La sicurezza della password LastPass in LastPass è un rischio per la sicurezza?

4

Mentre classifico i miei account in LastPass, ho avuto un pensiero stupido.

Can I store my LastPass password in LastPass?

Inizialmente pensavo che sarebbe stato un esperimento mentale completamente inutile. In nessun modo potresti effettivamente salvare i tuoi dettagli LastPass in LastPass ... giusto?

Anche se un utente ha tenta di salvare la propria password LastPass, sicuramente ci sarebbe una sorta di errore o controllo di integrità che impedisca questo da ...

... o posso aggiungere la mia password senza alcun problema.

Ovviamente non ha molto senso questo. Fare questo è l'equivalente di memorizzare una combinazione sicura all'interno di detta cassastrong a combinazione chiusa. Ciò di cui sono curioso sono le implicazioni sulla sicurezza.

Quanto è insicuro memorizzare la mia password LastPass in LastPass? Quali potenziali problemi di sicurezza potrebbero causare?

    
posta Steven M. Vascellaro 03.08.2017 - 05:45
fonte

3 risposte

2

È piuttosto inutile perché per prima cosa devi digitare la password per recuperarla. Ma IMHO questo in realtà non indebolisce la sicurezza complessiva della password vault da sola. Supponendo che la crittografia LastPass sia implementata correttamente, l'unico modo per accedere alla password master crittografata sarebbe ... trovarlo in un altro modo. E se un utente malintenzionato ottiene sempre l'accesso al deposito crittografato, la password principale non protegge altro, poiché l'intero deposito è nelle mani di un utente malintenzionato.

IMHO è ancora una pratica scadente, ma soprattutto perché poiché è inutile, farlo potrebbe dare un falso senso di sicurezza o essere un indicatore di altri usi strani.

    
risposta data 03.08.2017 - 09:57
fonte
0

LastPass sembra archiviare il Vault come un singolo blob crittografato, in base alla documentazione . Consideriamo due scenari di attacco.

In primo luogo, un utente malintenzionato riesce a mettere le mani sul tuo Vault crittografato. Ha bisogno di aprire il Vault per ottenere la password. In teoria, è possibile che l'hacker recuperi solo parti del tuo vault e che la password principale sia contenuta in esso. Ciò porterà al compromesso dell'intero Vault.

In secondo luogo, supponiamo che un utente malintenzionato riesca a ottenere un'istantanea del Vault non crittografato. Ha quindi la tua password principale, che gli consente di decifrare il tuo Vault in un secondo momento, quando eventualmente contiene più segreti.

In teoria, la memorizzazione della password principale nel Vault indebolisce un po 'la sicurezza. Che sia accettabile per qualcuno è un compromesso che ognuno deve decidere da solo.

    
risposta data 03.08.2017 - 09:42
fonte
0

È come mettere una chiave alla tua cassastrong, nella tua cassastrong. Mentre sei certo che la tua chiave è al sicuro nella tua cassastrong, hai bisogno della chiave per aprire la cassastrong. Poiché hai bisogno di una chiave per aprire la tua cassastrong, tutto ciò che inserisci nella cassastrong è sicuro, inclusa la tua chiave.

LastPass è essenzialmente sicuro, ma lo chiamano un caveau. È tutto crittografato con la tua password principale, che è la tua chiave. Memorizzare la tua password LastPass in LastPass è esattamente come memorizzare una chiave duplicata nella tua cassastrong.

Questo è un rischio per la sicurezza? Interamente a voi Se una persona si impossessasse del tuo compter non protetto, sarebbe in grado di vedere la password principale e copiarla, compromettendo il tuo account LastPass. Questo è come lasciare la cassastrong aperta per un secondo, e qualcuno arriva e afferra un'impronta della chiave che hai lasciato al suo interno.

    
risposta data 04.08.2017 - 11:46
fonte

Leggi altre domande sui tag