LastPass는 FireSheep 공격에 취약합니까?


답변:


10

일반적으로 아닙니다. 서버 이외에도 암호는 로컬 컴퓨터에 암호화 된 상태로 저장되며 암호를 서버로 보내면 컴퓨터를 떠나기 전에 256 비트 AES (즉, 정말 좋은) 암호화로 암호화됩니다. 마찬가지로 서버에서 비밀번호를 가져 오면 비밀번호는 암호화 된 상태이며 마스터 비밀번호 만 비밀번호를 해독 할 수 있습니다. SSL없이 웹 사이트에 로그인하면 (예 : HTTPS) 해당 특정 비밀번호는 취약하지만 마스터 비밀번호는 안전합니다. 마스터 비밀번호에 다른 비밀번호를 사용 했습니까?

또한 사이트에 로그인하면 안전한 세션에있게됩니다. 즉, 귀하와 LastPass간에 전달 된 모든 정보는 (이론적으로) 안전합니다.

LastPass는 암호를 명확하게 저장하지 않기 때문에 (특히 마스터 암호, 전혀 저장하지 않은 것으로 생각합니다) 누군가 암호화 암호와 최소한 하나의 마스터를 보유한 경우 유일한 취약점이됩니다. 암호. 이는 암호화 키가 마스터 비밀번호와 솔트에서만 생성된다고 가정 할 때, 우주 시대에서 다른 마스터 비밀번호 (아직 로그인하지 않았을 수도 있음)를 수백만 년으로 세분화하는 데 걸리는 시간을 줄입니다. , LastPass의 경우는 그렇지 않다고 생각합니다.

요약하면, 이미 안전하지 않은 사이트에 로그인하는 경우에만 걱정할 필요가 있지만 마스터 비밀번호는 안전합니다. LastPass가 없으면 다른 모든 사이트와 동일한 절름발이 암호를 사용하고있을 것입니다.


lol, "우주의 시대 제곱"lastpass가 더 길 것이라고 생각합니다
TheLQ

7

LastPass의 기술 개요 에서 모든 데이터는 로컬로 암호화 및 해독되며 데이터 전송은 AES-256으로 암호화됩니다. FireSheep 는 중간자 공격을 사용하여 암호화되지 않은 연결을 취약하게 만듭니다.

이 문제에 대한 유일한 효과적인 수정은 웹에서 HTTPS 또는 SSL로 알려진 전체 종단 간 암호화입니다.

따라서 로그인하는 웹 사이트가 HTTPS를 사용하지 않는 경우 FireSheep 사용자는 자격 증명을 훔칠 수 있습니다 . LastPass 자체는 취약하지 않습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.