LastPass 共享如何安全?

信息安全 密码 密码管理
2021-08-22 00:19:51

如果 LastPass 允许与尚未创建帐户的用户共享密码,我试图了解它是如何安全的。

他们的常见问题解答说:“当您想与其他人共享数据时,您可以提取他们的公钥并使用它来加密数据。” 但是,论坛主题“密码共享:如何安全地完成?” 明确表示您可以与没有 LastPass 帐户的人共享密码,因为“他们将有机会创建帐户”。

这怎么可能是安全的?我设想的不安全场景是:

  1. 我指出我想共享什么密码以及应该接收什么(未来)用户
  2. 我的 LP 客户端使用服务器拥有的密钥加密数据并将其上传到服务器
  3. 另一个用户创建一个帐户和一个 RSA 密钥对
  4. 服务器使用新创建的公钥加密我的密码
  5. 其他用户的LP客户端从服务器下载加密数据
  6. 其他用户的 LP 客户端使用用户的私钥解密数据

在这种情况下,密码可以被我的预期接收者以外的人读取:LP 服务器的管理员可以读取它。如果服务器没有安全地存储它并且如果他们遭受安全漏洞,那么更多的人可以阅读它。这似乎是一个边缘案例,但如果管理员愿意在这种情况下将我的密码提供给他们自己,我想他们也愿意在其他情况下这样做。

上面链接的论坛线程上的管理员和那些回复我的客户服务询问的员工要么不了解问题,要么试图拒绝询问这个问题的人。(论坛帖子很难相信,因为管理员在避免安全问题方面做得很好。)

3个回答

根据链接的论坛帖子,目标共享者需要在密码“共享”之前创建一个帐户......

线程参与者声称没有未加密的共享密码存储在 LP 服务器上。一旦目标共享者创建帐户并提供公钥,目标密码将在您的客户端使用目标用户的公钥加密并上传到 LP 数据库。

线程参考:

by jonat » Wed May 25, 2011 4:46 pm

If you read the user manual about sharing, it sends the recipient an 
email inviting them to open a LP account if they don't have one. As 
Israel says, nothing is actually shared until the account exists and 
the sharing accepted, by which time the keys are in place.

与任何密码管理服务一样,您基本上必须相信该服务的开发人员/运营商正确地实现了一切。如果他们偷工减料或犯了错误,那么您在安全方面就不走运了。

我对 LastPass 并不完全熟悉,但我想他们存储和管理帐户的公钥以保持对这些公钥的信任。因此,我认为您尝试共享密码会导致其他用户创建帐户,然后您的 LastPass 实例会提取它正在等待的密钥来加密密码。

但情况可能并非如此,因为 LastPass 的方法和软件相当不透明。归根结底,您是否相信 LastPass 作为一家公司和技术是值得信赖的。如果他们是,这很可能,那么你就不用担心了。

嗯,是的。如果功能是您可以将密码“发送”给尚未拥有帐户/公钥的人,并且您希望在他们创建帐户后立即交付密码,那么是的,它需要存储在服务器上服务器可以通过某种方式在未来为某些密钥重新加密数据,而不是尚不存在。

他们拒绝给您直接答案的事实是糟糕的客户服务,但我无法想象他们按照您描述的方式工作的功能,然后我认为它需要按照您描述的方式工作。如果您对此感到不舒服,请等到用户拥有帐户和公钥后再向他们发送敏感数据。

其它你可能感兴趣的问题
上一篇如何检测恶意 fb2 和 epub 文件? 下一篇OpenVAS 中的误报