LastPassがこれほど安全なのはなぜですか？

32

LastPassの使用がどのように安全であるかを単純に理解することはできません。攻撃者が行う必要があるのは、1つのLastPassアカウントを侵害することだけです。その後、他のすべてのWebサイトも侵害されます。

サイトごとに別々のアカウントを持つ従来のアプローチと比較して、それについて何がそんなに良いですか？

1つの強力なマスターパスワード、マスターパスワードを介してアクセスできる強力なサイト固有のパスワードを用意する方が、脆弱なパスワードを持つよりも、すべてのWebサイトで異なる方が本当に良いのでしょうか。

— rFactor
ソース

数十のサイトの強力なパスワードを正確にどのように覚えていますか？現在、ボールトに保存されている160以上の資格情報をカウントしています。それは、私がそこに保管しているカードとソフトウェアライセンスキーの安全に保存されたPINコードも数えていません。非常に少数の例外を除き、そこにあるすべてのパスワードは、特定のサイトで使用可能な任意の文字を使用して、最大長または20文字以上のランダムに生成されます。LastPassは重複を探り出し、セキュリティを侵害している場所のレポートを提供できます。

— G_H

47

各サイトに固有の複雑なパスワードを作成できるようにすることに加えて、無料の第2要素認証であるグリッドも提供しています。したがって、グリッドが使用されている場合、ユーザー名とパスワードだけではデータにアクセスできません。

さらに、パスワードは一般に安全ではないFirefoxまたはIEのパスワードマネージャーに保存されません（インストーラーを実行して、すべてのパスワードを取得する方法を確認してください）。

クラウドへの保存に関しては、サーバーに送信される前にすべてがローカルで暗号化され、キーは送信されません。弊社のWebサイトのテクノロジーページで、お客様を安全に保つ方法について詳しくお読みいただけます。

— ラストパスのボブ
ソース

9

私はあなたのサービスの誠実な誠実さに感謝しますが、古いパラノイアは一生懸命に死にます。そして、あなたの会社が米国のA（ワシントンからそれほど遠くない）に拠点を置いているという事実も、あまり役に立ちません。国土安全保障省または他のあまり存在しない機関のエージェントが現れ、資格情報を点滅させ、愛国的な義務を思い出させたら、あなたの最善の意図はあまり価値がないと思います。ローカルソリューションを好むことを気にしないでください。

21

実際には、愚かな、すべてがクライアント側で暗号化および復号化されているように聞こえます-のように、彼らは自分で何にもアクセスできません。それが本当なら、これがローカルで何かを持っているよりも安全性が低い理由がわかりません。

— Phoshi

10

はい、すべてがローカルで暗号化されます。率直に言って、お客様の機密データにアクセスできるという責任を負いたくはありません。それは不必要なリスクです。FWIW、2009年のpcmagの上位100製品、2009年のpcworldの最高のセキュリティ製品にランク付けされ、現在Google Chromeの拡張サイトでそのトップピックとして紹介されています。

— ラストパスのボブ

2

十分に公平です（ただし、Googleは、その実績に基づいてプライバシー関連製品を評価することを好みません）が、保護対策の洗練度に関係なく、オンラインで保存されている場合、パスワードは最終的に自分だけがアクセスできなくなるという事実が残っています。

3

ファーストパーティから聞いてうれしいです。あなたの「グリッド」技術のために+1、それは本当に賢いアイデアです。:)

— サーシャチェディゴフ

19

LastPassを特に安全だとは考えていません（「クラウドに」保存されているもののように）、ローカルソリューション（KeePassなど）の方が好きです。ログイン情報へのオンラインアクセスの利便性は、容認できない価格で提供されます（少なくとも妄想の古い私にとって）。

— ピーター・モーテンセン
ソース

2

KeePassにはUnix（KeePassX）およびWindowsバージョンがあり、USBドライブから動作します（SuperUserなどのサイトのパスワードに最適です）。

@モリー-うまく入れて。

— ルーク

6

@Molly LastPass情報は「クラウド内」ではなくローカルで暗号化されているようです。

— フィーバス

2

私はそれを使用していますが、秘storeはキーストアファイルを最新の状態に保ち、バックアップすることです。これは、オンラインパスワードキーパーとのトレードオフです。

— マールテンボデウェス

2

以前はKeePassを使用していました。LastPassよりも安全であり、同じメリットを享受できると考えるのは幻想です。KeePassデータベースをバックアップし、すべてのコピーを最新の状態に保つにはどうすればよいですか？キャリア（HDD、USBスティック、スマートフォンなど）が盗まれたり破損したりするリスクを伴う手動で、またはDropboxのようなものの上に保管します。そして、何を推測したら、すぐにクラウドにデータを保存できます。LastPassの機能の利点を差し引いてください。

— G_H

16

安全にできるのは、たとえ彼らの頭に銃を持っていても、彼らはあなたのパスワードが何であるかをだれにも伝えることができないということです。Webインターフェイスを使用する場合でも、パスワードはローカルに暗号化されてから送信されます。

はい、グリッドが使用されない限り、「単一障害点」を提供するのは事実です。しかし、あなたは途方もなく強力なマスターパスワードを持っている可能性があります-あなたが1日1回だけそれを行う場合、100文字のパスワードを入力する必要がある場合、誰が気にしますか？また、「サブパスワード」が保存されるため、通常よりも強力になります。

もう1つの利点は、ほとんどの人がすべてのWebサイトに異なるパスワードを持たない（またはパターンを持つ）ことであり、LastPassを使用するとこれを捨てることができます。そのため、あなたがいたすべてのサイトがあなたがいた他のすべてのサイトへの潜在的なエントリーポイントであったのに対し、今ではLastPassアカウントのみが存在しています。「サブパスワード」を解読しても、攻撃者に余分な情報はもたらされません。

あなたがいるサイトがあなたのパスワードを暗号化しているのか、それともソルトしているのかわからないので、これは便利です。データベースに暗号化されていないパスワードを保存する1,100万人のユーザーがいるWebサイトに名前を付けることができます。

最後に、LastPassは、信頼できない場所にあるパスワードにアクセスするためのワンタイムパスワードなどの機能を提供します。これにより、最先端のキーロガーからもアカウントを保護できます。

— ZoFreX
ソース

それは良い点です。ほとんどの人がパスワードを再利用するか、すべてのベースをカバーする2つまたは3つを持っている

— -jsj

4

サイトをざっと見てみると、あなたのポイントは正しいと思います...誰かがあなたのパスワードを解読すると、すべてのパスワードが手に入ります。

そこから見て、サイトごとに別々のパスワードを持っていることよりも「安全」だと思うものは何もありません-とにかく…最後のパスは管理を容易にします。

— ウィリアム・ヒルサム
ソース

Lastpassサービスは、Bobのコメントで説明されているように機能しません。最近人々が見逃しているように見えるのは、機密データとパスワードを保存する最も安全でない方法がPC側にあるということです。多くの人がFirefoxやChromeなどの安全でないパスワード機能を使用していますが、それは間違ったセキュリティ感です。優れたハッカー、賢い泥棒、またはトロイの木馬は、すべてのパスワードを取得し、メールやその他のデータにアクセスするのに1分しかかかりません。ラストパスには情報がなく、暗号化されたゴミが側にあります。セキュリティ機関はどのようにそれを妥協できますか？キーはpc側にあります。

— リックスティーブン

LastPass Windowsインストーラーを実行すると、IE、FF、Chromeからすべてのパスワードを取得し（可能な場合は、任意のプログラムが実行できます）、削除する機能を提供します。ブラウザでパスワードを記憶するこの現状の方法よりもはるかに安全であると私たちは確信していますし、私たちもはるかに便利です。

— ラストパスのボブ

3

ポッドキャストで LastPass について言及されている（Security Now！名声の）Steve Gibsonを知ることは役に立つかもしれません：

...私が言わなければならないのは、可能な限り最良の解決策だと思います。

現在の600を超えるセキュリティエピソードでは、ギブソンは、最高のパスワードが意味のない長いパスワードであることをリスナーに思い出させます。この特定のポッドキャストで彼は言う

...パスワードが長いほど強力です

— kizzx2
ソース

0

セキュリティを保証できるオンラインのパスワード保存ツールはありません。彼らは、ホスト証明パスワード保存メカニズムがホストからパスワードを隠し、クライアント側だけがキーと復号化されたフォームを知っていると主張しています。

しかし、次のブログ投稿はその主張の欠陥を示しています。

オンラインパスワードストレージを信頼できない理由の1つ

— ジェイダー・ディアス
ソース

0

ChromeプラグインでLastPassを使用すると、ログインページに移動してパスワードを入力し、コンソールに次のように入力することでパスワードを取得できました（を押しますF12）。

document.querySelectorAll("[type=password]")[0].value

これは、二要素認証と「パスワードの表示/コピーにマスターパスワードが必要」オプションが有効になっています。これを自動化するのは難しくないと思います。つまり、「Bob from LastPass」が主張しているように思えるのとは反対に、他のパスワードストレージと同じようにパスワードをLastPassから簡単に引き出すことができます。

弱い/再利用されたパスワードまたは一般的なキーロガーによる侵害のリスクは、LastPassを特に攻撃しているマルウェアからのリスクよりも大きいため、LastPassは、Steve Gibsonなどのセキュリティ専門家による手動パスワード管理よりも優れていると考えられます。それでも、私はそれを失う余裕があるサイトにのみ使用し、銀行/プライマリメール/ Dropboxなどには決して使用しません。

サーバーからダウンロードされるすべてのパスワードに2要素認証が必要なパスワードマネージャー（LastPassは初回ログイン時にのみ必要）は、感染したコンピューターで使用されたパスワードのみに損害を制限しますが、パスワードマネージャーが見つかりませんまだそのオプションで。

— dschlyter
ソース

Webページで実行されているJavascriptコードがそのページのフォームに入力されたパスワードを見ることができることを示すことで、LastPassが安全でない理由を示しているようです。これは事実ですが、LastPassが実行されていなくても真実です。また、他のサイトのLastPassからパスワードをページに取得することは許可されていないため、パスワードがない場合よりも悪くなることはありません。

— ケビンパンコ14

あなたは正しいです、そして私はおそらく十分に明確ではありませんでした。私が訪問したウェブページがjavascriptでパスワードを盗むことができると主張するつもりはありませんでした。私はあなたのコンピューターにアクセスできる誰か（すなわち、悪意のある友人や公共のコンピューター上のマルウェア）がLastPassから保存されたパスワードを引き出すことができると主張しようとしました。javascriptの例は、それを示す簡単な方法の1つにすぎません。

— dschlyter

@dschlyterここで何を言っているのかわかりません。LastPassでは、パスワードを自動的に入力するか、入力する前に再認証を要求するオプションがあります。自動入力オプションは常にオプトインであり、金融、電子メール、またはクラウドを提供するサイトでは選択しません。ストレージサービス。これは、あなたが示すJSトリックを使用しようとした人は、せいぜいStack Exchangeなどのパスワードしか取得できないことを意味します。そして、あなたのトリックが思ったほど簡単に抜け出せるかどうかはわかりません。

— サムウィーゼ