it-swarm-id.com

Bagaimana saya bisa yakin Lastpass benar-benar tidak dapat mengakses kata sandi saya?

Insiden keamanan yang baru-baru ini dipublikasikan secara luas di mana jutaan Linkedin diekspos mengingatkan saya untuk memperketat praktik kata sandi saya. Saya melihat beberapa pengelola kata sandi sekarang dan saya sangat ingin tahu tentang Lastpass .

Mereka menulis di beranda mereka :

LastPass adalah solusi host Bukti Host yang dikembangkan, yang menghindari kelemahan yang dinyatakan kerentanan terhadap XSS selama Anda menggunakan add-on. LastPass sangat percaya dalam menggunakan enkripsi lokal, dan hashes asin satu arah yang dibuat secara lokal untuk memberi Anda yang terbaik dari kedua dunia untuk informasi sensitif Anda: Keamanan lengkap, sambil tetap menyediakan aksesibilitas online dan kemampuan sinkronisasi. Kami telah menyelesaikan ini dengan menggunakan AES 256-bit yang diimplementasikan dalam C++ dan JavaScript (untuk situs web) dan secara eksklusif mengenkripsi dan mendekripsi pada PC lokal Anda. Tidak seorang pun di LastPass yang dapat mengakses data sensitif Anda. Kami telah mengambil setiap langkah yang dapat kami pikirkan untuk memastikan keamanan dan privasi Anda.

Bagaimana saya bisa yakin bahwa bagian yang tebal itu benar? Apakah metode yang mereka jelaskan mampu benar-benar melakukan apa yang mereka janjikan, dapatkah itu mencegah mereka mengakses kata sandi saya? Dan bagaimana saya bisa memverifikasi bahwa mereka benar-benar melakukan apa yang mereka janjikan dan tidak mengirimkan kata sandi saya dalam bentuk apa pun yang dapat mereka akses ke server mereka?

52
anonymous

Ada cara untuk melihat apakah LastPass melakukan apa yang mereka katakan.

Gunakan ekstensi Chrome Non-biner, Firefox, Opera, atau Safari. Ini adalah 100% JavaScript dan terbuka dalam arti Anda dapat melihatnya - Anda dapat menggunakan sniffing jaringan dengan proxy (misalnya Paros) untuk melihat bahwa data sensitif dienkripsi dengan AES-256-CBC dari data yang dihasilkan dari kunci yang dibuat dengan jumlah putaran PBKDF2-SHA256 yang telah Anda atur di akun Anda: http://helpdesk.lastpass.com/security-options/password-iterations-pbkdf2/ dan ini dilakukan secara lokal pada Anda hanya mesin.

Maka jangan memperbarui/memutakhirkan ekstensi Anda sampai Anda ingin mengauditnya lagi. Anda juga dapat mengaudit cara kami berinteraksi dengan ekstensi biner untuk memutuskan apakah Anda mempercayainya.

Itu agak ekstrem bagi kebanyakan orang, tetapi sejumlah orang dan organisasi telah mengaudit LastPass dan menyukai apa yang mereka temukan. LastPass selalu membantu siapa saja yang ingin diaudit, jangan ragu untuk menghubungi kami jika Anda ingin bantuan.

LastPass tahu bahwa sangat masuk akal untuk memercayai tetapi memverifikasi, dan mendorong Anda untuk melakukannya. Ada alasan mengapa kami memberi tahu orang untuk menggunakan ekstensi daripada situs web: ekstensi tidak dapat berubah semudah situs web dapat membuatnya lebih aman.

Sumber: Saya bekerja untuk LastPass.

56
Joe Siegrist

Beberapa jawaban ini cukup kuno, tetapi pokok bahasannya cukup penting sehingga saya pikir perlu ditinjau kembali.

Pernyataan LastPass adalah bahwa mereka menawarkan implementasi bukti-nol-enkripsi - yaitu enkripsi terjadi sisi-klien (dengan kata sandi menjadi kunci) dan bahwa mereka, mungkin, tidak dapat mendekripsi data bahkan jika mereka mau. Jika mereka dilayani dengan surat perintah atau perintah pengadilan, mereka akan diwajibkan menurut hukum untuk menyerahkan data, tetapi itu masih dalam bentuk terenkripsi, dan kemudian terserah superkomputer penyelidik masing-masing (atau array GPU sederhana) untuk memecahkan itu. Dalam hal ini pada dasarnya tidak ada bedanya dengan menyimpan KeePass DB di DropBox (yang telah saya lihat berkali-kali yang ingin saya sebutkan)

Yang telah dibilang....

LP baru-baru ini merilis sumber untuk klien CLI mereka: https://github.com/LastPass/lastpass-cli

Sekarang tergantung pada kita untuk melakukan tinjauan kode yang mengintip, sehingga untuk memvalidasi klaim mereka cocok dengan apa yang disampaikan.

Paling penting menginterogasi sumber untuk melihat bagaimana DB dihasilkan, disandikan & dienkripsi, jika memenuhi dengan standar & praktik terbaik (atau lebih baik), menghilangkan bug (atau "pintu belakang tidak disengaja"), dan jika produk dari generasi cocok dengan yang dihasilkan oleh implementasi kotak hitam tertutup - proses pemikiran serupa yang terlibat dalam kompilasi kode dari sumber & membandingkan checksum terhadap yang dihasilkan terhadap biner.

Peninjauan kode & uji pena independen dari organisasi terkemuka adalah apa yang dibutuhkan IMHO, sehingga menempatkannya jauh di luar keahlian saya sendiri.

Ini bukan upaya untuk mencuri atau merekayasa balik saus rahasia UX mereka, di mana mereka (benar) menambah nilai & memperoleh penghasilan dari - Saya senang membuang uang & klien dengan cara mereka untuk ini, karena mereka membuat keamanan yang lebih baik sederhana membuat hidup saya lebih aman & mudah - tetapi lebih sebagai cara bagi komunitas keamanan untuk meningkatkan standar & memastikan bahwa mereka yang mematuhi prinsip Kerckhoff dihargai karena komitmen mereka.

10
kieppie

Satu-satunya cara Anda dapat memverifikasi itu adalah dengan melihat kode yang mereka kirimkan kepada Anda setiap kali Anda mengakses kata sandi Anda. Dengan kata lain, Anda tidak bisa. Namun, jika mereka pernah mengirim kode berbahaya kepada siapa pun, ada risiko yang akan diperhatikan orang, dan yang diperlukan hanyalah satu orang yang memberikan kode berbahaya itu dan semua orang akan mengetahuinya.

3
David Schwartz

Bahkan jika Anda mempercayai sebuah perusahaan, Anda tidak dapat sepenuhnya mempercayai produk/layanan yang mereka sediakan. Kerentanan di dalamnya dapat ditemukan/dieksploitasi atau perusahaan itu sendiri dapat dikompromikan. Setiap kali Anda membuat kata sandi Anda berpotensi dapat diakses oleh suatu pihak, anggap itu diketahui oleh pihak tersebut. Dalam hal proses pendaftaran/login normal suatu situs web, Anda berurusan dengan orang-orang yang tidak benar-benar menghargai kata sandi Anda karena mereka tidak memerlukannya. Segera setelah pihak ketiga terlibat, jaminan ini sekarang di luar jendela.

Jika Anda harus, gunakan brankas kata sandi lokal seperti KeePass2 dan simpan ke media yang dapat Anda kendalikan.

Juga jika perusahaan menggunakan frasa seperti "keamanan lengkap", ketahuilah itu mereka sudah mencoba menipu Anda.

3
chao-mu