすべてのクラウドサービスを削除します。確かに、lastpassをアンインストールして後で再び追加します。もちろん、それは米国だけに当てはまるわけではありません。

指紋の使用は単なる劇場ではありませんが、セキュリティを確実に低下させます。しかし、ほとんどの人を心配するのに十分ではないでしょう。もちろん、私はLastPassをそれほど重要でないパスワードにのみ使用しています。最も機密性の高いものは、別のクロスプラットフォームツールを使用してアクセスされる個別のボールトに保持されます。これには指紋の統合がなく、私がよく開いているLastPassとは異なり、ボールトを開いたままにしないでください。

1
Julian Knight