लास्टपास अपने पासवर्ड को अपनी वेबसाइट पर कैसे स्टोर करता है?

15

लास्टपास ने विज्ञापित किया कि वे अपनी वेबसाइट पर स्थानांतरित और संग्रहीत होने से पहले पासवर्ड का स्थानीय एन्क्रिप्शन करते हैं। हालाँकि, जब मैं अपने पिछले पासवर्ड के साथ लॉग इन करता हूं, तो मैं अपने सभी पासवर्ड को स्पष्ट पाठ में एक्सेस कर सकता हूं। क्या इसका मतलब यह नहीं है कि उनके पास मेरे सभी पासवर्ड भी हैं? मैं कैसे सत्यापित कर सकता हूं कि उनके पास मेरे पासवर्ड तक पहुंच नहीं है?

encryption  passwords  lastpass 
dzhelil
स्रोत
9
Sathyajith भट्ट
1
स्टीव गिब्सन का कहना है कि यह अप-एंड-अप पर है। मेरे लिए यह काफी अच्छा है। blog.lastpass.com/2010/07/…
ale

जवाबों:

18

सभी एन्क्रिप्शन / डिक्रिप्शन आपके कंप्यूटर पर होते हैं, हमारे सर्वर पर नहीं। इसका अर्थ है कि आपका संवेदनशील डेटा इंटरनेट पर नहीं जाता है और यह कभी भी हमारे सर्वर को नहीं छूता है, केवल एन्क्रिप्टेड डेटा करता है।

[...]

आपकी एन्क्रिप्शन कुंजी आपके ईमेल पते और मास्टर पासवर्ड से बनाई गई है। आपका मास्टर पासवर्ड कभी भी LastPass को नहीं भेजा जाता है, प्रमाणीकरण करते समय आपके पासवर्ड का केवल एक-तरफ़ा हैश, जिसका अर्थ है कि आपकी कुंजी बनाने वाले घटक स्थानीय बने रहें। यही कारण है कि अपने लास्टपास मास्टर पासवर्ड को याद रखना बहुत महत्वपूर्ण है; हम इसे नहीं जानते हैं और इसके बिना आपका एन्क्रिप्टेड डेटा अर्थहीन है। लास्टपास उन्नत सुरक्षा विकल्प भी प्रदान करता है जो आपको सुरक्षा की अधिक परतें जोड़ने देता है।

स्रोत: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite/1

दूसरे शब्दों में, आपका कंप्यूटर आपके ईमेल और मास्टर पासवर्ड से आपके पासवर्ड को एन्क्रिप्ट करता है और उस डेटा को लास्टपास भेजता है। जब आप Lastpass.com पर अपने मास्टर पासवर्ड के साथ प्रमाणित करते हैं, तो Lastpass.com आपके सभी एन्क्रिप्टेड पासवर्ड लौटा देता है, जो आपके कंप्यूटर पर आपके ईमेल और मास्टर पासवर्ड के साथ स्थानीय रूप से डिक्रिप्ट किए जाते हैं। हर संचार एसएसएल पर होता है, इसलिए कुछ भी इंटरसेप्ट डबल बेकार है (चूंकि सब कुछ सिर्फ एसएसएल कीज से नहीं, बल्कि आपके ईमेल और मास्टर पासवर्ड से एन्क्रिप्ट किया गया है)।

यह सुनिश्चित करने का सबसे अच्छा तरीका नेटवर्क गतिविधि की निगरानी के लिए एक स्क्रिप्ट सेट करना है और देखना है कि क्या कुछ भी डिक्रिप्टेड है (मास्टर पासवर्ड सहित) lastpass.com पर जाता है। मैंने मंचों पर जो देखा है, उसके आधार पर ऐसा लगता है कि अन्य उपयोगकर्ताओं ने ऐसा किया है और कुछ भी संदिग्ध नहीं पाया है।

waiwai933
स्रोत
मैं सफारी (w / o लास्टपास फ़ायरफ़ॉक्स प्लगइन) में lastpass.com पर कैसे लॉगिन कर सकता हूं और फिर मेरे सभी पासवर्ड देख सकता हूं?
चोवी
1
@chovy आप उन्हें अपने ब्राउज़र में देखते हैं - यह अलग है फिर उन्हें सर्वर पर देखना। हां, कच्चा डेटा सर्वर से आता है, लेकिन आपके द्वारा दिखाए जाने से पहले इसे आपके कंप्यूटर पर डेटा स्थानीय का उपयोग करके डिक्रिप्ट किया जाता है।
टॉम
1
यद्यपि मशीन पर स्थानीय रूप से संग्रहीत पासवर्ड कैसे हैं? प्लेनटेक्स्ट में?
मियोकी
2

मैंने अभी सत्यापित किया है कि waiwai ने क्या कहा , और केवल एक हैश अंतिम सर्वर पर प्रेषित किया गया था, और केवल एन्क्रिप्टेड पासवर्ड वापस किए गए थे। यह एक मुख्य व्युत्पन्न और स्थानीय भंडारण में संग्रहीत की तरह दिखता है।

आपके मास्टर पासवर्ड को चुराने के लिए, किसी व्यक्ति के लिए (या कम से कम) सर्वर की एक भेद्यता या समझौता आवश्यक होना चाहिए, जिस तरह से अनुप्रयोग व्यवहार करता है। मेरी राय है कि लास्टपास सामान्य वेब उपयोग के लिए सुरक्षित है, लेकिन इसका उपयोग उच्च-मूल्य के लक्ष्यों के लिए नहीं किया जाना चाहिए जो कुशल हमलावर हो सकते हैं।

एलेक्स लॉरमैन
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.