it-swarm-eu.dev

Jak si mohu být jistý, že Lastpass opravdu nemůže přistupovat ke svým heslům?

Nedávný, široce publikovaný bezpečnostní incident, kde byly vystaveny miliony Linkinů, mi připomněl, abych zpřísnil své postupy při používání hesel. Nyní se dívám na několik správců hesel a jsem obzvláště zvědavý na Lastpass .

Oni napište na jejich domovskou stránk :

LastPass je vyvinuté hostované řešení Host Proof, které se vyhýbá uvedené slabosti zranitelnosti vůči XSS, pokud používáte doplněk. LastPass pevně věří v používání místního šifrování a místně vytvořeného jednosměrného hashe, aby vám poskytl to nejlepší z obou světů pro vaše citlivé informace: Kompletní zabezpečení a zároveň poskytuje on-line dostupnost a možnosti synchronizace. Dosáhli jsme toho pomocí 256bitového AES implementovaného v C++ a JavaScript (pro web) a výhradně šifrováním a dešifrováním ve vašem místním počítači. Nikdo na LastPass nemá nikdy přístup k vašim citlivým datům. Podnikli jsme každý krok, o kterém můžeme přemýšlet, abychom zajistili vaši bezpečnost a soukromí.

Jak si mohu být jistý, že tučná část je pravdivá? Je metoda, kterou popisují, skutečně schopna dělat to, co slibují, může jim to zabránit v přístupu k mým heslům? A jak si mohu ověřit, že skutečně dělají to, co slibují, a nepředávají své heslo v jakékoli formě, v níž mají přístup ke svým serverům?

52
anonymous

Existuje způsob, jak zjistit, zda LastPass dělá to, co říká.

Použijte rozšíření Non-binary Chrome, Firefox, Opera nebo Safari. Jedná se o 100% JavaScript a otevřený v tom smyslu, že ho můžete vidět - můžete použít síťové čichání pomocí proxy (např. Paros), abyste viděli, že citlivá data jsou šifrována pomocí AES-256-CBC z dat generovaných z vytvořeného klíče s počtem kol PBKDF2-SHA256, které máte na svém účtu nastaveno: http://helpdesk.lastpass.com/security-options/password-iterations-pbkdf2/ a to se provádí lokálně na vašem účtu pouze stroj.

Pak jednoduše neaktualizujte/upgradujte rozšíření, dokud jej nechcete znovu auditovat. Můžete také prověřit, jak interagujeme s binárním rozšířením a rozhodnout se, zda tomu věříte.

To je pro většinu lidí trochu extrémní, ale řada lidí a organizací provedla audit LastPassu a líbilo se mu, co našli. LastPass je vždy nápomocný každému, kdo chce provést audit, pokud byste chtěli pomoci, kontaktujte nás.

LastPass ví, že je naprosto rozumné věřit, ale ověřit, a vyzvat vás k tomu. Existuje důvod, proč říkáme lidem, aby rozšíření používali spíše než na webu: rozšíření se nemohou měnit tak snadno, jak by je web mohl zvýšit.

Zdroj: Pracuji pro LastPass.

56
Joe Siegrist

Některé z těchto odpovědí jsou dost staré, ale téma je natolik důležité, že si myslím, že si zaslouží revizi.

LastPass je tvrzení, že nabízejí implementaci s nulovými znalostmi - tj. Šifrování probíhá na straně klienta (s klíčovým heslem) a že pravděpodobně nemohou data dešifrovat, i když chtěli. Pokud jim bude vydán rozkaz nebo soudní příkaz, budou ze zákona povinni data předat, ale stále by byla v šifrované podobě, a pak je na superpočítačích příslušných vyšetřovatelů (nebo skromném poli GPU), aby crack to. V tomto ohledu se v zásadě neliší od uložení KeePass DB v DropBoxu (což jsem viděl vícekrát, o čem bych se zmínil)

To bylo řečeno ....

LP nedávno vydalo zdroj pro svého klienta CLI: https://github.com/LastPass/lastpass-cli

Nyní je na nás, abychom provedli peer review kódu, abychom ověřili, zda jejich nároky odpovídají tomu, co bylo dodáno.

Nejdůležitější je dotazování zdroje, aby se zjistilo, jak je databáze generována, zakódována a šifrována, pokud splňuje nejlepší standardy a postupy (nebo lepší), odstraní chyby (nebo „neúmyslné zadní dveře“) a zda produkt generace odpovídá generované uzavřenými implementacemi černé skříňky - podobný myšlenkový proces zapojený do kompilace kódu ze zdroje a porovnání kontrolního součtu s tím, který byl vygenerován proti binárnímu kódu.

Nezávislá revize kódu a test perem od renomované organizace je to, co IMHO potřebuje, a tak ji staví mimo můj vlastní soubor dovedností.

Nejedná se o pokus ukrást nebo jinak pozměnit jejich tajnou omáčku UX, kde (správně) přidají hodnotu a odvozují výnosy - jsem rád, že za to hodím peníze a klienty, protože jim usnadňuje dobrou bezpečnost je můj život bezpečnější a snazší - ale spíše způsob, jak bezpečnostní komunita může zvýšit laťku a zajistit, aby ti, kteří dodržují Kerckhoffův princip, byli odměněni za svůj závazek.

10
kieppie

Jediným způsobem, jak to můžete ověřit, je podívat se na kód, který vám zasílají pokaždé, když přistupujete k svým heslům. Jinými slovy, nemůžete. Pokud by však někdy někomu poslali škodlivý kód, existuje riziko, že by si toho osoba všimla, a jediné, co by to vyžadovalo, je, že by jeden škodlivý kód představoval každý a každý o něm věděl.

3
David Schwartz

I když důvěřujete společnosti, nemůžete plně důvěřovat produktu/službě, kterou poskytují. Zranitelnost může být objevena/zneužita nebo může být ohrožena samotná společnost. Kdykoli učiníte svá hesla potenciálně přístupná straně, považujte je za známou touto stranou. V případě běžného registračního/přihlašovacího procesu na webu jednáte s lidmi, kteří si vaše heslo ve skutečnosti nevšímají, protože jej nepotřebují. Jakmile je zapojena třetí strana, tato záruka je nyní mimo dosah.

Pokud je to nutné, použijte bezpečné místní heslo, jako je KeePass2, a uložte na vyměnitelná média, která ovládáte.

Také pokud společnost používá frázi jako „kompletní zabezpečení“, vím, že ž se vás pokoušejí podvádět.

3
chao-mu