In che modo la condivisione di LastPass è sicura?

Question

In che modo la condivisione di LastPass è sicura?

#1 da (4 voti)
#2 da (1 voti)
#3 da (0 voti)

5

Sto cercando di capire in che modo LastPass può essere protetto se consente di condividere password con utenti che non hanno ancora creato account.

Le loro Domande frequenti dicono "Quando vuoi condividere i dati con qualcun altro, tiri la loro chiave pubblica e la usano per crittografare i dati. " Tuttavia, il thread del forum "Condivisione password: come viene fatto in modo sicuro?" lo rende è chiaro che puoi condividere una password con qualcuno che non ha un account LastPass perché "verrà data loro la possibilità di creare un account."

Come può essere sicuro? Lo scenario insicuro che immagino è:

Indico quale password voglio condividere e quale (futuro) utente dovrebbe riceverla
Il mio client LP crittografa i dati con una chiave di proprietà del server e li carica sul server
L'altro utente crea un account e una coppia di chiavi RSA
Il server crittografa la mia password utilizzando la chiave pubblica appena creata
Il client LP dell'altro utente scarica i dati crittografati dal server
Il client LP dell'altro utente decodifica i dati utilizzando la chiave privata dell'utente

In questo scenario, la password è leggibile da persone diverse dal destinatario previsto: gli amministratori del server LP possono leggerlo. Se il server non lo memorizza in modo sicuro e se subisce una violazione della sicurezza, ancora più persone possono leggerlo. Questo sembra un caso limite, ma se gli amministratori sono disposti a rendere le mie password disponibili a loro stessi in questo caso, immagino che siano disposti a farlo in altri casi.

L'amministratore sul thread del forum collegato sopra e quei dipendenti che rispondono alle richieste del servizio clienti non hanno capito il problema o stanno cercando di rispolverare le persone che chiedono questo. (Il thread del forum è difficile da credere perché l'amministratore fa un buon lavoro per evitare problemi di sicurezza.)

passwords password-management

posta JellicleCat 12.12.2017 - 19:39

fonte

3 risposte

Leggi altre domande sui tag passwords password-management

GnuPG - Crypt simmetrica con una chiave nulla Migliore sicurezza: ID sessione nei cookie e cookie crittografato

score 4 · Answer 1

Secondo il thread del forum collegato, il target sharee è necessario per creare un account prima che la password sia "condivisa" ...

I partecipanti al thread affermano che nessuna password condivisa non crittografata è archiviata su server LP. Una volta che l'obiettivo sharee crea un account e fornisce una chiave pubblica, la password di destinazione viene crittografata con la chiave pubblica dell'utente di destinazione sul lato client e caricata nel database LP.

Thread Ref:

by jonat » Wed May 25, 2011 4:46 pm

If you read the user manual about sharing, it sends the recipient an 
email inviting them to open a LP account if they don't have one. As 
Israel says, nothing is actually shared until the account exists and 
the sharing accepted, by which time the keys are in place.

score 1 · Answer 2

Come per qualsiasi servizio di gestione delle password, è fondamentalmente necessario credere che gli sviluppatori / operatori del servizio abbiano implementato correttamente tutto. Se tagliano gli angoli o commettono errori, beh, per tua sicurezza sei fuori di testa.

Non sono del tutto familiare con LastPass, ma immagino che memorizzino e gestiscano le chiavi pubbliche dell'account per mantenere la fiducia di quelle chiavi pubbliche. Quindi penso che tu stia cercando di condividere una password con l'altro utente che crea un account, quindi l'istanza di LastPass estrae la chiave che stava aspettando per crittografare la password.

Ma potrebbe non essere il caso, dato che LastPass è piuttosto opaco nei loro metodi e software. Si riduce a se ritieni che LastPass sia un'azienda e che la tecnologia sia affidabile. Se lo sono, che è probabile, allora hai poco di cui preoccuparti.

score 0 · Answer 3

Bene, si. Se la funzione è che puoi "inviare" una password a qualcuno che non ha ancora un account / chiave pubblica, e vuoi che venga consegnato non appena creano un account, allora sì, deve essere memorizzato sul server in in qualche modo che il server possa crittografare nuovamente i dati in futuro per alcune chiavi che non esistono ancora.

Il fatto che si rifiutino di darti una risposta diretta è un pessimo servizio clienti, ma non riesco a immaginare che la funzionalità funzioni nel modo in cui descrivi, quindi penso che debba funzionare nel modo in cui descrivi. Se ti senti a disagio, attendi che gli utenti dispongano di un account e di una chiave pubblica prima di inviare loro i dati riservati.