लास्टपास इतना सुरक्षित क्या है?


32

मैं बस समझ नहीं पा रहा हूं कि लास्टपास कैसे सुरक्षित है। सभी हमलावर को एकल लास्टपास खाते से समझौता करने की आवश्यकता है और फिर उसने अन्य सभी वेबसाइटों से भी समझौता किया है।

प्रति साइट के अलग-अलग खातों की तुलना में पारंपरिक दृष्टिकोण की तुलना में यह कितना अच्छा है?

क्या वास्तव में एक मजबूत मास्टर पासवर्ड, मजबूत साइट-विशिष्ट पासवर्ड होना बेहतर है जो कि कमजोर पासवर्ड होने के बजाय मास्टर पासवर्ड के माध्यम से पहुँचा जा सकता है, लेकिन सभी वेबसाइटों पर अलग है?


वास्तव में आप कई दर्जन साइटों के लिए मजबूत पासवर्ड कैसे याद रखने जा रहे हैं? मैं इस समय अपनी तिजोरी में संग्रहीत १६०+ साख गिन रहा हूं। कार्ड और सॉफ्टवेयर लाइसेंस कुंजियों के लिए सुरक्षित रूप से संग्रहीत पिन कोड की गिनती भी मैं वहां नहीं कर रहा हूं। बहुत कम अपवादों के अलावा, वहाँ का हर पासवर्ड बेतरतीब ढंग से उत्पन्न होता है, विशेष साइट के लिए किसी भी उपलब्ध चरित्र का उपयोग करके, और अधिकतम लंबाई का या कहीं-कहीं 20 वर्णों का। लास्टपास मेरे लिए डुप्लिकेट को सूँघ सकता है और रिपोर्ट कर सकता है कि मैं सुरक्षा से कहां समझौता कर रहा हूं।
G_H

जवाबों:


47

आपको प्रत्येक साइट के लिए अद्वितीय, जटिल पासवर्ड बनाने की अनुमति देने के अलावा, हम निशुल्क दूसरा कारक प्रमाणीकरण भी प्रदान करते हैं: ग्रिड । जब ग्रिड का उपयोग किया जाता है तो आपका उपयोगकर्ता नाम और पासवर्ड आपके डेटा तक पहुंचने के लिए पर्याप्त नहीं है।

इसके अलावा, आपके पासवर्ड फ़ायरफ़ॉक्स या IE के पासवर्ड प्रबंधकों में संग्रहीत नहीं हैं जो आमतौर पर असुरक्षित हैं (बस हमारे इंस्टॉलर को चलाएं और देखें कि हम सभी पासवर्ड कैसे खींच सकते हैं)।

क्लाउड में स्टोर करने के लिए, सर्वर पर भेजे जाने से पहले सब कुछ स्थानीय रूप से एन्क्रिप्ट किया गया है और आपकी कुंजी कभी भी हमें नहीं भेजी जाती है। आप इस बारे में अधिक पढ़ सकते हैं कि कैसे हम आपको हमारी वेबसाइट पर प्रौद्योगिकी पृष्ठ पर सुरक्षित रखते हैं।


9
मैं आपकी सेवा की ईमानदारी की सराहना करता हूं, फिर भी पुराने व्यामोह कठिन मर जाते हैं। और यह तथ्य कि आपकी कंपनी अमेरिका के ए में स्थित है (वाशिंगटन से बहुत दूर नहीं) या तो बहुत मदद नहीं करती है। अगर होमलैंड सिक्योरिटी या अन्य कम अस्तित्व वाली एजेंसियों के एजेंट दिखाई देते हैं, तो क्रेडेंशियल्स को चमकाना और आपको अपने देशभक्ति के कर्तव्य की याद दिलाना मुझे लगता है कि आपके सबसे अच्छे इरादे बहुत अधिक नहीं हैं। मुझे आशा है कि आपको कोई आपत्ति नहीं है कि मैं एक स्थानीय समाधान पसंद करता हूं।

21
दरअसल, मौली, ऐसा लगता है कि सब कुछ एन्क्रिप्टेड और डिक्रिप्टेड क्लाइंट-साइड है - जैसा कि, वे स्वयं कुछ भी एक्सेस नहीं कर सकते। अगर यह सच है, तो मैं नहीं देखता कि यह स्थानीय रूप से कुछ होने से कम सुरक्षित क्यों है।
फॉशी

10
हां, सब कुछ स्थानीय रूप से एन्क्रिप्ट किया गया है। हम स्पष्ट रूप से आपके संवेदनशील डेटा तक पहुंचने में सक्षम होने का दायित्व नहीं चाहते हैं, यह एक अनावश्यक जोखिम है जिसे हम नहीं लेना चाहते हैं। FWIW, हमें 2009 के pcmag के शीर्ष 100 उत्पादों में स्थान दिया गया, 2009 के PCworld के सर्वश्रेष्ठ सुरक्षा उत्पादों में स्थान दिया गया और वर्तमान में Google क्रोम के एक्सटेंशन साइट पर उनके शीर्ष पिक्स के रूप में चित्रित किया जा रहा है।
लास्टपास से बॉब

2
निष्पक्ष रूप से (हालाँकि Google गोपनीयता-संबंधी उत्पादों को उनके ट्रैक रिकॉर्ड को देखते हुए रेट करने के लिए मेरी प्राथमिकता नहीं हो सकता है), लेकिन तथ्य यह है कि मेरे पासवर्ड अंततः स्वयं द्वारा विशेष रूप से सुलभ नहीं होते हैं जब वे ऑनलाइन संग्रहीत होते हैं, सुरक्षात्मक उपायों के परिष्कार की परवाह किए बिना।

3
पहली पार्टी से सुनने में अच्छा लगता है। आपकी "ग्रिड" तकनीक के लिए +1, यह वास्तव में स्मार्ट विचार है। :)
साशा चोडगोव

19

मैं लास्टपास को विशेष रूप से सुरक्षित नहीं मानता (जैसे कुछ भी जो 'क्लाउड में संग्रहीत है'), मैं एक स्थानीय समाधान पसंद करता हूं (उदाहरण के लिए, कीपास )। लॉगिन जानकारी तक ऑनलाइन पहुंच रखने की सुविधा अस्वीकार्य मूल्य (कम से कम पुराने पुराने मेरे लिए) पर आती है।


2
KeePass में Unix (KeePassX) और Windows संस्करण हैं, और एक USB ड्राइव (सुपरयूजर जैसी साइटों के लिए पासवर्ड के लिए एकदम सही) से काम करता है।

@ मौली - अच्छी तरह से डाल दिया।
रूक

6
@ यह प्रतीत होता है कि LastPass की जानकारी स्थानीय रूप से एन्क्रिप्ट की गई है, न कि "क्लाउड में"।
फोएबस

2
मैं इसका उपयोग कर रहा हूं, लेकिन चाल की कुंजी फ़ाइल को अद्यतित रखने और समर्थित करने के लिए है। यह ऑनलाइन पासवर्ड रखने वालों के साथ ट्रेडऑफ है।
मार्टन बॉडवेज

2
मैं KeePass का इस्तेमाल करता था। यह सोचना कि लास्टपास की तुलना में अधिक सुरक्षित है और समान लाभ प्राप्त करना एक भ्रम है। आप अपने KeePass डेटाबेस का बैकअप कैसे लेते हैं और सभी प्रतियों को अद्यतित रखते हैं? या तो मैन्युअल रूप से, एक वाहक (जैसे एचडीडी, यूएसबी स्टिक, स्मार्टफोन) के चोरी होने या टूटने के जोखिम के साथ, या आप इसे ड्रॉपबॉक्स जैसी किसी चीज पर रखते हैं। और लगता है क्या, तो आप क्लाउड में सामान रखने के लिए सही हैं। लास्टपास के फीचर्स के फायदे माइनस।
G_H

16

जो बात इसे सुरक्षित बनाती है वह यह है कि वे किसी को भी यह नहीं बता सकते हैं कि आपके पासवर्ड क्या हैं, यहां तक ​​कि उनके सिर पर बंदूक भी। वेब इंटरफ़ेस का उपयोग करते समय भी, आपके पासवर्ड को प्रेषित होने से पहले स्थानीय रूप से एन्क्रिप्ट किया जाता है।

हाँ, यह सच है कि यह "विफलता का एकल बिंदु" प्रदान करता है जब तक कि ग्रिड का उपयोग न किया जाए। हालांकि, आपके पास एक हास्यास्पद मजबूत मास्टर पासवर्ड हो सकता है - जो परवाह करता है कि क्या आपको 100 कैरेक्टर पासवर्ड टाइप करना है अगर आप दिन में केवल एक बार करते हैं? और क्योंकि यह आपके "उप पासवर्ड" को बचाता है, तो आप उन्हें सामान्य रूप से आपके मुकाबले बहुत अधिक मजबूत कर सकते हैं।

एक और लाभ यह है कि ज्यादातर लोगों के पास हर वेबसाइट (या एक पैटर्न होगा) के लिए अलग-अलग पासवर्ड नहीं होंगे, और लास्टपास आपको इसे खोदने देता है। इसलिए जब तक आप हर एक साइट पर थे, तब तक आप सभी अन्य साइटों पर संभावित प्रवेश बिंदु थे, अब केवल आपका लास्टपास खाता है। किसी भी "उप पासवर्ड" को क्रैक करने से हमलावर को कोई अतिरिक्त जानकारी नहीं मिलती है।

यह उपयोगी है क्योंकि आपको पता नहीं है कि आप जिन साइटों पर हैं, वे आपके पासवर्ड को एन्क्रिप्ट कर रहे हैं, या इसे नमस्कार कर रहे हैं। मैं 11 मिलियन उपयोगकर्ताओं के साथ एक वेबसाइट का नाम दे सकता हूं जो अपने डेटाबेस में अनएन्क्रिप्टेड पासवर्ड संग्रहीत करता है।

अंत में, LastPass अविश्वसनीय पासवर्डों में आपके पासवर्ड तक पहुँचने के लिए वन टाइम पासवर्ड जैसी सुविधाएँ प्रदान करता है, जो आपके खाते को सबसे उन्नत keyloggers से भी सुरक्षित रखता है।


यह एक अच्छा बिंदु है .. ज्यादातर लोग अपने पासवर्ड का पुन: उपयोग करते हैं .. या दो या तीन हैं जो सभी ठिकानों को कवर करते हैं
jsj

4

बस उनकी साइट पर एक त्वरित नज़र थी - मुझे लगता है कि आपके बिंदु सही हैं ... यदि कोई आपके पासवर्ड को क्रैक करता है, तो उनके पास आपके सभी पासवर्ड हैं - यह बस कुछ प्रोग्राम से कुछ सुविधाओं को एक प्रोग्राम में बंडल करता है।

वहाँ से देखने पर, ऐसा कुछ भी नहीं है जो मुझे लगता है कि यह अलग-अलग साइटों के लिए अलग-अलग पासवर्ड होने से "अधिक सुरक्षित" है - जैसा कि आप वैसे भी होंगे ... अंतिम पास बस इसे प्रबंधित करने के लिए आसान बनाता है।


लास्टपास सेवा उस तरह से काम नहीं करती जैसा कि बॉब की टिप्पणी में बताया गया है। आजकल लोगों को जो चीज याद आ रही है वह यह है कि आपके संवेदनशील डेटा और पासवर्ड को स्टोर करने का सबसे असुरक्षित तरीका पीसी की तरफ है। बहुत से लोग फ़ायरफ़ॉक्स, क्रोम आदि के असुरक्षित पासवर्ड सुविधाओं का उपयोग करते हैं, जबकि यह सुरक्षा की गलत भावना है। एक अच्छा हैकर, स्मार्ट चोर या ट्रोजन को आपके सभी पासवर्ड प्राप्त करने, आपके मेल और अन्य डेटा तक पहुंचने के लिए केवल एक मिनट की आवश्यकता होती है। Lastpass के पास कोई जानकारी नहीं है, तो उनकी तरफ से बकवास एन्क्रिप्ट किया गया है। एक सुरक्षा एजेंसी कैसे समझौता कर सकती है? कुंजी पीसी की तरफ है।
रिक स्टीवन

यदि आप लास्टपास विंडो इंस्टॉलर चलाते हैं, तो हम आपके सभी पासवर्ड IE, FF और Chrome (btw ... यदि हम कर सकते हैं, किसी भी प्रोग्राम कर सकते हैं) से खींचते हैं और फिर आपको उन्हें डिलीट करने की सुविधा प्रदान करते हैं। हम निश्चित रूप से महसूस करते हैं कि हम ब्राउज़र में आपके पासवर्ड को याद रखने की इस स्थिति से बहुत अधिक सुरक्षित हैं और साथ ही हम बहुत अधिक सुविधाजनक हैं।
लास्टपास के बॉब ने

3

यह जानना (के स्टीव गिब्सन उपयोगी हो सकता है ! सुरक्षा अब LastPass करने के लिए भेजा प्रसिद्धि) एक पॉडकास्ट में :

... मुझे जो कहना है, मुझे लगता है, सबसे अच्छा समाधान संभव है।

अब सुरक्षा के 600 से अधिक एपिसोड में, गिब्सन अक्सर श्रोताओं को याद दिलाता है कि सबसे अच्छे पासवर्ड जिबरिश और लंबे हैं। इस विशेष पॉडकास्ट में वह कहते हैं

... आपका पासवर्ड जितना लंबा होगा, वह उतना ही मजबूत होगा


0

कोई भी ऑनलाइन पासवर्ड स्टोरेज टूल आपको सुरक्षा का आश्वासन नहीं दे सकता है। वे दावा करते हैं कि होस्ट प्रूफ पासवर्ड स्टोरेज मैकेनिज़्म होस्ट से पासवर्ड छिपाता है, और केवल क्लाइंट पक्ष ही कुंजी और डिक्रिप्टेड फ़ॉर्म को जानता है।

लेकिन निम्नलिखित ब्लॉग पोस्ट उस दावे में एक दोष दिखाता है:

एक कारण है कि हम ऑनलाइन पासवर्ड भंडारण पर भरोसा नहीं कर सकते


0

Chrome प्लगइन के साथ लास्टपास का उपयोग करके मैं लॉगिन पेज पर नेविगेट करके, पासवर्ड भरकर और कंसोल (प्रेस F12) में निम्नलिखित दर्ज करके पासवर्ड खींचने में सक्षम था ।

document.querySelectorAll("[type=password]")[0].value

यह दो-कारक प्रमाणीकरण के साथ है और "पासवर्ड दिखाने / कॉपी करने के लिए मास्टर-पासवर्ड की आवश्यकता है" के साथ-सक्षम होना चाहिए। मैं यह अनुमान लगा रहा हूं कि इसे स्वचालित करना कठिन नहीं होगा, जिसका अर्थ है कि पासवर्ड को लास्टपास से दूसरे पासवर्ड स्टोरेज की तरह आसानी से खींचा जा सकता है, यह विरोधाभासी है कि "लास्टपास से बॉब" क्या दावा करता है।

मुझे लगता है कि LastPass को स्टीव गिब्सन जैसे सुरक्षा विशेषज्ञों द्वारा मैन्युअल पासवर्ड प्रबंधन से बेहतर माना जाता है, क्योंकि कमजोर / पुन: उपयोग किए जाने वाले पासवर्ड से या सामान्य केलॉगर से समझौता करने का जोखिम मैलवेयर से होने वाले जोखिम से बड़ा है जो विशेष रूप से लास्टपास पर हमला कर रहा है। फिर भी मैं इसे केवल उन साइटों के लिए उपयोग करूंगा जिन्हें मैं खोना चाहता हूं, और कभी भी बैंकिंग / प्राथमिक ईमेल / ड्रॉपबॉक्स , आदि के लिए नहीं।

एक पासवर्ड मैनेजर को सर्वर से डाउनलोड किए जाने वाले प्रत्येक पासवर्ड के लिए दो-कारक प्रमाणीकरण की आवश्यकता होती है (LastPass को केवल पहले लॉगिन पर इसकी आवश्यकता होती है) केवल संक्रमित कंप्यूटर पर उपयोग किए जाने वाले पासवर्ड को नुकसान को सीमित करेगा, लेकिन मुझे पासवर्ड प्रबंधक नहीं मिला है उस विकल्प के साथ अभी तक।


आप यह दिखाने की कोशिश कर रहे हैं कि लास्टपास सुरक्षित क्यों नहीं है, यह दिखा कर कि जावास्क्रिप्ट कोड एक वेब पेज में चल रहा है, उस पेज पर मौजूद पासवर्डों को देख सकते हैं। यह सच है, लेकिन लास्टपास के बिना भी यह सच है। और यह पृष्ठ को अन्य साइटों के लिए लास्टपास से पासवर्ड प्राप्त करने की अनुमति नहीं देता है, इसलिए आप इसके बिना इससे भी बदतर नहीं हैं।
केविन पेंको

आप सही हैं, और मैं शायद पर्याप्त स्पष्ट नहीं था। मैं यह दावा करने की कोशिश नहीं कर रहा था कि आपके द्वारा देखी गई कोई भी वेबपेज आपके पासवर्ड को जावास्क्रिप्ट से चुरा सकता है। मैं यह दावा करने की कोशिश कर रहा था कि आपके कंप्यूटर तक पहुंच रखने वाला कोई व्यक्ति (यानी किसी सार्वजनिक कंप्यूटर पर दुष्ट मित्र या मैलवेयर) आपके सहेजे गए पासवर्ड को लास्टपास से खींच सकता है, यहां तक ​​कि पासवर्ड देखने पर 2-कारक और पासवर्ड सुरक्षा के साथ। जावास्क्रिप्ट उदाहरण प्रदर्शन का सिर्फ एक आसान तरीका था।
dschlyter

@dschlyter मुझे यकीन नहीं है कि आप यहाँ क्या कह रहे हैं। लास्टपास आपको विकल्प देता है कि आप किसी पासवर्ड को स्वचालित रूप से भर सकते हैं, या आपको इसे भरने से पहले खुद को फिर से प्रमाणित करने की आवश्यकता है। ऑटोफिल विकल्प हमेशा ऑप्ट-इन होता है, और मैं इसे उन साइटों के लिए कभी नहीं चुनता हूं जो वित्तीय, ईमेल या क्लाउड प्रदान करती हैं। भंडारण सेवाएं। इसका मतलब यह है कि कोई व्यक्ति जो आपके द्वारा दिखाए गए जेएस ट्रिक का उपयोग करने की कोशिश करता है, वह केवल स्टैक एक्सचेंज आदि के लिए मेरे पासवर्ड प्राप्त करेगा, और मुझे यकीन नहीं है कि आपकी चाल उतनी ही आसान है, जितना आप सोचते हैं।
samwyse
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.