LastPass를 그렇게 안전하게 만드는 이유는 무엇입니까?

32

LastPass를 사용하는 것이 안전하다는 것을 단순히 이해할 수 없습니다. 공격자가해야 할 일은 단일 LastPass 계정을 손상시키고 다른 모든 웹 사이트도 손상시키는 것입니다.

사이트 당 별도의 계정을 사용하는 기존의 접근 방식과 비교했을 때 어떤 점이 좋은가요?

비밀번호가 약한 것보다 마스터 비밀번호를 통해 액세스 할 수있는 강력한 마스터 비밀번호, 사이트 별 비밀번호가 하나만있는 것이 더 좋지만 모든 웹 사이트마다 다릅니다.

— r 팩터
소스

정확히 수십 개의 사이트에 대한 강력한 암호를 어떻게 기억하십니까? 현재 볼트에 저장된 160 개 이상의 자격 증명을 세고 있습니다. 그것은 내가 거기에 보관하고있는 카드와 소프트웨어 라이센스 키를 위해 안전하게 저장된 핀 코드조차 세지 않습니다. 몇 가지 예외를 제외하고는 특정 사이트에 사용 가능한 문자를 사용하여 최대 길이 또는 20 자 이상의 임의의 암호를 임의로 생성합니다. LastPass는 나를 위해 중복을 스니핑하고 보안을 침해하는 위치에 대한 보고서를 제공 할 수 있습니다.

— G_H

47

각 사이트마다 고유하고 복잡한 암호를 만들 수있을뿐만 아니라 무료 2 단계 인증 : Grid 도 제공합니다 . 따라서 그리드를 사용할 때 사용자 이름과 비밀번호로 데이터에 액세스 할 수 없습니다.

또한 비밀번호는 일반적으로 안전하지 않은 Firefox 또는 IE의 비밀번호 관리자에 저장되지 않습니다 (설치 프로그램을 실행하고 모든 비밀번호를 가져 오는 방법을 살펴보십시오).

클라우드에 저장하는 경우 모든 것이 서버로 전송되기 전에 모든 것이 로컬로 암호화되며 키는 우리에게 전송되지 않습니다. 당사 웹 사이트의 기술 페이지에서 보안 유지 방법에 대해 자세히 알아볼 수 있습니다.

— LastPass의 밥
소스

9

나는 당신의 서비스의 진실성에 감사하지만 오래된 편집증은 열심히 죽습니다. 그리고 귀하의 회사가 A에서 미국 (Washington에서 그리 멀지 않은)에 있다는 사실은 그다지 도움이되지 않습니다. 국토 안보부의 요원이나 다른 존재하지 않는 기관이 나타나면 자격 증명을 플래시하고 애국의 의무를 상기시켜 주면 최선의 의도는 그다지 가치가 없다고 생각합니다. 로컬 솔루션을 선호한다는 것을 신경 쓰지 않기를 바랍니다.

21

실제로, molly, 모든 것이 암호화되고 클라이언트 측에서 해독되는 것처럼 들립니다. 그것이 사실이라면, 왜 이것이 로컬에 무언가를 갖는 것보다 덜 안전한지 알 수 없습니다.

— Phoshi

10

예, 모든 것이 로컬로 암호화됩니다. 우리는 솔직히 귀하의 민감한 데이터에 액세스 할 수있는 책임을 원하지 않기 때문에 원하지 않는 불필요한 위험입니다. FWIW는 2009 년 pcmag의 100 대 제품, 2009 년 pcworld의 최고 보안 제품에 선정되었으며 현재 Google 크롬 확장 사이트에서 가장 많이 선정되었습니다.

— LastPass의 Bob

2

충분히 공평하지만 (Google은 개인 정보 보호 관련 제품의 실적을 평가하는 것을 선호하지 않을 수도 있지만) 보호 조치의 정교함과 상관없이 비밀번호를 온라인에 저장하면 내 비밀번호를 더 이상 독점적으로 액세스 할 수 없습니다.

3

자사로부터 소식을 듣는 것이 좋습니다. "그리드"기술에 +1하면 정말 현명한 아이디어입니다. :)

— Sasha Chedygov

19

LastPass는 특히 안전한 것으로 생각하지 않습니다 ( '클라우드에 저장된 것과 같은 것'), 로컬 솔루션 (예 : KeePass ) 을 선호합니다 . 로그인 정보에 온라인으로 액세스 할 수있는 편리함은 용납 할 수없는 가격으로 제공됩니다 (적어도 편집증 환자의 경우).

— 피터 모텐슨
소스

2

KeePass에는 Unix (KeePassX) 및 Windows 버전이 있으며 USB 드라이브에서 작동합니다 (SuperUser와 같은 사이트의 암호에 적합).

@ 몰리-멋지게 넣어.

— Rook

6

@Molly LastPass 정보는 "클라우드에서"가 아니라 로컬에서 암호화 된 것으로 보입니다.

— phoebus

2

나는 그것을 사용하고 있지만, 요령은 키 저장소 파일을 최신 상태로 유지하고 백업하는 것입니다. 이것은 온라인 암호 키퍼와의 균형입니다.

— Maarten Bodewes

2

나는 KeePass를 사용했습니다. LastPass보다 안전하다고 생각하고 동일한 이점을 얻는 것은 환상입니다. KeePass 데이터베이스를 어떻게 백업하고 모든 사본을 최신 상태로 유지 하시겠습니까? 이동 통신사 (HDD, USB 스틱, 스마트 폰 등)가 도난 당하거나 파손될 위험이 있으므로 수동으로 또는 Dropbox와 같은 곳에 보관하십시오. 그리고 무엇을 추측하면 클라우드에 물건을 보관할 수 있습니다. LastPass 기능의 장점을 빼십시오.

— G_H

16

보안을 유지하는 것은 단순히 머리에 총을 들고도 비밀번호를 알려줄 수 없다는 것입니다. 웹 인터페이스를 사용하는 경우에도 비밀번호는 전송 전에 로컬로 암호화됩니다.

예, Grid를 사용하지 않으면 "단일 실패 지점"이 제공됩니다. 그러나 엄청나게 강력한 마스터 비밀번호를 가질 수 있습니다. 하루에 한 번만 비밀번호를 입력하면 100 자 비밀번호를 입력해야합니까? 그리고 "서브 암호"를 저장하기 때문에 평소보다 훨씬 더 강력하게 만들 수 있습니다.

또 다른 장점은 대부분의 사람들이 모든 웹 사이트마다 다른 암호를 가지고 있지 않거나 패턴을 가질 것이므로 LastPass를 사용하면이를 버릴 수 있습니다. 따라서 귀하가 방문한 모든 단일 사이트가 귀하가 방문한 다른 모든 사이트에 대한 잠재적 진입 점이 되기 전에는 이제 LastPass 계정 만 있습니다. "서브 암호"를 크래킹하면 공격자에게 추가 정보가 생성되지 않습니다.

이 기능은 현재 사용중인 사이트가 비밀번호를 암호화하는지 또는 소금에 절인 것인지 전혀 모르기 때문에 유용 합니다. 데이터베이스에 암호화되지 않은 암호를 저장하는 1,100 만 명의 사용자가있는 웹 사이트 이름을 지정할 수 있습니다.

마지막으로, LastPass는 신뢰할 수없는 위치에서 암호에 액세스하기위한 일회용 암호와 같은 기능을 제공하여 가장 고급 키로거로부터도 계정을 안전하게 보호합니다.

— ZoFreX
소스

즉 좋은 점입니다 .. 대부분의 사람들이 자신의 암호를 다시 ... 또는이 모든 기지를 커버 두 개 또는 세

— JSJ

4

사이트를 간단히 살펴 보았습니다. 요점이 맞다고 생각합니다. 누군가 암호를 해독하면 모든 암호가 있습니다. 몇 개의 프로그램에서 몇 개의 기능을 하나의 프로그램으로 묶습니다.

거기에서 보았을 때, 다른 사이트에 대해 별도의 암호를 사용하는 것보다 "보다 안전"하다고 생각하게하는 것은 없습니다.

— 윌리엄 힐섬
소스

Lastpass 서비스는 Bob의 의견에 설명 된대로 작동하지 않습니다. 요즘 사람들이 빠뜨린 것처럼 보이는 것은 민감한 데이터와 암호를 저장하는 가장 안전하지 않은 방법은 PC 측에 있다는 것입니다. 많은 사람들이 Firefox, Chrome 등의 안전하지 않은 암호 기능을 사용하지만 보안이 잘못됩니다. 훌륭한 해커, 스마트 도둑 또는 트로이 목마는 모든 암호를 얻고 메일 및 기타 데이터에 액세스하는 데 1 분이면됩니다. Lastpass에는 정보가 없으며 암호화 된 쓰레기가 자신의 곁에 있습니다. 보안 기관이 어떻게 그것을 타협 할 수 있습니까? 열쇠는 PC쪽에 있습니다.

— Rick Steven

LastPass Windows 설치 프로그램을 실행하면 IE, FF 및 Chrome에서 모든 암호를 가져 와서 (가능한 경우 모든 프로그램 가능) 암호를 삭제할 수 있습니다. 우리는 브라우저에서 암호를 기억하는 현 상태보다 훨씬 안전하다고 생각하며 훨씬 더 편리합니다.

— LastPass의 Bob

3

Podcast에서 LastPass 를 언급 한 Steve Gibson ( Security Now!의 명성) 을 아는 것이 도움이 될 수 있습니다 .

... 내가 말해야 할 것은 최선의 해결책이라고 생각합니다.

현재 600 개가 넘는 보안 에피소드에서 Gibson은 청취자에게 종종 최고의 암호가 횡설수설 적이라고 생각합니다. 이 특정 팟 캐스트에서 그는 말합니다

... 비밀번호가 길수록 더 강력합니다.

— kizzx2
소스

0

온라인 암호 저장 도구는 보안을 보장 할 수 없습니다. 그들은 호스트 증명 암호 저장 메커니즘이 호스트에서 암호를 숨기고 클라이언트 측에서만 키와 암호 해독 된 형식을 알고 있다고 주장합니다.

그러나 다음 블로그 게시물은 해당 주장에 결함이 있음을 보여줍니다.

온라인 비밀번호 저장을 신뢰할 수없는 한 가지 이유

— 재더 디아스
소스

0

Chrome 플러그인과 함께 LastPass를 사용하여 로그인 페이지로 이동하여 비밀번호를 입력하고 콘솔에 다음을 입력하여 비밀번호를 가져올 수있었습니다 ( F12).

document.querySelectorAll("[type=password]")[0].value

이는 이중 인증 이며 "비밀번호를 표시 / 복사하려면 마스터 암호 필요"옵션이 활성화 된 것입니다. 나는 이것을 자동화하는 것이 어렵지 않다고 생각한다. 즉, 다른 암호 저장과 마찬가지로 LastPass에서 암호를 쉽게 가져 와서 "Bob from LastPass"가 주장하는 것과 모순되는 것을 의미한다.

스티브 깁슨 (Steve Gibson) 과 같은 보안 전문가들은 LastPass가 수동 비밀번호 관리보다 우수하다고 생각합니다. 왜냐하면 암호가 약하거나 재사용 된 비밀번호 또는 일반 키로거로 인한 손상의 위험이 LastPass를 특별히 공격하는 맬웨어의 위험보다 더 크기 때문입니다. 여전히 나는 잃을 여유가있는 사이트에만 사용하고 은행 / 기본 이메일 / Dropbox 등에 사용 하지는 않습니다 .

서버에서 다운로드 한 모든 비밀번호에 대해 2 단계 인증이 필요한 비밀번호 관리자 (LastPass는 처음 로그인 할 때만 필요함)는 감염된 컴퓨터에서 사용 된 비밀번호로만 손상을 제한하지만 비밀번호 관리자를 찾지 못했습니다. 그 옵션으로 아직.

— dschlyter
소스

웹 페이지에서 실행되는 Javascript 코드가 해당 페이지에서 양식에 입력 된 비밀번호를 볼 수 있음을 보여줌으로써 LastPass가 안전하지 않은 이유를 보여 주려고하는 것 같습니다. 이것은 사실이지만 LastPass를 실행하지 않아도 여전히 유효합니다. 그리고 페이지가 다른 사이트의 LastPass에서 암호를 가져올 수 없으므로 암호를 사용하지 않는 것보다 나쁘지 않습니다.

— 케빈 판코

당신 말이 맞아요, 아마도 충분히 명확하지 않았을 것입니다. 나는 당신이 방문하는 웹 페이지가 자바 스크립트로 암호를 훔칠 수 있다고 주장하지 않았습니다. 본인의 컴퓨터 (예 : 공개 컴퓨터의 악의적 인 친구 또는 맬웨어)에 액세스 할 수있는 사람이 암호를 볼 때 2 단계 및 암호로 보호하더라도 LastPass에서 저장된 암호를 가져올 수 있다고 주장하려고했습니다. 자바 스크립트 예제는 그것을 보여주는 쉬운 방법 중 하나 일뿐입니다.

— dschlyter

@dschlyter 나는 당신이 여기서 무슨 말을하는지 잘 모르겠습니다. LastPass는 자동으로 암호를 입력하거나 입력하기 전에 자신을 다시 인증해야하는 옵션을 제공합니다. 자동 완성 옵션은 항상 선택되어 있으며 금융, 이메일 또는 클라우드를 제공하는 사이트에 대해서는 선택하지 않습니다. 저장 서비스. 이것은 당신이 보여준 JS 트릭을 사용하려고 시도한 누군가가 스택 익스체인지 등에 대한 내 비밀번호만을 얻는다는 것을 의미합니다. 그리고 당신이 생각하는 것처럼 트릭을 쉽게 풀 수 있는지 확신 할 수 없습니다.

— samwyse