Se il servizio LastPass ha tutte le mie password e qualcuno accede alla mia password LastPass, questa persona avrà accesso a tutte le mie password. Non è così male per la sicurezza?
Ecco perché è necessario assicurarsi di cambiare regolarmente la password e renderla incredibilmente strong. (Cerco di superare 128 bit)
Se non si utilizzano i gestori di password e si devono inserire molte password diverse, si rischia di riutilizzare le password, il che è ancora peggio. Personalmente raccomando sempre di usare i gestori di password una volta che devi ricordare un sacco di password.
Opinione personale: Comunque non mi piace LastPass perché è basato sul web. Chiamami paranoia / conservatore, preferisco usare un database KeePass (che è crittografato) offline o sincronizzato con Dropbox.
Questa concentrazione di potenza della password è consustanziale con il concetto di un gestore di password. Un gestore di password è uno strumento per "ricordare" più password di ciò che la mente umana può affrontare. Con un gestore di password, è sufficiente per ricordare una password per accedere a tutti gli altri. Ma questo significa che sapendo che una password è sufficiente per accedere a tutte le password memorizzate. Ciò è inevitabile: sto solo affermando l'ovvio, due volte, con due punti di vista leggermente distinti.
Per convivere con questo, rendi la tua password principale abbastanza strong da scoraggiare gli attacchi. 15 lettere e cifre casuali dovrebbero essere sufficienti per contrastare gli attaccanti basati sulla CPU: se la password viene rubata, non sarà attraverso un attacco di forza bruta. Si applicano ancora le solite regole per l'igiene della password: genera la tua password (s) con casualità, non con spirito; non digitare una password su una macchina che potrebbe essere infettata da un keylogger; fai attenzione ai surfisti sulla spalla.
Il rinnovo della password è una questione controversa. Cambiare la tua password principale può "scalzare" gli aggressori che potrebbero rubare la tua password principale, ma ciò non cambierebbe le password specifiche del sito memorizzate nel gestore di password, quindi l'attaccante non è totalmente sfrattato. Inoltre, la possibilità di un utente malintenzionato che ruba la tua password principale è già abbastanza seria: se l'attaccante arriva a quel punto, sei già in difficoltà. Il rinnovo della password è come protestare contro l'umidità ambientale a bordo del Titanic.
Esistono due problemi principali con la condivisione di password per più account. Sì, un problema è che se viene rilevata una sola password, allora dà molto più accesso come singolo punto di errore, ma il problema più grande è che la stessa password è memorizzata in molti posti diversi. Quindi, l'area di superficie da attaccare è MOLTO più grande. Se uso la mia stessa password su ogni sito che visito, se QUALSIASI di questi siti è compromesso, ora tutti i siti sono compromessi.
Se ho una password diversa ovunque e / o utilizzo un singolo set di credenziali attraverso l'uso di qualcosa come OAuth, la superficie di attacco è limitata al singolo provider OAuth o al keystore. L'uso di un keystore significa che normalmente solo le singole password dovrebbero essere modificate per un sito compromesso e se il keystore è compromesso, si dispone della documentazione di tutti gli account che è necessario modificare. Se utilizzi OAuth, è necessario modificare solo una posizione per modificare effettivamente tutte le credenziali di accesso.
Certo, entrambe le opzioni sono più deboli delle password casuali per ogni sito senza record che le colleghino ovunque, ma sono anche molto più utilizzabili e bilanciabili, usabilità e la mitigazione del rischio è una parte importante della sicurezza. Il "più sicuro" (cioè la maggior parte della riduzione del rischio) non è sempre la migliore decisione di sicurezza.
Nel caso in cui non sia già stato menzionato, puoi anche impostare l'autenticazione a 2 fattori (2FA) per il tuo gestore password LastPass (l'ho configurato). Questa sarebbe una password una tantum oltre alla tua password principale. E se hai scelto lo standard OATH (ci sono più opzioni), puoi utilizzare la stessa app per il token software sul dispositivo che probabilmente utilizzi già per altri siti abilitati 2FA (come Google Authenticator per la tua gmail, ecc.)
Dato che usare 2FA è ovviamente un dolore in più, puoi disattivarlo in modo selettivo a seconda delle situazioni. Ad esempio, se sei abbastanza sicuro di proteggere il tuo telefono cellulare, puoi disattivare 2FA sul telefono, ma lasciarlo acceso per qualsiasi tentativo di accesso al tuo LassPass Vault da qualsiasi altro dispositivo.
Per maggiori dettagli:
Saluti.
Non sono necessariamente meno sicuri in senso teorico, ma sono meno sicuri nel senso pragmatico.
In teoria, una buona password è umanamente difficile da decifrare come 100. Se scegli una buona password e la password è gestita in modo crittografico correttamente, dovrebbe offrire una barriera contro un attacco che va ben oltre tutto ciò che gli umani potrebbero ottenere nel prossimo futuro. Una password o molte password separate, è solo una questione se si stima che l'autore dell'attacco richieda qualche millenia o molti altri millenni per ottenere tutte le password. È una distinzione inesatta.
Vale la pena notare che l'utilizzo di una chiave di crittografia per racchiudere più chiavi di crittografia diverse, analogamente alle password che avvolgono le password, può essere una pratica accettabile. Non c'è niente di intrinsecamente non valido.
In termini pragmatici, però, è ovviamente impossibile che una password sia tutt'altro che meno sicura di molte altre. Il gestore di password più sicuro che abbiamo attualmente è (tutto il resto uguale) il tuo cervello; un software aggiuntivo può solo sminuirlo. Crea un punto di strozzatura in cui un problema potrebbe compromettere molte password. Un errore nel gestore delle password potrebbe lasciare tutte le password in chiaro, un'agenzia malvagia deve solo installare una backdoor, ecc.
Come fai a rendere il tuo gestore di password il più sicuro possibile? In senso lato:
Verifica che la password di protezione password sia di alta qualità.
Assicurarsi che il software di gestione password funzioni correttamente. (Per la maggior parte di noi, si tratta semplicemente di fidarsi dell'autore, del design che hanno usato e degli audit indipendenti.)
Verifica che il tuo utilizzo sia della password sia del gestore della password sia corretto.
La risposta pratica alla domanda è: un gestore di password non è intrinsecamente meno sicuro se è possibile soddisfare tutti e tre questi ampi requisiti, ma gli ultimi due sono molto più facili a dirsi che a farsi. Probabilmente avrai bisogno di fare ricerche sull'esatto gestore di password che vuoi utilizzare.
Per quanto riguarda cose come le crepe da tavolo arcobaleno o la forza bruta o cose del genere, non penso che questo sia un problema. Ci si può aspettare che LastPass utilizzi le opportune pratiche di sicurezza (almeno tanto quanto ci si può aspettare da altre società che memorizzano informazioni altamente sensibili (PayPal, Google, ecc.) E quindi si può presumere che non ci sia sicurezza tecnica fori.
Se ti senti sicuro di fare questa ipotesi, allora l'unico vero punto di errore possibile è la password principale. Chiunque lo sappia saprà tutto, chiunque non saprà nulla. A questo punto, dal momento che devi solo ricordare una singola password, dovresti rendere quella password il più sicura possibile (caratteri veramente lunghi, strani, ecc. (MA NON DIMENTICARE)). Finché non è facilmente ipotizzabile, tutto rimarrà sicuro.
In un mondo in cui tutti usano una stringa unica di 20+ caratteri per ogni password, sì, tenerli tutti in un solo passaggio è molto meno sicuro. Tuttavia, in un mondo in cui la stragrande maggioranza delle persone ha la stessa password per ogni servizio, LastPass può aumentare notevolmente la sicurezza. Ma anche se già usi uniques per tutto, LastPass può ancora aggiungere sicurezza. C'è una buona probabilità che le tue password non siano sicure come potrebbero essere (più lunghe, aggiungere lettere, maiuscole, simboli, ecc.) E LastPass ricorderà con piacere una stringa di spazzatura per ogni password.
Infine, avere una sola password che possa accedere a tutte le altre password, è male, ma è comunque molto meglio che avere la stessa password ovunque. Mi fido delle principali web company con la sicurezza della mia password, ma puoi scommettere che la maggior parte di quei piccoli forum bucolici che richiedono account non stanno pensando molto alla memorizzazione della tua password. In questo caso, avere univoci in tutto il mondo significa che, anche quando viene abbattuto un piccolo servizio insicuro che hai usato due anni fa, tutto il tuo mondo online rimane protetto (perché puoi scommettere che gli hacker prenderanno quelle combinazioni email / pw che hanno ottenuto dal forum hole-in-the-wall e collegali al più grande
dipende da come gestiscono le loro chiavi private. Anche se la crittografia sta accadendo lato client, il db è ancora incline all'attacco della tabella arcobaleno.
Lavoro per SmartSignin , quindi sarò leggermente prevenuto: ciò che SmartSignin offre rispetto ad altri gestori di password è al 100% sicurezza stretta assicurandosi che tutta la crittografia avvenga lato client e che la propria chiave privata non esca dal sistema. In aggiunta a ciò, il brevetto SmartKey offre una chiave univoca per ogni password memorizzata, il che significa che anche un record viene compromesso, l'altro viene archiviato. Lo scambio di chiavi pubbliche avviene tramite un tunnel SSL crittografato che garantisce la sicurezza della chiave pubblica durante lo scambio di chiavi obbligatorio.
If the LastPass service has all my passwords and someone gets access to my LastPass password, this person will have access to all my passwords. Isn't that bad for security?
Questo è il motivo per cui dovresti proteggere il tuo account LastPass con un secondo fattore di autenticazione. LastPass ha diverse opzioni disponibili come Google Authenticator o Yubikey. Una buona sicurezza ha molteplici fattori di autenticazione, come qualcosa che conosci (la tua password) e qualcosa che hai (il tuo telefono o Yubikey).
Are services like “LastPass” less secure, as they have all my passwords protected by a single password?
L'altra opzione è che ricordi o annoti tutte le tue password per tutti i sistemi che usi. L'ultimo approccio ha lo stesso problema di LastPass in quanto se qualcuno arriva alla tua lista sei completamente compromesso. Il primo sarà molto difficile da fare, a meno che tu non abbia le competenze, il tempo e la pazienza di Derren Brown - ricorda che hai bisogno di un'esperienza unica password per ogni servizio, con un alto grado di entropia in ciascuna password per renderle sicure.
Questo comporta anche il rischio aggiuntivo che non tutti i servizi siano protetti dall'autenticazione a più fattori. L'uso di LastPass per riempire la password di questi servizi fornisce effettivamente l'autenticazione a due fattori, in quanto è necessario essere in grado di accedere prima a LastPass. Protegge anche dal phishing (se si utilizza l'estensione del browser) perché riempirà solo i campi password per i siti con una corrispondenza hostname (riempirà google.com ma non goooogle.com ).
Leggi altre domande sui tag passwords password-management