LastPass는 웹 사이트에 내 비밀번호를 어떻게 저장합니까?


15

LastPass는 암호를 웹 사이트로 전송 및 저장하기 전에 암호의 로컬 암호화를 수행한다고 광고합니다. 그러나 이전 비밀번호로 로그인하면 모든 비밀번호에 일반 텍스트로 액세스 할 수 있습니다. 이것이 내 비밀번호에도 액세스 할 수 있음을 의미하지 않습니까? 비밀번호에 액세스 할 수 없는지 어떻게 확인할 수 있습니까?



1
스티브 깁슨은 최신 버전이라고 밝혔다. 그것은 나에게 충분합니다. blog.lastpass.com/2010/07/…
ale

답변:


18

모든 암호화 / 복호화는 서버가 아닌 컴퓨터에서 발생합니다. 즉, 중요한 데이터는 인터넷을 통해 이동하지 않으며 서버에 절대로 닿지 않으며 암호화 된 데이터 만 처리합니다.

[...]

암호화 키는 이메일 주소와 마스터 비밀번호로 생성됩니다. 마스터 비밀번호는 LastPass로 전송되지 않으며 인증시 비밀번호의 단방향 해시만으로 키를 구성하는 구성 요소가 로컬로 유지됩니다. 이것이 LastPass 마스터 비밀번호를 기억하는 것이 매우 중요한 이유입니다. 우리는 그것을 알지 못하며 암호화 된 데이터가 없으면 의미가 없습니다. LastPass는 또한 더 많은 보호 계층을 추가 할 수있는 고급 보안 옵션을 제공합니다.

출처 : http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

다시 말해, 컴퓨터는 이메일 및 마스터 비밀번호로 비밀번호를 암호화하고 해당 데이터를 Lastpass로 보냅니다. Lastpass.com에서 마스터 암호로 인증하면 Lastpass.com은 암호화 된 모든 암호를 반환 합니다.이 암호는 전자 메일 및 마스터 암호로 컴퓨터 에서 로컬로 해독 됩니다 . 모든 통신은 SSL을 통해 이루어 지므로 인터셉트 된 것은 이중 쓸모가 없습니다 (모든 것이 SSL 키뿐만 아니라 이메일 및 마스터 비밀번호로 암호화되기 때문에).

이를 확인하는 가장 좋은 방법은 네트워크 활동을 모니터링하고 암호가 해독 된 항목 (마스터 암호 포함)이 lastpass.com으로 이동하는지 확인하는 스크립트를 설정하는 것입니다. 내가 포럼에서 본 내용을 바탕으로 다른 사용자 가이 작업을 수행했으며 의심스러운 것은 없습니다.


Safari (lastpass firefox 플러그인없이)에서 lastpass.com에 로그인하여 모든 암호를 확인하려면 어떻게해야합니까?
chovy 2018 년

1
@chovy 브라우저에서 볼 수 있습니다. 서버에서 보는 것과 다릅니다. 예, 원시 데이터는 서버에서 제공되지만 사용자에게 컴퓨터에 표시되기 전에 로컬 데이터를 사용하여 해독됩니다.
Tom

1
그래도 암호는 머신에 로컬로 어떻게 저장됩니까? 평문으로?
Meekohi

2

방금 waiwai가 말한 것을 확인 했으며 해시 만 최종 패스 서버로 전송되었으며 암호화 된 암호 만 반환되었습니다. 로컬 스토리지에 파생되어 저장된 키처럼 보입니다.

마스터 암호를 훔치려면 누군가가 응용 프로그램의 동작 방식을 수정하기 위해 서버의 취약성 또는 손상이 필요합니다. 제 생각에는 lastpass는 일반적인 웹 사용에는 안전하지만 숙련 된 공격자가 뒤따를 수있는 고가의 대상에는 사용해서는 안됩니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.