Come posso essere sicuro che Lastpass non sia davvero in grado di accedere alle mie password?

48

Il recente incidente di sicurezza ampiamente pubblicizzato in cui milioni di Linkedin sono stati esposti mi ha ricordato di rafforzare le mie pratiche relative alle password. Sto guardando diversi gestori di password ora e sono particolarmente curioso di Lastpass .

Loro scrivono sulla loro homepage :

LastPass is an evolved Host Proof hosted solution, which avoids the stated weakness of vulnerability to XSS as long as you're using the add-on. LastPass strongly believes in using local encryption, and locally created one way salted hashes to provide you with the best of both worlds for your sensitive information: Complete security, while still providing online accessibility and syncing capabilities. We've accomplished this by using 256-bit AES implemented in C++ and JavaScript (for the website) and exclusively encrypting and decrypting on your local PC. No one at LastPass can ever access your sensitive data. We've taken every step we can think of to ensure your security and privacy.

Come posso essere sicuro che la parte in grassetto sia vera? Il metodo che descrivono è in grado di fare effettivamente ciò che promettono, può impedire loro di accedere alle mie password? E come posso verificare che in realtà stanno facendo ciò che promettono e non trasmettono la mia password in alcun modo in cui possano accedere ai loro server?

    
posta anonymous 08.06.2012 - 10:37
fonte

4 risposte

54

C'è un modo per vedere se LastPass sta facendo quello che stanno dicendo.

Utilizza l'estensione non binario di Chrome, Firefox, Opera o Safari. Questo è 100% JavaScript e aperto nel senso che puoi vederlo - puoi usare lo sniffing di rete con un proxy (es. Paros) per vedere che i dati sensibili sono crittografati con AES-256-CBC da dati generati da una chiave creata con il numero di round di PBKDF2-SHA256 hai impostato sul tuo account: link e questo è fatto localmente solo sulla tua macchina.

Quindi semplicemente non aggiornare / aggiornare la tua estensione fino a quando non vuoi controllarla di nuovo. Puoi anche controllare il modo in cui interagiamo con l'estensione binaria per decidere se ti fidi di questo.

Questo è un po 'estremo per la maggior parte delle persone, ma un certo numero di persone e organizzazioni hanno verificato LastPass e apprezzato ciò che hanno trovato. LastPass è sempre utile per chiunque desideri sottoporre a verifica, sentiti libero di contattarci se desideri assistenza.

LastPass sa che è perfettamente ragionevole fidarsi ma verificare e incoraggiarlo a farlo. C'è un motivo per cui diciamo alle persone di utilizzare le estensioni piuttosto che il sito web: le estensioni non possono cambiare facilmente come il sito Web potrebbe quindi renderle più sicure.

Fonte: lavoro per LastPass.

    
risposta data 08.06.2012 - 20:50
fonte
10

Alcune di queste risposte sono piuttosto datate, ma l'argomento è abbastanza importante da ritenerlo meritevole di essere rivisto.

L'asserzione LastPass è che offrono un'implementazione a prova di conoscenza zero - cioè la crittografia avviene sul lato client (con la password come chiave) e che, presumibilmente, non possono decifrare i dati anche se lo volessero. Se ricevono un mandato o un'ingiunzione del tribunale, saranno obbligati per legge a consegnare i dati, ma rimarranno comunque in forma crittografata, quindi spetterà ai supercomputer dei rispettivi investigatori (o alla modesta matrice GPU) crack quello. A questo proposito non è fondamentalmente diverso da memorizzare un DB KeePass in DropBox (che ho visto più volte che mi interessa menzionare)

Detto questo ....

LP ha recentemente rilasciato la fonte per il suo client CLI: link

Ora tocca a noi fare la revisione del codice, in modo da convalidare le loro attestazioni fino a quanto consegnato.

Soprattutto interrogando la fonte per vedere come viene generato, codificato e generato il DB crittografato, se soddisfa i migliori standard e amp; pratiche (o migliori), estirpare bug (o "backdoor non intenzionali"), e se il prodotto della generazione corrisponde a quello generato dalle implementazioni black-box chiuse - processo di pensiero analogo coinvolto nella compilazione del codice da source & confrontando il checksum con quello generato contro il binario.

Una recensione e un codice indipendente il pen-test di un'organizzazione rispettabile è ciò che è necessario IMHO, e quindi lo pone ben oltre il mio stesso set di competenze.

Questo non è un tentativo di rubare o altrimenti decodificare la loro salsa segreta UX, dove (giustamente) aggiungono valore e amp; ricavare entrate da - Sono felice di buttare soldi e amp; i clienti a modo loro per questo, dal momento che rendere più semplice la sicurezza rende la mia vita più sicura e più efficace; più facile - ma piuttosto un modo per la comunità della sicurezza di alzare il livello del bar & assicurati che coloro che si attengono al principio di Kerckhoff siano ricompensati per il loro impegno.

    
risposta data 27.01.2015 - 05:37
fonte
3

L'unico modo per verificarlo è di guardare il codice che ti manda ogni volta che accedi alle tue password. In altre parole, non puoi. Tuttavia, se hanno mai mandato un codice dannoso a qualcuno, c'è il rischio che la persona se ne accorga, e tutto ciò che sarebbe necessario è che una persona presenti il codice dannoso e tutti lo sappiano.

    
risposta data 08.06.2012 - 15:15
fonte
3

Anche se ti fidi di un'azienda, non puoi fidarti completamente del prodotto / servizio che forniscono. Una vulnerabilità in esso può essere scoperta / sfruttata o la società stessa può essere compromessa. Ogni volta che rendi le tue password potenzialmente accessibili a una festa, considerale conosciuta da quella parte. Nel caso della normale procedura di registrazione / login di un sito web, hai a che fare con persone che non valutano la tua password in quanto non ne hanno bisogno. Non appena è coinvolta una terza parte, questa garanzia è ora fuori dalla finestra.

Se è necessario, utilizzare una password locale sicura come KeePass2 e archiviare su supporti rimovibili che si controllano.

Inoltre, se un'azienda utilizza una frase come "sicurezza completa", sappi che stanno già cercando di ingannarti .

    
risposta data 08.06.2012 - 18:03
fonte

Leggi altre domande sui tag