Ich kann nicht einfach verstehen, wie sicher die Verwendung von LastPass ist. Ein Angreifer muss lediglich das einzelne LastPass-Konto kompromittieren und hat dann auch alle anderen Websites kompromittiert.
Was ist daran so gut im Vergleich zum traditionellen Ansatz, separate Konten pro Site zu haben?
Ist es wirklich besser, ein starkes Hauptkennwort zu haben, starke standortspezifische Kennwörter, auf die über das Hauptkennwort zugegriffen werden kann, als schwächere Kennwörter, die jedoch auf allen Websites unterschiedlich sind?
Antworten:
Neben der Möglichkeit, eindeutige, komplexe Kennwörter für jede Site zu erstellen, bieten wir auch die kostenlose Zweitfaktorauthentifizierung an: Grid . Daher reichen Ihr Benutzername und Ihr Passwort nicht aus, um auf Ihre Daten zuzugreifen, wenn Grid verwendet wird.
Außerdem werden Ihre Passwörter nicht in den im Allgemeinen unsicheren Passwortmanagern von Firefox oder IE gespeichert (führen Sie einfach unseren Installer aus und beobachten Sie, wie wir alle Passwörter abrufen können).
Bei der Speicherung in der Cloud wird alles lokal verschlüsselt, bevor es an den Server gesendet wird, und Ihr Schlüssel wird niemals an uns gesendet. Weitere Informationen darüber, wie wir Sie schützen, finden Sie auf der Technologieseite auf unserer Website.
quelle
Ich halte LastPass nicht für besonders sicher (wie alles, was in der Cloud gespeichert ist), sondern bevorzuge eine lokale Lösung (z. B. KeePass ). Die Bequemlichkeit, online auf Anmeldeinformationen zuzugreifen, ist mit einem unannehmbaren Preis verbunden (zumindest für paranoide alte Leute).
quelle
Was es sicher macht, ist einfach, dass sie niemandem sagen können, wie Ihre Passwörter lauten, auch nicht mit einer Waffe am Kopf. Auch bei Verwendung der Weboberfläche werden Ihre Passwörter vor der Übertragung lokal verschlüsselt.
Ja, es ist richtig, dass dies einen "Single Point of Failure" darstellt, sofern kein Grid verwendet wird. Sie könnten jedoch ein lächerlich starkes Master-Passwort haben - wen interessiert es, wenn Sie ein 100-stelliges Passwort eingeben müssen, wenn Sie es nur einmal am Tag tun? Und weil es Ihre "Sub-Passwörter" speichert, können Sie sie viel stärker haben, als Sie normalerweise könnten.
Ein weiterer Vorteil ist, dass die meisten Benutzer nicht für jede Website unterschiedliche Passwörter haben (oder ein Muster haben), und mit LastPass können Sie dies aufgeben. Während also vor jeder einzelnen Site, auf der Sie waren, ein potenzieller Einstiegspunkt für alle anderen Sites war, ist dies jetzt nur noch Ihr LastPass-Konto. Durch das Knacken eines "Sub-Passworts" erhält ein Angreifer keine zusätzlichen Informationen.
Dies ist hilfreich, da Sie nicht wissen, ob Ihre Websites Ihr Kennwort verschlüsseln oder es unterbrechen. Ich könnte eine Website mit 11 Millionen Nutzern benennen, auf der Passwörter unverschlüsselt in ihrer Datenbank gespeichert sind.
LastPass bietet Funktionen wie Einmalpasswörter für den Zugriff auf Ihre Passwörter an nicht vertrauenswürdigen Orten, wodurch Ihr Konto auch vor den fortschrittlichsten Keyloggern geschützt wird.
quelle
Ich habe mir ihre Site nur kurz angesehen - ich denke, Ihre Punkte sind korrekt ... Wenn jemand Ihr Passwort dort knackt, hat er alle Ihre Passwörter - es bündelt einfach ein paar Funktionen von ein paar Programmen in einem Programm.
Von dort aus gibt es nichts, was mich für "sicherer" hält, als separate Passwörter für verschiedene Sites zu haben - wie Sie es sowieso sein werden ... Der letzte Durchgang vereinfacht einfach die Verwaltung.
quelle
Es könnte hilfreich sein, zu wissen, dass Steve Gibson (von Security Now! ) In einem Podcast auf LastPass verwiesen hat :
In seinen über 600 Sicherheits-Episoden erinnert Gibson die Hörer oft daran, dass die besten Passwörter falsch und lang sind. In diesem speziellen Podcast sagt er
quelle
Kein Online-Tool zum Speichern von Passwörtern kann Ihre Sicherheit gewährleisten. Sie behaupten, dass der Host-geschützte Kennwortspeichermechanismus die Kennwörter vor dem Host verbirgt und nur die Clientseite den Schlüssel und das entschlüsselte Formular kennt.
Der folgende Blog-Beitrag zeigt jedoch einen Fehler in dieser Behauptung:
Ein Grund, warum wir der Speicherung von Online-Passwörtern nicht vertrauen können
quelle
Bei Verwendung von LastPass mit dem Chrome-Plugin konnte ich ein Kennwort abrufen, indem ich zu einer Anmeldeseite navigierte, das Kennwort eingab und Folgendes in die Konsole eingab (drücke F12).
Dies ist mit Zwei-Faktor-Authentifizierung und mit der aktivierten Option "Master-Passwort zum Anzeigen / Kopieren des Passworts erforderlich". Ich vermute, es wäre nicht schwer, dies zu automatisieren, was bedeutet, dass Passwörter einfach aus LastPass abgerufen werden können, genau wie bei anderen Passwortspeichern. Dies widerspricht dem, was "Bob von LastPass" zu behaupten scheint.
Ich denke, LastPass wird von Sicherheitsexperten wie Steve Gibson als besser angesehen als die manuelle Passwortverwaltung, nur weil das Risiko einer Gefährdung durch ein schwaches / wiederverwendetes Passwort oder durch einen generischen Keylogger größer ist als das Risiko durch Malware, die LastPass speziell angreift. Trotzdem würde ich es nur für Websites verwenden, deren Verlust ich mir leisten kann, und niemals für Banking / primäre E-Mail / Dropbox usw.
Ein Kennwortmanager, der eine Zwei-Faktor-Authentifizierung für jedes vom Server heruntergeladene Kennwort erfordert (LastPass erfordert diese Authentifizierung nur bei der ersten Anmeldung), beschränkt den Schaden auf die Kennwörter, die auf dem infizierten Computer verwendet wurden. Ich habe jedoch keinen Kennwortmanager gefunden mit dieser Option noch.
quelle