Je ne peux pas simplement comprendre comment utiliser LastPass est sécurisé. Tout un attaquant doit faire consiste à compromettre le seul compte LastPass, puis il a également compromis tous les autres sites Web.
Qu'est-ce qui va bien par rapport à l'approche traditionnelle d'avoir des comptes séparés par site?
Est-il vraiment préférable d'avoir un mot de passe principal puissant, des mots de passe spécifiques à un site puissant qui peuvent être accessibles via le mot de passe principal que d'avoir des mots de passe plus faibles, mais différents sur tous les sites Web?
En plus de vous permettre de créer des mots de passe uniques et complexes pour chaque site, nous proposons également une authentification gratuite du deuxième facteur: grille . Donc, votre nom d'utilisateur et votre mot de passe ne suffisent pas pour accéder à vos données lorsque la grille est utilisée.
De plus, vos mots de passe ne sont pas stockés dans les gestionnaires de mots de passe de Firefox ou IE IE qui sont généralement insécurieux (gérez simplement notre installateur et surveillent comment nous pouvons tirer tous les mots de passe).
En ce qui concerne le stockage dans le nuage, tout est crypté localement avant d'être envoyé sur le serveur et que votre clé ne nous est jamais envoyée. Vous pouvez en savoir plus sur la manière dont nous vous gardons en sécurité sur la page de la technologie sur notre site Web.
Je ne considère pas LastPass particulièrement sûr (comme tout ce qui est stocké "dans le nuage"), je préfère de loin une solution locale (par exemple, Keepass)). La commodité d'avoir accès en ligne à des informations de connexion vient à un prix inacceptable (au moins pour moi paranoïaque).
Ce qui le rend sécurisé est simplement qu'ils ne peuvent pas dire à personne ce que vos mots de passe sont, même avec une arme à feu à la tête. Même lors de l'utilisation de l'interface Web, vos mots de passe sont cryptés localement avant d'être transmis.
Oui, il est vrai qu'il fournit un "point unique d'échec" à moins que la grille soit utilisée. Cependant, vous pourriez avoir un mot de passe principal ridiculement puissant - qui se soucie si vous devez taper un mot de passe de caractère si vous ne le faites qu'une fois par jour? Et parce que cela enregistre vos "sous-mot de passe", vous pouvez les avoir beaucoup plus fort que vous pourriez normalement.
Un autre avantage est que la plupart des gens n'auront pas différents mots de passe pour chaque site Web (ou auront un modèle) et LastPass vous permet de saisir cela. Ainsi, alors qu'avant chaque site que vous étiez activé était un point d'entrée potentiel sur tous les autres sites que vous étiez sur vous, mais uniquement votre compte LastPass. Craquer n'importe quel "sous-mot de passe" ne donne aucune information supplémentaire à un attaquant.
Ceci est utile parce que vous avez aucune idée Si les sites que vous êtes sur vous sont chiffrer votre mot de passe ou le salage. Je pourrais nommer un site Web avec 11 millions d'utilisateurs qui stocke les mots de passe non chiffrés dans leur base de données.
Enfin, LastPass propose des fonctionnalités telles que les mots de passe d'une fois pour accéder à vos mots de passe dans des emplacements indignes de confiance, ce qui permet de sécuriser votre compte de même les Keyloggers les plus avancés.
Il suffit de regarder rapidement leur site - je pense que vos points sont corrects ... Si quelqu'un craque votre mot de passe là-bas, ils ont tous vos mots de passe - il s'agit simplement de quelques fonctionnalités de quelques programmes à un programme.
De regarder là-bas, il n'y a rien qui me fait penser qu'il est "plus sécurisé" que d'avoir des mots de passe distincts pour différents sites - comme vous le ferez de toute façon ... Dernier passe simplifie simplement la gestion.
Utilisation de LastPass avec le Chrome Plugin, j'ai pu extraire un mot de passe en naviguant vers une page de connexion, remplissez le mot de passe et entrez dans les éléments suivants dans la console (appuyez sur F12).
document.querySelectorAll("[type=password]")[0].value
Ceci est avec authentification à deux facteurs et avec le mot de passe Master pour afficher/copier le mot de passe "-Option activé. Je suppose que cela ne serait pas difficile d'automatiser cela, ce qui signifie que les mots de passe peuvent être tirés facilement de LastPass, comme un autre stockage de mot de passe, contredire ce que "Bob de LastPass" semble réclamer.
Je suppose que LastPass est considéré comme mieux que la gestion manuelle des mots de passe par des experts de sécurité comme Steve Gibson simplement parce que le risque de compromis d'un mot de passe faibles/réutilisé ou d'un keylogger générique est plus grand que le risque de malware qui attaque spécifiquement le risque d'attaquer spécifiquement Dernier passage. Je n'utiliserais toujours que pour les sites que je peux me permettre de perdre, et jamais pour la banque/email primaire/ Dropbox , etc.
Un gestionnaire de mots de passe nécessitant une authentification à deux facteurs pour chaque mot de passe téléchargé à partir du serveur (LastPass n'exige que sur la première connexion) limiterait les dommages aux mots de passe utilisés uniquement sur l'ordinateur infecté, mais je n'ai pas trouvé de gestionnaire de mots de passe avec cette option encore.