web-dev-qa-db-ja.com

LastPassの安全性を高めるものは何ですか?

LastPassの使用がどのように安全であるかを単純に理解できません。攻撃者が行う必要があるのは、単一のLastPassアカウントを侵害することだけであり、その後、他のすべてのWebサイトも侵害しました。

サイトごとに個別のアカウントを持つという従来のアプローチと比較して、何がそんなに良いのでしょうか?

強力なマスターパスワード、マスターパスワードを介してアクセスできる強力なサイト固有のパスワードを使用する方が、弱いパスワードを使用するよりも優れていますが、すべてのWebサイトで異なりますか?

33
rFactor

サイトごとに一意で複雑なパスワードを作成できるほか、無料の第2要素認証 Grid も提供しています。したがって、グリッドが使用されている場合、ユーザー名とパスワードだけではデータにアクセスできません。

さらに、パスワードはFirefoxやIEのパスワードマネージャーには保存されません。これらは一般的に安全ではありません(インストーラーを実行して、すべてのパスワードを取得する方法を確認してください)。

クラウドへの保存に関しては、すべてがローカルに暗号化されてからサーバーに送信され、キーがGoogleに送信されることはありません。私たちがあなたを安全に保つ方法の詳細については、当社のウェブサイトのテクノロジーページをご覧ください。

48

私はLastPassを特に安全であるとは考えていません(「クラウド」に格納されているものと同様)。ローカルソリューション(たとえばKeePass)。ログイン情報へのオンラインアクセスの利便性は、受け入れられないほどの価格になります(少なくとも偏執狂の私にとっては)。

19
Molly7244

安全なのは、たとえ頭に銃を構えていても、パスワードが何であるか誰にも教えられないことです。 Webインターフェイスを使用している場合でも、パスワードは送信前にローカルで暗号化されます。

はい、グリッドを使用しない限り、「単一障害点」を提供することは事実です。ただし、途方もなく強力なマスターパスワードを設定することもできます。1日に1回しか入力しない場合に100文字のパスワードを入力する必要があるかどうかは誰が気にするのでしょうか。また、「サブパスワード」を保存するため、通常よりも強力なパスワードを設定できます。

別の利点は、ほとんどの人がすべてのWebサイトに異なるパスワードを持たない(またはパターンを持っている)ことであり、LastPassはこれを破棄することを可能にします。したがって、以前はあなたがいたすべての単一サイトはあなたがいた他のすべてのサイトへの潜在的なエントリポイントでしたが、現在はLastPassアカウントのみです。 「サブパスワード」を解読しても、攻撃者に追加情報が提供されることはありません。

アイデアなしを使用しているため、これは便利です。==現在のサイトがパスワードを暗号化しているのか、それともソルトしているのか。自分のデータベースに暗号化されていないパスワードを保存している1100万人のユーザーがいるWebサイトに名前を付けることができます。

最後に、LastPassは、信頼できない場所にあるパスワードにアクセスするためのワンタイムパスワードなどの機能を提供し、最先端のキーロガーからもアカウントを安全に保ちます。

17
ZoFreX

ちょうど彼らのサイトをざっと見たところ-あなたのポイントは正しいと思います...誰かがあなたのパスワードをクラックした場合、彼らはすべてのパスワードを持っています-それは単にいくつかのプログラムからいくつかの機能を1つのプログラムにバンドルします。

そこから見ると、さまざまなサイトに個別のパスワードを設定することよりも「安全」だと私に思わせることは何もありません。とにかく、最後のパスを使用すると、管理が簡単になります。

4
William Hilsum

LastPass ポッドキャスト内 を参照した( Security Now! 名声の)スティーブギブソンを知っておくと役立ちます。

...私が言わなければならないことは、私が思うに、可能な最良の解決策です。

現在600を超えるセキュリティエピソードで、ギブソンは聴衆に、最良のパスワードは意味不明で長いものであることを思い出させます。この特定のポッドキャストで彼は言います

...パスワードが長いほど、強力になります

3
kizzx2

ChromeプラグインでLastPassを使用すると、ログインページに移動してパスワードを入力し、コンソールに次のように入力することでパスワードを取得できました( F12)。

document.querySelectorAll("[type=password]")[0].value

これは 2要素認証 で、「パスワードを表示/コピーするにはマスターパスワードが必要」オプションが有効になっています。これを自動化することは難しくないと思います。つまり、他のパスワードストレージと同じように、LastPassからパスワードを簡単に引き出すことができ、「LastPassからのボブ」の主張と矛盾します。

LastPassは手動のパスワード管理よりも Steve Gibson のようなセキュリティの専門家が優れていると思います。弱い/再利用されたパスワードや一般的なキーロガーによる侵害のリスクは、特に攻撃しているマルウェアのリスクよりも大きいからです。 LastPass。それでも、私が失う余裕のあるサイトにのみ使用し、銀行/プライマリメール/ Dropbox などには使用しません。

サーバーからダウンロードされるすべてのパスワードに対して2要素認証を要求するパスワードマネージャー(LastPassは初回ログイン時にのみ要求する)は、感染したコンピューターで使用されたパスワードのみに被害を制限しますが、パスワードマネージャーは見つかりませんでしたそのオプションでまだ。

0
dschlyter

セキュリティを保証できるオンラインパスワードストレージツールはありません。彼らは、ホスト証明パスワード保存メカニズムがパスワードをホストから隠し、クライアント側だけが鍵と復号化されたフォームを知っていると主張します。

しかし、次のブログ投稿はその主張の欠陥を示しています:

オンラインパスワードの保存を信頼できない理由の1つ

0
Jader Dias