Qu'est-ce qui rend LastPass si sécurisé?

32

Je ne peux pas simplement comprendre comment utiliser LastPass est sécurisé. Tout ce qu'un attaquant doit faire est de compromettre le compte unique LastPass, puis il a également compromis tous les autres sites Web.

Qu'est-ce qu'il y a de si bien à cela par rapport à l'approche traditionnelle d'avoir des comptes séparés par site?

Est-il vraiment préférable d'avoir un mot de passe principal fort, des mots de passe spécifiques au site, accessibles via le mot de passe principal, plutôt que des mots de passe plus faibles, mais différents sur tous les sites Web?

firefox security web lastpass rFactor
la source
Comment allez-vous vous souvenir des mots de passe forts de plusieurs dizaines de sites? Je compte plus de 160 identifiants stockés dans mon coffre-fort pour le moment. Cela ne compte même pas les codes PIN stockés de manière sécurisée pour les cartes et les clés de licence logicielle que je conserve également. À quelques rares exceptions près, chaque mot de passe est généré aléatoirement, en utilisant n’importe quel caractère disponible pour le site en question, et d’une longueur maximale ou supérieure à 20 caractères. LastPass peut détecter les doublons pour moi et peut signaler les cas où je compromets la sécurité.
G_H

Réponses:

47

En plus de vous permettre de créer des mots de passe uniques et complexes pour chaque site, nous proposons également une authentification gratuite au second facteur: la grille . Votre nom d'utilisateur et votre mot de passe ne sont donc pas suffisants pour accéder à vos données lorsque Grid est utilisé.

De plus, vos mots de passe ne sont pas stockés dans les gestionnaires de mots de passe Firefox ou IE, qui ne sont généralement pas sécurisés (exécutez simplement notre programme d'installation et observez comment nous pouvons extraire tous les mots de passe).

En ce qui concerne le stockage dans le cloud, tout est crypté localement avant d'être envoyé au serveur et votre clé ne nous est jamais envoyée. Vous pouvez en savoir plus sur la protection de votre sécurité sur la page technologie de notre site Web.

Bob from LastPass
la source
9
J'apprécie l'intégrité sincère de votre service, mais l'ancienne paranoïa a la vie dure. et le fait que votre société soit basée aux États-Unis d’A (pas trop loin de Washington) n’aide pas beaucoup non plus. Si des agents de la Sécurité intérieure ou d’autres agences moins existantes se présentent, présentant des références et vous rappelant votre devoir patriotique, je pense que vos meilleures intentions n’ont aucune valeur. J'espère que cela ne vous dérange pas que je préfère une solution locale.
21
En fait, molly, il semble que tout soit crypté et décrypté côté client - comme, ils ne peuvent accéder à rien par eux-mêmes. Si cela est vrai, je ne vois pas pourquoi c'est moins sûr que d'avoir quelque chose sur place.
Phoshi
10
Oui, tout est crypté localement. Franchement, nous ne voulons pas la responsabilité de pouvoir accéder à vos données sensibles, c'est un risque inutile que nous ne voulons pas prendre. FWIW, nous figurions parmi les 100 meilleurs produits de pcmag en 2009, parmi les meilleurs produits de sécurité de pcworld en 2009 et figurent actuellement sur le site de vulgarisation de google chrome comme leur premier choix.
Bob from LastPass
2
passable (bien que Google n’ait peut-être pas ma préférence pour évaluer les produits liés à la confidentialité en fonction de leurs antécédents), mais il n'en reste pas moins que mes mots de passe ne sont finalement plus exclusivement accessibles par moi-même lorsqu'ils sont stockés en ligne, quelle que soit la sophistication des mesures de protection.
3
C'est bien d'entendre une première partie. +1 pour votre technologie "Grid", c'est une idée vraiment intelligente. :)
Sasha Chedygov
19

Je ne considère pas que LastPass est particulièrement sûr (comme tout ce qui est stocké "dans le cloud"), je préfère de loin une solution locale (par exemple, KeePass ). La commodité d'avoir un accès en ligne aux informations de connexion est à un prix inacceptable (au moins pour les vieux paranoïaques).

Peter Mortensen
la source
2
KeePass a les versions Unix (KeePassX) et Windows, et fonctionne à partir d’une clé USB (idéal pour les mots de passe de sites comme SuperUser).
@Molly - bien mis.
Rook
6
@Molly Il semble que les informations LastPass soient cryptées localement et non "dans le nuage".
phoebus
2
Je l'utilise, mais le truc est de garder le fichier de clés stocké à jour et sauvegardé. C'est le compromis avec les gardiens de mot de passe en ligne.
Maarten Bodewes
2
J'avais l'habitude d'utiliser KeePass. Le penser plus sûr que LastPass ET récolter les mêmes avantages est une illusion. Comment allez-vous sauvegarder votre base de données KeePass et garder toutes les copies à jour? Soit manuellement, avec le risque qu'un opérateur (comme un disque dur, une clé USB, un smartphone) soit volé ou cassé, ou vous le conservez sur quelque chose comme Dropbox. Et devinez quoi, alors vous êtes de retour pour garder des choses dans le nuage. Moins les avantages des fonctionnalités de LastPass.
G_H
16

Ce qui le rend sûr, c'est simplement qu'ils ne peuvent dire à personne quels sont vos mots de passe, même avec une arme à feu. Même lorsque vous utilisez l'interface Web, vos mots de passe sont cryptés localement avant d'être transmis.

Oui, il est vrai que cela fournit un "point de défaillance unique" sauf si Grid est utilisé. Cependant, vous pourriez avoir un mot de passe principal extrêmement fort. Peu importe si vous devez taper un mot de passe de 100 caractères si vous ne le faites qu'une fois par jour. Et comme il enregistre vos "sous-mots de passe", vous pouvez les avoir beaucoup plus puissants que vous ne le feriez normalement.

Un autre avantage est que la plupart des gens n'auront pas des mots de passe différents pour chaque site Web (ou auront un modèle), et LastPass vous permet de laisser tomber cela. Alors qu'avant chaque site sur lequel vous étiez était un point d’entrée potentiel pour tous les autres sites sur lesquels vous étiez, maintenant seul votre compte LastPass l’est. En craquant un "sous-mot de passe", aucune information supplémentaire n'est fournie à un attaquant.

Ceci est utile car vous avez aucune idée si les sites sur lesquels vous vous trouvez cryptent votre mot de passe ou le salent. Je pourrais nommer un site Web comptant 11 millions d'utilisateurs stockant des mots de passe non chiffrés dans leur base de données.

Enfin, LastPass offre des fonctionnalités telles que des mots de passe à usage unique pour accéder à vos mots de passe dans des emplacements non fiables, ce qui permet de protéger votre compte des enregistreurs de frappe même les plus avancés.

ZoFreX
la source
C'est un bon point .. la plupart des gens réutilisent leur mot de passe .. ou en ont deux ou trois qui couvrent toutes les bases
jsj
4

Je viens de jeter un coup d'œil sur leur site - je pense que vos arguments sont corrects ... Si quelqu'un déchiffre votre mot de passe là-bas, il en a tous les mots - il regroupe simplement quelques fonctionnalités de quelques programmes dans un programme.

En regardant cela, rien ne me fait penser qu'il est "plus sûr" que d'avoir des mots de passe distincts pour différents sites - comme vous le serez de toute façon ... Le dernier passage facilite tout simplement la gestion.

William Hilsum
la source
Le service Lastpass ne fonctionne pas comme ça, comme expliqué dans le commentaire de Bob. De nos jours, ce qui semble manquer aux gens, c’est que le moyen le plus sûr de stocker vos données confidentielles et vos mots de passe est du côté des ordinateurs. De nombreuses personnes utilisent les fonctionnalités de mot de passe non sécurisé de Firefox, Chrome, etc., alors que c'est un faux sentiment de sécurité. Un bon pirate informatique, voleur intelligent ou cheval de Troie n'a besoin que d'une minute pour obtenir tous vos mots de passe, accéder à votre courrier et à d'autres données. Lastpass n'a aucune information, puis les déchets chiffrés de leur côté. Comment une agence de sécurité peut-elle compromettre cela? La clé est du côté du PC.
Rick Steven
Si vous exécutez le programme d’installation de LastPass pour Windows, nous extrayons tous vos mots de passe de IE, FF et Chrome (en tout cas, tout programme peut le faire), puis nous vous offrons la possibilité de les supprimer. Nous pensons vraiment que nous sommes beaucoup plus en sécurité que cette façon de conserver vos mots de passe dans le navigateur, mais nous sommes également beaucoup plus pratiques.
Bob from LastPass
3

Il pourrait être utile de connaître Steve Gibson (de Sécurité maintenant! renommée) fait référence à LastPass dans un podcast :

... ce que j'ai à dire, c'est, je pense, la meilleure solution possible.

Dans ses plus de 600 épisodes de sécurité maintenant, Gibson rappelle souvent aux auditeurs que les meilleurs mots de passe sont charabia et longs. Dans ce podcast particulier, il dit

... plus votre mot de passe est long, plus il est fort

kizzx2
la source
0

Aucun outil de stockage de mot de passe en ligne ne peut vous assurer la sécurité. Ils affirment que le mécanisme de stockage du mot de passe d’épreuve de l’hôte cache les mots de passe de l’hôte et que seul le côté client connaît la clé et le formulaire déchiffré.

Mais l'article suivant montre une faille dans cette affirmation:

Une des raisons pour lesquelles nous ne pouvons pas faire confiance au stockage de mots de passe en ligne

Jader Dias
la source
0

À l'aide de LastPass avec le plug-in Chrome, j'ai pu extraire un mot de passe en accédant à une page de connexion, en le saisissant et en entrant les informations suivantes dans la console (appuyez sur F12 ). 

document.querySelectorAll("[type=password]")[0].value

C'est avec authentification à deux facteurs et avec l'option "Requérir un mot de passe principal pour afficher / copier le mot de passe" activée. Je suppose qu'il ne serait pas difficile d'automatiser cela, ce qui signifie que les mots de passe peuvent être facilement extraits de LastPass, tout comme les autres systèmes de stockage de mots de passe, contrairement à ce que "Bob de LastPass" semble revendiquer.

Je suppose que LastPass est considéré comme meilleur que la gestion manuelle des mots de passe par des experts en sécurité tels que Steve Gibson tout simplement parce que le risque de compromission d'un mot de passe faible / réutilisé ou d'un enregistreur de frappe générique est plus grand que le risque d'un logiciel malveillant qui attaque spécifiquement LastPass. Néanmoins, je ne l’utiliserais que pour les sites que je peux me permettre de perdre, et jamais pour les services bancaires / email primaire / Dropbox , etc.

Un gestionnaire de mots de passe nécessitant une authentification à deux facteurs pour chaque mot de passe téléchargé depuis le serveur (LastPass ne le requiert que lors de la première connexion) limiterait les dommages aux mots de passe utilisés sur l'ordinateur infecté, mais je n'ai pas trouvé de gestionnaire de mot de passe avec cette option pour le moment.

dschlyter
la source
Vous semblez essayer de montrer pourquoi LastPass n'est pas sécurisé en montrant que le code Javascript exécuté dans une page Web peut voir les mots de passe entrés dans les formulaires de cette page. C'est vrai, mais c'est toujours vrai même sans l'exécution de LastPass. Et il ne permet pas à la page d'extraire les mots de passe de LastPass pour d'autres sites. Vous n'êtes donc pas moins bien loti que sans lui.
Kevin Panko
Vous avez raison, et je n'ai probablement pas été assez clair. Je n'essayais pas de prétendre que n'importe quelle page Web que vous visitez peut voler vos mots de passe avec javascript. J'essayais de prétendre qu'une personne ayant accès à votre ordinateur (par exemple, un ami maléfique ou un logiciel malveillant sur un ordinateur public) peut extraire vos mots de passe enregistrés de LastPass, même avec une protection à deux facteurs et une protection par mot de passe lors de la visualisation des mots de passe. L'exemple javascript n'était qu'un moyen simple de le démontrer.
dschlyter
@dschlyter Je ne suis pas sûr de ce que vous dites ici. LastPass vous donne la possibilité soit de saisir automatiquement un mot de passe, soit de vous demander de vous authentifier à nouveau avant de le remplir. L'option de remplissage automatique est toujours activée, et je ne le sélectionne jamais pour les sites fournissant des informations financières, électroniques ou en cloud. services de stockage. Cela signifie que quelqu'un qui a essayé d'utiliser l'astuce JS que vous avez montrée n'aurait tout au plus que mes mots de passe pour Stack Exchange, etc. Et je ne suis pas sûr que votre astuce soit aussi facile à réaliser que vous semblez le penser.
samwyse