web-dev-qa-db-ja.com

LastPassはFireSheep攻撃に対して脆弱ですか?

私がスターバックスにいて、使用したいとします LastPass ... FireSheep ユーザーはパスワード/ Cookie /セッションを盗むことができますか?

wireless-networkingsecuritylastpass
7
Drew

一般的にはありません。サーバーに加えて、パスワードは暗号化された状態でローカルマシンに保存され、サーバーにパスワードを送信すると、マシンを離れる前に256ビットのAES(つまり非常に優れた)暗号化で暗号化されます。同様に、サーバーからパスワードを取得すると、暗号化された状態になり、マスターパスワードのみがパスワードを復号化できます。 SSL(HTTPSなど)を使用せずにWebサイトにログインすると、その特定のパスワードは脆弱になりますが、マスターパスワードは安全になります。マスターパスワードに別のパスワードを使用しましたよね?

さらに、彼らのサイトにログインすると、安全なセッションになります。つまり、あなたとLastPassの間で受け渡される情報は(理論的には)安全です。

LastPassはパスワードを平文で保存しないため(特にマスターパスワードはまったく保存されていないと思います)、唯一の脆弱性は、誰かが暗号化ソルトと少なくとも1つのマスターを入手できた場合ですパスワード。これにより、暗号化キーがマスターパスワードとソルトからのみ生成されると仮定すると、宇宙の年齢から数百万年まで、別のマスターパスワードを解読するのにかかる時間が短縮されます(まだログインしていない可能性があることに注意してください)。 、LastPassの場合はそうではないと思いますが、それはもっと難しいと確信しています。

要約すると、すでに安全でないサイトにログインしている場合にのみ心配する必要がありますが、それでもマスターパスワードは安全です。 LastPassがなければ、おそらく他のすべてのサイトと同じ不完全なパスワードを使用することになります。つまり、LastPassがないと、全体的に安全性が低下します。

10
MBraedley

LastPassの テクノロジーの概要 から、すべてのデータはローカルで暗号化および復号化され、データ転送はAES-256で暗号化されます。 FireSheep 中間者攻撃を使用しているため、暗号化されていない接続が脆弱になります。

この問題の唯一の効果的な修正は、HTTPSまたはSSLとしてWeb上で知られている完全なエンドツーエンド暗号化です。

したがって、質問に答えるために、FireSheepユーザーはあなたの資格情報を盗むことができますログインしているWebサイトがHTTPSを使用していない場合。 LastPass自体は脆弱ではありません。

7
Jin