LastPass 是否足够安全?

信息安全 安全剧院 最后一次
2021-08-13 08:27:37

他们说:

私人主密码: 用户的主密码以及用于加密和解密用户数据的密钥永远不会发送到 LastPass 的服务器,也永远不会被 LastPass 访问。

仅本地加密: 用户数据在设备级别进行加密和解密。存储在保险库中的数据是保密的,即使是 LastPass 也是如此。

这提出了几个问题:

  • 如果 LastPass 没有我的密码,它怎么知道我输入的密码是正确的?
  • LastPass 如何在新设备上解密我的密码?
  • LastPass 安全吗?
  • 如果我忘记了主密码怎么办?
2个回答

LastPass 网站上的这个支持线程:

LastPass 说他们从来没有收到我的主密码。我登录时不会将其发送到 LastPass 服务器吗?

不,当您登录 LastPass 时,在将任何内容发送到服务器之前,使用我们之前讨论的代码从您的主密码生成两件事:密码哈希和解密密钥。这一切都在本地完成。

  • 密码哈希被发送到我们的服务器以验证您。验证后,我们会发回您的加密保险柜。我们只会收到您的哈希值,而不是您的主密码。
  • 解密密钥永远不会离开您的计算机,然后在它回来后用于解密您的 Vault。

所以回答你的问题:

LastPass 如何知道我的密码正确?

LastPass 只能以加密形式访问您的保险库;他们在不知道密钥的情况下无法阅读。登录时,您的客户端仅发送您的密码哈希,LastPass 只是将其与他们拥有的密码哈希进行比较。

LastPass 如何在新设备上解密我的密码?

解密密钥是您密码的函数。结果,相同的输入(您的密码)将始终产生相同的输出(哈希 + 解密密钥)。这就是您的新设备需要知道的所有信息才能解密您的保险库。

真的安全吗?

答案取决于您对 LastPass 的信任程度。

如果它完全按照他们所说的方式工作,那么足够强的密码应该是相对安全的。

如果他们在任何时候获得了您的密码的访问权限(无论是有意还是无意),您可能应该认为它已被泄露,并且不仅应该更改您的 LastPass 密码,还应该更改您在保险库中拥有的每个帐户的密码。

如果我忘记了主密码怎么办?

如果您忘记了密码,您将无法访问您的保管库。 LastPass 无法将其发送给您或重置它。.

对于愿意牺牲部分 LastPass 安全性以换取“安全网”的用户,LastPass 允许您生成和使用一次性密码,您甚至可以启用紧急访问以从指定的位置访问您的帐户用户。

LastPass 帮助台 - 一次性密码

一次性密码

如果您使用的是不受信任的公共计算机并需要访问您的 LastPass 数据,但由于潜在的键盘记录器而犹豫不决,LastPass 提供一次性密码 (OTP) 作为安全访问您帐户的一种选择。

使用受信任的计算机时,请访问https://lastpass.com/otp.php创建一个随机密码列表,这些密码只能用于一次登录 LastPass。您必须登录插件才能管理您的 OTP。在此页面上,您可以选择添加新的一次性密码、清除所有 OTP 或打印您的 OTP。

每次您生成新的 OTP 时,都会将其添加到您的列表中。这些密码可以打印出来或随身携带在便携式存储设备上。然后,您可以重新访问上述页面以使用此密码登录,并且您可以确定,即使被捕获,该密码也不允许在后续尝试中访问您的帐户,因为它在您使用它登录一次后过期。

您甚至可以将 OTP 与另一种形式的多因素身份验证(Yubikey、Google Authenticator、Sesame 或 GRID)一起使用,以便在您不使用受信任的计算机时更加安全。

LastPass 帮助台 - 紧急访问

紧急访问

如果您发生意外,您是否担心您的家人、朋友、伴侣或配偶可以访问重要帐户?您想要一种简单的方法为他们提供代表您管理帐户所需的密码和登录名吗?为意外做好准备,确保您的亲人不会被锁定在重要账户之外,例如支付账单或抵押贷款,并且他们可以管理您的数字遗产。

借助紧急访问功能,您可以让受信任的家人和朋友在发生紧急情况或危机时访问您的 LastPass 帐户。您指定的紧急访问联系人可以请求访问您的帐户并在不知道您的主密码的情况下安全地接收密码和注释。一旦他们请求访问,您可以决定在他们获得访问权限之前应该经过多长时间,如果请求是不必要的,您可以拒绝访问。

如果您担心忘记主密码并希望确保有备份方式来恢复您的保险库,紧急访问也可以用作替代帐户恢复功能。

请注意:您与之共享访问权限的人也需要他们自己的 LastPass 帐户。

可能值得检查一下公钥和私钥密码术(非对称)。

我推测,他们可以使用非对称加密。当您注册新设备时,在该设备上创建一个密钥对,将公钥发送到旧设备,用新设备的公钥加密原始私钥,将其发送到他们的服务器,然后发送到您的新设备并解密使用新私钥在新设备上本地使用原始私钥,然后删除新私钥,仅在两台设备上保留原始私钥。

然后,您可以使用一个主密码来解锁其余的帐户密码。所有的技术都隐藏在层层之下,所以用户只需要知道一个密码。

这意味着您的安全私钥通过他们的服务器但被混淆了。

那么你必须问他们使用什么加密?我怀疑他们会告诉你作为安全预防措施。你相信特定的加密吗?你在阻止谁解密,有人认为是商业计算机能力或具有大计算能力的政府。因为弱加密可以被普通用户等打败。

但这只是猜测。

我的意思是,只要他们使用足够强大的加密,这样的服务在技术上是安全的,但公司是否遵守这一点是另一个问题。

安全方面的真正问题是:您的设备是否安全,或者您是否安全。人是安全链中最薄弱的一环。

如果您忘记了主密码,您将失去一切。人们很想把它写下来,但这也是人们是最薄弱的安全环节的原因之一。

我最近的密码解决方案是 Yubico 密钥。

其它你可能感兴趣的问题
上一篇HSTS 是否可以防止恶意 CA 颁发非法有效证书? 下一篇在 Oauth 中,访问令牌不透明有什么好处