Was macht LastPass so sicher?

32

Ich kann nicht einfach verstehen, wie sicher die Verwendung von LastPass ist. Ein Angreifer muss lediglich das einzelne LastPass-Konto kompromittieren und hat dann auch alle anderen Websites kompromittiert.

Was ist daran so gut im Vergleich zum traditionellen Ansatz, separate Konten pro Site zu haben?

Ist es wirklich besser, ein starkes Hauptkennwort zu haben, starke standortspezifische Kennwörter, auf die über das Hauptkennwort zugegriffen werden kann, als schwächere Kennwörter, die jedoch auf allen Websites unterschiedlich sind?

firefox security web lastpass rFactor
quelle
Wie genau werden Sie sich sichere Passwörter für mehrere Dutzend Websites merken? Ich zähle zurzeit mehr als 160 Anmeldeinformationen, die in meinem Tresor gespeichert sind. Dazu zählen nicht einmal sicher gespeicherte PIN-Codes für Karten und Softwarelizenzschlüssel, die ich auch dort aufbewahre. Abgesehen von einigen wenigen Ausnahmen wird jedes darin enthaltene Kennwort nach dem Zufallsprinzip generiert. Dabei werden alle für die jeweilige Site verfügbaren Zeichen mit einer maximalen Länge von mindestens 20 Zeichen verwendet. LastPass kann Duplikate für mich aufspüren und einen Bericht darüber abgeben, wo ich die Sicherheit gefährde.
G_H

Antworten:

47

Neben der Möglichkeit, eindeutige, komplexe Kennwörter für jede Site zu erstellen, bieten wir auch die kostenlose Zweitfaktorauthentifizierung an: Grid . Daher reichen Ihr Benutzername und Ihr Passwort nicht aus, um auf Ihre Daten zuzugreifen, wenn Grid verwendet wird.

Außerdem werden Ihre Passwörter nicht in den im Allgemeinen unsicheren Passwortmanagern von Firefox oder IE gespeichert (führen Sie einfach unseren Installer aus und beobachten Sie, wie wir alle Passwörter abrufen können).

Bei der Speicherung in der Cloud wird alles lokal verschlüsselt, bevor es an den Server gesendet wird, und Ihr Schlüssel wird niemals an uns gesendet. Weitere Informationen darüber, wie wir Sie schützen, finden Sie auf der Technologieseite auf unserer Website.

Bob von LastPass
quelle
9
Ich schätze die aufrichtige Integrität Ihres Dienstes, aber die alte Paranoia stirbt hart. und die Tatsache, dass Ihr Unternehmen in den USA von A (nicht weit von Washington entfernt) ansässig ist, hilft auch nicht viel. Wenn Agenten des Heimatschutzes oder andere weniger existierende Agenturen auftauchen, Ausweise aufblitzen und Sie an Ihre patriotische Pflicht erinnern, sind Ihre besten Absichten meines Erachtens nicht viel wert. Ich hoffe es macht Ihnen nichts aus, dass ich eine lokale Lösung bevorzuge.
21
Eigentlich hört es sich so an, als ob alles clientseitig verschlüsselt und entschlüsselt ist - wie in, können sie nicht alleine auf etwas zugreifen. Wenn das stimmt, verstehe ich nicht, warum dies weniger sicher ist als etwas vor Ort zu haben.
Phoshi
10
Ja, alles wird lokal verschlüsselt. Wir möchten ehrlich gesagt nicht die Haftung übernehmen, auf Ihre sensiblen Daten zugreifen zu können. Dies ist ein unnötiges Risiko, das wir nicht eingehen möchten. FWIW, wir wurden in den Top 100-Produkten von pcmag des Jahres 2009, in den besten Sicherheitsprodukten von pcworld des Jahres 2009 eingestuft und werden derzeit auf der Erweiterungssite von Google Chrome als Top-Picks aufgeführt.
Bob von Lastpass
2
Fair genug (obwohl Google es aufgrund seiner Erfolgsbilanz vielleicht nicht vorzieht, datenschutzrelevante Produkte zu bewerten), bleibt die Tatsache jedoch bestehen, dass meine Passwörter letztendlich nicht mehr ausschließlich für mich zugänglich sind, wenn sie online gespeichert werden, ungeachtet der Raffinesse der Schutzmaßnahmen.
3
Es ist schön, von einer First-Party zu hören. +1 für Ihre "Grid" -Technologie, das ist eine wirklich clevere Idee. :)
Sasha Chedygov
19

Ich halte LastPass nicht für besonders sicher (wie alles, was in der Cloud gespeichert ist), sondern bevorzuge eine lokale Lösung (z. B. KeePass ). Die Bequemlichkeit, online auf Anmeldeinformationen zuzugreifen, ist mit einem unannehmbaren Preis verbunden (zumindest für paranoide alte Leute).

Peter Mortensen
quelle
2
KeePass verfügt über Unix (KeePassX) und Windows-Versionen und funktioniert von einem USB-Laufwerk (ideal für Kennwörter für Websites wie SuperUser).
@Molly - schön ausgedrückt.
Turm
6
@Molly Es scheint, dass die LastPass-Informationen lokal und nicht "in der Cloud" verschlüsselt sind.
Phoebus
2
Ich verwende es, aber der Trick besteht darin, die Schlüsselspeicherdatei auf dem neuesten Stand zu halten und zu sichern. Dies ist der Kompromiss mit den Online-Kennworthaltern.
Maarten Bodewes
2
Ich habe früher KeePass benutzt. Es ist eine Illusion, zu glauben, es sei sicherer als LastPass UND dieselben Vorteile zu nutzen. Wie können Sie Ihre KeePass-Datenbank sichern und alle Kopien auf dem neuesten Stand halten? Entweder manuell, mit der Gefahr, dass ein Träger (wie Festplatte, USB-Stick, Smartphone) gestohlen wird oder kaputt geht, oder Sie lassen ihn auf einer Dropbox. Und raten Sie mal, dann sind Sie gleich wieder dabei, Dinge in der Cloud zu belassen. Abzüglich der Vorteile der Funktionen von LastPass.
G_H
16

Was es sicher macht, ist einfach, dass sie niemandem sagen können, wie Ihre Passwörter lauten, auch nicht mit einer Waffe am Kopf. Auch bei Verwendung der Weboberfläche werden Ihre Passwörter vor der Übertragung lokal verschlüsselt.

Ja, es ist richtig, dass dies einen "Single Point of Failure" darstellt, sofern kein Grid verwendet wird. Sie könnten jedoch ein lächerlich starkes Master-Passwort haben - wen interessiert es, wenn Sie ein 100-stelliges Passwort eingeben müssen, wenn Sie es nur einmal am Tag tun? Und weil es Ihre "Sub-Passwörter" speichert, können Sie sie viel stärker haben, als Sie normalerweise könnten.

Ein weiterer Vorteil ist, dass die meisten Benutzer nicht für jede Website unterschiedliche Passwörter haben (oder ein Muster haben), und mit LastPass können Sie dies aufgeben. Während also vor jeder einzelnen Site, auf der Sie waren, ein potenzieller Einstiegspunkt für alle anderen Sites war, ist dies jetzt nur noch Ihr LastPass-Konto. Durch das Knacken eines "Sub-Passworts" erhält ein Angreifer keine zusätzlichen Informationen.

Dies ist hilfreich, da Sie nicht wissen, ob Ihre Websites Ihr Kennwort verschlüsseln oder es unterbrechen. Ich könnte eine Website mit 11 Millionen Nutzern benennen, auf der Passwörter unverschlüsselt in ihrer Datenbank gespeichert sind.

LastPass bietet Funktionen wie Einmalpasswörter für den Zugriff auf Ihre Passwörter an nicht vertrauenswürdigen Orten, wodurch Ihr Konto auch vor den fortschrittlichsten Keyloggern geschützt wird.

ZoFreX
quelle
Das ist ein guter Punkt ... die meisten Leute verwenden ihr Passwort wieder ... oder haben zwei oder drei, die alle Grundlagen
abdecken
4

Ich habe mir ihre Site nur kurz angesehen - ich denke, Ihre Punkte sind korrekt ... Wenn jemand Ihr Passwort dort knackt, hat er alle Ihre Passwörter - es bündelt einfach ein paar Funktionen von ein paar Programmen in einem Programm.

Von dort aus gibt es nichts, was mich für "sicherer" hält, als separate Passwörter für verschiedene Sites zu haben - wie Sie es sowieso sein werden ... Der letzte Durchgang vereinfacht einfach die Verwaltung.

William Hilsum
quelle
Der Lastpass-Dienst funktioniert nicht so, wie in Bobs Kommentar erläutert. Was heutzutage vermisst zu werden scheint, ist, dass die unsicherste Art, Ihre sensiblen Daten und Passwörter zu speichern, auf der PC-Seite liegt. Viele Leute verwenden die unsicheren Passwortfunktionen von Firefox, Chrome usw., obwohl dies ein falsches Sicherheitsgefühl darstellt. Ein guter Hacker, kluger Dieb oder Trojaner benötigt nur eine Minute, um alle Ihre Passwörter abzurufen, auf Ihre E-Mails und andere Daten zuzugreifen. Lastpass hat keine Informationen als verschlüsselten Müll auf seiner Seite. Wie kann eine Sicherheitsagentur das gefährden? Der Schlüssel ist auf der PC-Seite.
Rick Steven
Wenn Sie das LastPass-Windows-Installationsprogramm ausführen, ziehen wir alle Ihre Kennwörter aus IE, FF und Chrome (übrigens, jedes Programm kann dies, wenn wir das können) und bieten Ihnen dann die Möglichkeit, sie zu löschen. Wir sind definitiv der Meinung, dass wir viel sicherer sind als diese Art, sich Ihre Passwörter im Browser zu merken, und wir sind auch viel praktischer.
Bob von LastPass
3

Es könnte hilfreich sein, zu wissen, dass Steve Gibson (von Security Now! ) In einem Podcast auf LastPass verwiesen hat :

... was ich zu sagen habe, ist meiner Meinung nach die bestmögliche Lösung.

In seinen über 600 Sicherheits-Episoden erinnert Gibson die Hörer oft daran, dass die besten Passwörter falsch und lang sind. In diesem speziellen Podcast sagt er

... je länger Ihr Passwort ist, desto stärker ist es

kizzx2
quelle
0

Kein Online-Tool zum Speichern von Passwörtern kann Ihre Sicherheit gewährleisten. Sie behaupten, dass der Host-geschützte Kennwortspeichermechanismus die Kennwörter vor dem Host verbirgt und nur die Clientseite den Schlüssel und das entschlüsselte Formular kennt.

Der folgende Blog-Beitrag zeigt jedoch einen Fehler in dieser Behauptung:

Ein Grund, warum wir der Speicherung von Online-Passwörtern nicht vertrauen können

Jader Dias
quelle
0

Bei Verwendung von LastPass mit dem Chrome-Plugin konnte ich ein Kennwort abrufen, indem ich zu einer Anmeldeseite navigierte, das Kennwort eingab und Folgendes in die Konsole eingab (drücke F12).

document.querySelectorAll("[type=password]")[0].value

Dies ist mit Zwei-Faktor-Authentifizierung und mit der aktivierten Option "Master-Passwort zum Anzeigen / Kopieren des Passworts erforderlich". Ich vermute, es wäre nicht schwer, dies zu automatisieren, was bedeutet, dass Passwörter einfach aus LastPass abgerufen werden können, genau wie bei anderen Passwortspeichern. Dies widerspricht dem, was "Bob von LastPass" zu behaupten scheint.

Ich denke, LastPass wird von Sicherheitsexperten wie Steve Gibson als besser angesehen als die manuelle Passwortverwaltung, nur weil das Risiko einer Gefährdung durch ein schwaches / wiederverwendetes Passwort oder durch einen generischen Keylogger größer ist als das Risiko durch Malware, die LastPass speziell angreift. Trotzdem würde ich es nur für Websites verwenden, deren Verlust ich mir leisten kann, und niemals für Banking / primäre E-Mail / Dropbox usw.

Ein Kennwortmanager, der eine Zwei-Faktor-Authentifizierung für jedes vom Server heruntergeladene Kennwort erfordert (LastPass erfordert diese Authentifizierung nur bei der ersten Anmeldung), beschränkt den Schaden auf die Kennwörter, die auf dem infizierten Computer verwendet wurden. Ich habe jedoch keinen Kennwortmanager gefunden mit dieser Option noch.

dschlyter
quelle
Sie versuchen anscheinend zu zeigen, warum LastPass nicht sicher ist, indem Sie zeigen, dass beim Ausführen von JavaScript-Code auf einer Webseite Kennwörter angezeigt werden, die in Formulare auf dieser Seite eingegeben wurden. Dies ist richtig, aber auch ohne LastPass. Und es erlaubt der Seite nicht, Passwörter von LastPass für andere Sites zu erhalten, so dass Sie nicht schlechter dran sind als ohne.
Kevin Panko
Sie haben recht, und ich war mir wahrscheinlich nicht klar genug. Ich habe nicht versucht zu behaupten, dass eine Webseite, die Sie besuchen, Ihre Passwörter mit Javascript stehlen kann. Ich habe versucht zu behaupten, dass jemand mit Zugriff auf Ihren Computer (z. B. böser Freund oder Malware auf einem öffentlichen Computer) Ihre gespeicherten Passwörter aus LastPass abrufen kann, selbst wenn Passwörter mit 2-Faktor- und Passwortschutz angezeigt werden. Das Javascript-Beispiel war nur eine einfache Möglichkeit, dies zu demonstrieren.
Dschlyter
@dschlyter Ich bin nicht sicher, was du hier sagst. Mit LastPass können Sie entweder automatisch ein Kennwort eingeben oder sich erneut authentifizieren, bevor Sie es ausfüllen. Die Option zum automatischen Ausfüllen ist immer aktiviert, und ich wähle sie niemals für Websites aus, die Finanz-, E-Mail- oder Cloud-Informationen bereitstellen Speicherdienste. Das bedeutet, dass jemand, der versucht hat, den von Ihnen gezeigten JS-Trick zu verwenden, höchstens meine Passwörter für Stack Exchange usw. erhält. Und ich bin mir nicht sicher, ob Ihr Trick so einfach durchzuführen ist, wie Sie zu glauben scheinen.
Samwyse