Je ne peux pas simplement comprendre comment utiliser LastPass est sécurisé. Tout ce qu'un attaquant doit faire est de compromettre le compte unique LastPass, puis il a également compromis tous les autres sites Web.
Qu'est-ce qu'il y a de si bien à cela par rapport à l'approche traditionnelle d'avoir des comptes séparés par site?
Est-il vraiment préférable d'avoir un mot de passe principal fort, des mots de passe spécifiques au site, accessibles via le mot de passe principal, plutôt que des mots de passe plus faibles, mais différents sur tous les sites Web?
Réponses:
En plus de vous permettre de créer des mots de passe uniques et complexes pour chaque site, nous proposons également une authentification gratuite au second facteur: la grille . Votre nom d'utilisateur et votre mot de passe ne sont donc pas suffisants pour accéder à vos données lorsque Grid est utilisé.
De plus, vos mots de passe ne sont pas stockés dans les gestionnaires de mots de passe Firefox ou IE, qui ne sont généralement pas sécurisés (exécutez simplement notre programme d'installation et observez comment nous pouvons extraire tous les mots de passe).
En ce qui concerne le stockage dans le cloud, tout est crypté localement avant d'être envoyé au serveur et votre clé ne nous est jamais envoyée. Vous pouvez en savoir plus sur la protection de votre sécurité sur la page technologie de notre site Web.
la source
Je ne considère pas que LastPass est particulièrement sûr (comme tout ce qui est stocké "dans le cloud"), je préfère de loin une solution locale (par exemple, KeePass ). La commodité d'avoir un accès en ligne aux informations de connexion est à un prix inacceptable (au moins pour les vieux paranoïaques).
la source
Ce qui le rend sûr, c'est simplement qu'ils ne peuvent dire à personne quels sont vos mots de passe, même avec une arme à feu. Même lorsque vous utilisez l'interface Web, vos mots de passe sont cryptés localement avant d'être transmis.
Oui, il est vrai que cela fournit un "point de défaillance unique" sauf si Grid est utilisé. Cependant, vous pourriez avoir un mot de passe principal extrêmement fort. Peu importe si vous devez taper un mot de passe de 100 caractères si vous ne le faites qu'une fois par jour. Et comme il enregistre vos "sous-mots de passe", vous pouvez les avoir beaucoup plus puissants que vous ne le feriez normalement.
Un autre avantage est que la plupart des gens n'auront pas des mots de passe différents pour chaque site Web (ou auront un modèle), et LastPass vous permet de laisser tomber cela. Alors qu'avant chaque site sur lequel vous étiez était un point d’entrée potentiel pour tous les autres sites sur lesquels vous étiez, maintenant seul votre compte LastPass l’est. En craquant un "sous-mot de passe", aucune information supplémentaire n'est fournie à un attaquant.
Ceci est utile car vous avez aucune idée si les sites sur lesquels vous vous trouvez cryptent votre mot de passe ou le salent. Je pourrais nommer un site Web comptant 11 millions d'utilisateurs stockant des mots de passe non chiffrés dans leur base de données.
Enfin, LastPass offre des fonctionnalités telles que des mots de passe à usage unique pour accéder à vos mots de passe dans des emplacements non fiables, ce qui permet de protéger votre compte des enregistreurs de frappe même les plus avancés.
la source
Je viens de jeter un coup d'œil sur leur site - je pense que vos arguments sont corrects ... Si quelqu'un déchiffre votre mot de passe là-bas, il en a tous les mots - il regroupe simplement quelques fonctionnalités de quelques programmes dans un programme.
En regardant cela, rien ne me fait penser qu'il est "plus sûr" que d'avoir des mots de passe distincts pour différents sites - comme vous le serez de toute façon ... Le dernier passage facilite tout simplement la gestion.
la source
Il pourrait être utile de connaître Steve Gibson (de Sécurité maintenant! renommée) fait référence à LastPass dans un podcast :
Dans ses plus de 600 épisodes de sécurité maintenant, Gibson rappelle souvent aux auditeurs que les meilleurs mots de passe sont charabia et longs. Dans ce podcast particulier, il dit
la source
Aucun outil de stockage de mot de passe en ligne ne peut vous assurer la sécurité. Ils affirment que le mécanisme de stockage du mot de passe d’épreuve de l’hôte cache les mots de passe de l’hôte et que seul le côté client connaît la clé et le formulaire déchiffré.
Mais l'article suivant montre une faille dans cette affirmation:
Une des raisons pour lesquelles nous ne pouvons pas faire confiance au stockage de mots de passe en ligne
la source
À l'aide de LastPass avec le plug-in Chrome, j'ai pu extraire un mot de passe en accédant à une page de connexion, en le saisissant et en entrant les informations suivantes dans la console (appuyez sur F12 ).
C'est avec authentification à deux facteurs et avec l'option "Requérir un mot de passe principal pour afficher / copier le mot de passe" activée. Je suppose qu'il ne serait pas difficile d'automatiser cela, ce qui signifie que les mots de passe peuvent être facilement extraits de LastPass, tout comme les autres systèmes de stockage de mots de passe, contrairement à ce que "Bob de LastPass" semble revendiquer.
Je suppose que LastPass est considéré comme meilleur que la gestion manuelle des mots de passe par des experts en sécurité tels que Steve Gibson tout simplement parce que le risque de compromission d'un mot de passe faible / réutilisé ou d'un enregistreur de frappe générique est plus grand que le risque d'un logiciel malveillant qui attaque spécifiquement LastPass. Néanmoins, je ne l’utiliserais que pour les sites que je peux me permettre de perdre, et jamais pour les services bancaires / email primaire / Dropbox , etc.
Un gestionnaire de mots de passe nécessitant une authentification à deux facteurs pour chaque mot de passe téléchargé depuis le serveur (LastPass ne le requiert que lors de la première connexion) limiterait les dommages aux mots de passe utilisés sur l'ordinateur infecté, mais je n'ai pas trouvé de gestionnaire de mot de passe avec cette option pour le moment.
la source