it-swarm-eu.dev

Wie kann ich sicher sein, dass Lastpass wirklich nicht auf meine Passwörter zugreifen kann?

Der jüngste, weit verbreitete Sicherheitsvorfall, bei dem Millionen von Linkedin aufgedeckt wurden, erinnerte mich daran, meine Passwortpraktiken zu verschärfen. Ich schaue mir jetzt mehrere Passwort-Manager an und bin besonders neugierig auf Lastpass .

Sie schreiben auf ihrer Homepage :

LastPass ist eine weiterentwickelte Host Proof-gehostete Lösung, die die angegebene Schwachstelle für XSS vermeidet, solange Sie das Add-On verwenden. LastPass ist fest davon überzeugt, lokale Verschlüsselung zu verwenden und lokal gesalzene One-Way-Salted-Hashes zu erstellen, um Ihnen das Beste aus beiden Welten für Ihre vertraulichen Informationen zu bieten: Vollständige Sicherheit bei gleichzeitiger Bereitstellung von Online-Zugriffs- und Synchronisierungsfunktionen. Wir haben dies erreicht, indem wir 256-Bit-AES verwendet haben, das in C++ und JavaScript (für die Website) implementiert ist, und ausschließlich auf Ihrem lokalen PC verschlüsselt und entschlüsselt haben. Niemand bei LastPass kann jemals auf Ihre sensiblen Daten zugreifen. Wir haben alle erdenklichen Schritte unternommen, um Ihre Sicherheit und Privatsphäre zu gewährleisten.

Wie kann ich sicher sein, dass der fettgedruckte Teil wahr ist? Ist die von ihnen beschriebene Methode in der Lage, das zu tun, was sie versprechen, und kann sie daran gehindert werden, auf meine Passwörter zuzugreifen? Und wie kann ich überprüfen, ob sie tatsächlich das tun, was sie versprechen, und mein Passwort nicht in irgendeiner Form übertragen, auf die sie auf ihre Server zugreifen können?

52
anonymous

Es gibt eine Möglichkeit zu sehen, ob LastPass das tut, was sie sagen.

Verwenden Sie die nicht-binäre Chrome-, Firefox-, Opera- oder Safari-Erweiterung. Dies ist 100% JavaScript und offen in dem Sinne, dass Sie es sehen können. Sie können Netzwerk-Sniffing mit einem Proxy (z. B. Paros) verwenden, um zu sehen, dass die vertraulichen Daten mit AES-256-CBC aus Daten verschlüsselt werden, die aus einem erstellten Schlüssel generiert wurden Mit der Anzahl der Runden von PBKDF2-SHA256, die Sie in Ihrem Konto eingerichtet haben: http://helpdesk.lastpass.com/security-options/password-iterations-pbkdf2/ und dies erfolgt lokal auf Ihrem Konto nur Maschine.

Aktualisieren/aktualisieren Sie Ihre Erweiterung dann erst, wenn Sie sie erneut prüfen möchten. Sie können auch die Art und Weise überprüfen, wie wir mit der binären Erweiterung interagieren, um zu entscheiden, ob Sie dem vertrauen.

Das ist für die meisten Menschen etwas extrem, aber einige Leute und Organisationen haben LastPass geprüft und fanden es gut, was sie gefunden haben. LastPass ist immer hilfreich für alle, die eine Prüfung durchführen möchten. Wenn Sie Hilfe benötigen, können Sie sich gerne an uns wenden.

LastPass weiß, dass es durchaus vernünftig ist, zu vertrauen, aber zu überprüfen und Sie dazu zu ermutigen. Es gibt einen Grund, warum wir den Leuten empfehlen, die Erweiterungen anstelle der Website zu verwenden: Die Erweiterungen können sich nicht so leicht ändern, wie es die Website könnte, wodurch sie sicherer werden.

Quelle: Ich arbeite für LastPass.

56
Joe Siegrist

Einige dieser Antworten sind ziemlich veraltet, aber das Thema ist wichtig genug, dass ich denke, dass es eine Wiederholung verdient.

LastPass behauptet, dass sie eine wissensfreie Implementierung bieten - d. H. Die Verschlüsselung erfolgt clientseitig (wobei das Kennwort der Schlüssel ist) und dass sie die Daten vermutlich nicht entschlüsseln können, selbst wenn sie dies wollten. Wenn ihnen ein Haftbefehl oder eine gerichtliche Anordnung zugestellt wird, sind sie gesetzlich verpflichtet, die Daten zu übergeben, aber sie würden immer noch in verschlüsselter Form vorliegen, und dann liegt es an den Supercomputern (oder dem bescheidenen GPU-Array) der jeweiligen Ermittler knack das. In dieser Hinsicht unterscheidet es sich grundsätzlich nicht vom Speichern einer KeePass-Datenbank in DropBox (was ich öfter gesehen habe, als ich erwähnen möchte).

Davon abgesehen ....

LP hat kürzlich die Quelle für ihren CLI-Client veröffentlicht: https://github.com/LastPass/lastpass-cli

Es liegt nun an uns, die Peered-Code-Überprüfung durchzuführen, um zu überprüfen, ob ihre Ansprüche mit den gelieferten übereinstimmen.

Am wichtigsten ist es, die Quelle abzufragen, um festzustellen, wie die Datenbank generiert, codiert und verschlüsselt wird, ob sie den besten Standards und Praktiken (oder besser) entspricht, Fehler (oder "unbeabsichtigte Hintertüren") auszusortieren und ob das Produkt der Generation dem entspricht generiert durch die geschlossenen Black-Box-Implementierungen - ähnlicher Denkprozess beim Kompilieren von Code aus der Quelle und beim Vergleichen der Prüfsumme mit der mit der Binärdatei generierten.

Eine unabhängige Codeüberprüfung und ein Pen-Test von einer seriösen Organisation sind meiner Meinung nach das, was benötigt wird, und gehen daher weit über meine eigenen Fähigkeiten hinaus.

Dies ist kein Versuch, ihre UX-Geheimsauce zu stehlen oder auf andere Weise zurückzuentwickeln, wo sie (zu Recht) Mehrwert schaffen und Einnahmen daraus erzielen. Ich bin froh, Geld und Kunden dafür zu gewinnen, da sie die gute Sicherheit vereinfachen macht mein Leben sicherer und einfacher - sondern vielmehr eine Möglichkeit für die Sicherheitsgemeinschaft, die Messlatte höher zu legen und sicherzustellen, dass diejenigen, die sich an Kerckhoffs Prinzip halten, für ihr Engagement belohnt werden.

10
kieppie

Sie können dies nur überprüfen, indem Sie sich den Code ansehen, den Sie jedes Mal erhalten, wenn Sie auf Ihre Passwörter zugreifen. Mit anderen Worten, Sie können nicht. Wenn sie jedoch jemals bösartigen Code an jemanden senden, besteht das Risiko, dass diese Person dies bemerkt, und es ist nur eine Person erforderlich, die diesen bösartigen Code präsentiert, und jeder würde davon erfahren.

3
David Schwartz

Selbst wenn Sie einem Unternehmen vertrauen, können Sie dem Produkt/der Dienstleistung, die es anbietet, nicht voll vertrauen. Eine darin enthaltene Sicherheitsanfälligkeit kann entdeckt/ausgenutzt oder das Unternehmen selbst gefährdet werden. Jedes Mal, wenn Sie Ihre Passwörter einer Partei möglicherweise zugänglich machen, sollten Sie davon ausgehen, dass sie dieser Partei bekannt sind. Im Falle des normalen Registrierungs-/Anmeldevorgangs einer Website haben Sie es mit Personen zu tun, die Ihr Passwort nicht wirklich schätzen, da sie es nicht benötigen. Sobald ein Dritter involviert ist, ist diese Zusicherung jetzt aus dem Fenster.

Verwenden Sie gegebenenfalls einen lokalen Kennwort-Safe wie KeePass2 und speichern Sie ihn auf einem von Ihnen kontrollierten Wechselmedium.

Auch wenn ein Unternehmen einen Ausdruck wie "vollständige Sicherheit" verwendet, wissen Sie, dass sie versuchen bereits, Sie auszutricksen.

3
chao-mu