LastPass를 그렇게 안전하게 만드는 이유는 무엇입니까? 접근 방식과 비교했을

LastPass를 사용하는 것이 안전하다는 것을 단순히 이해할 수 없습니다. 공격자가해야 할 일은 단일 LastPass 계정을 손상시키고 다른 모든 웹 사이트도 손상시키는 것입니다.

사이트 당 별도의 계정을 사용하는 기존의 접근 방식과 비교했을 때 어떤 점이 좋은가요?

비밀번호가 약한 것보다 마스터 비밀번호를 통해 액세스 할 수있는 강력한 마스터 비밀번호, 사이트 별 비밀번호가 하나만있는 것이 더 좋지만 모든 웹 사이트마다 다릅니다.



답변

각 사이트마다 고유하고 복잡한 암호를 만들 수있을뿐만 아니라 무료 2 단계 인증 : Grid 도 제공합니다 . 따라서 그리드를 사용할 때 사용자 이름과 비밀번호로 데이터에 액세스 할 수 없습니다.

또한 비밀번호는 일반적으로 안전하지 않은 Firefox 또는 IE의 비밀번호 관리자에 저장되지 않습니다 (설치 프로그램을 실행하고 모든 비밀번호를 가져 오는 방법을 살펴보십시오).

클라우드에 저장하는 경우 모든 것이 서버로 전송되기 전에 모든 것이 로컬로 암호화되며 키는 우리에게 전송되지 않습니다. 당사 웹 사이트의 기술 페이지에서 보안 유지 방법에 대해 자세히 알아볼 수 있습니다.


답변

LastPass는 특히 안전한 것으로 생각하지 않습니다 ( ‘클라우드에 저장된 것과 같은 것’), 로컬 솔루션 (예 : KeePass ) 을 선호합니다 . 로그인 정보에 온라인으로 액세스 할 수있는 편리함은 용납 할 수없는 가격으로 제공됩니다 (적어도 편집증 환자의 경우).


답변

보안을 유지하는 것은 단순히 머리에 총을 들고도 비밀번호를 알려줄 수 없다는 것입니다. 웹 인터페이스를 사용하는 경우에도 비밀번호는 전송 전에 로컬로 암호화됩니다.

예, Grid를 사용하지 않으면 “단일 실패 지점”이 제공됩니다. 그러나 엄청나게 강력한 마스터 비밀번호를 가질 수 있습니다. 하루에 한 번만 비밀번호를 입력하면 100 자 비밀번호를 입력해야합니까? 그리고 “서브 암호”를 저장하기 때문에 평소보다 훨씬 더 강력하게 만들 수 있습니다.

또 다른 장점은 대부분의 사람들이 모든 웹 사이트마다 다른 암호를 가지고 있지 않거나 패턴을 가질 것이므로 LastPass를 사용하면이를 버릴 수 있습니다. 따라서 귀하가 방문한 모든 단일 사이트가 귀하가 방문한 다른 모든 사이트에 대한 잠재적 진입 점이 되기 전에는 이제 LastPass 계정 만 있습니다. “서브 암호”를 크래킹하면 공격자에게 추가 정보가 생성되지 않습니다.

이 기능은 현재 사용중인 사이트가 비밀번호를 암호화하는지 또는 소금에 절인 것인지 전혀 모르기 때문에 유용 합니다. 데이터베이스에 암호화되지 않은 암호를 저장하는 1,100 만 명의 사용자가있는 웹 사이트 이름을 지정할 수 있습니다.

마지막으로, LastPass는 신뢰할 수없는 위치에서 암호에 액세스하기위한 일회용 암호와 같은 기능을 제공하여 가장 고급 키로거로부터도 계정을 안전하게 보호합니다.


답변

사이트를 간단히 살펴 보았습니다. 요점이 맞다고 생각합니다. 누군가 암호를 해독하면 모든 암호가 있습니다. 몇 개의 프로그램에서 몇 개의 기능을 하나의 프로그램으로 묶습니다.

거기에서 보았을 때, 다른 사이트에 대해 별도의 암호를 사용하는 것보다 “보다 안전”하다고 생각하게하는 것은 없습니다.


답변

Podcast에서 LastPass 언급 한 Steve Gibson ( Security Now!의 명성) 을 아는 것이 도움이 될 수 있습니다 .

… 내가 말해야 할 것은 최선의 해결책이라고 생각합니다.

현재 600 개가 넘는 보안 에피소드에서 Gibson은 청취자에게 종종 최고의 암호가 횡설수설 적이라고 생각합니다. 이 특정 팟 캐스트에서 그는 말합니다

… 비밀번호가 길수록 더 강력합니다.


답변

온라인 암호 저장 도구는 보안을 보장 할 수 없습니다. 그들은 호스트 증명 암호 저장 메커니즘이 호스트에서 암호를 숨기고 클라이언트 측에서만 키와 암호 해독 된 형식을 알고 있다고 주장합니다.

그러나 다음 블로그 게시물은 해당 주장에 결함이 있음을 보여줍니다.

온라인 비밀번호 저장을 신뢰할 수없는 한 가지 이유


답변

Chrome 플러그인과 함께 LastPass를 사용하여 로그인 페이지로 이동하여 비밀번호를 입력하고 콘솔에 다음을 입력하여 비밀번호를 가져올 수있었습니다 ( F12).

document.querySelectorAll("[type=password]")[0].value

이는 이중 인증 이며 “비밀번호를 표시 / 복사하려면 마스터 암호 필요”옵션이 활성화 된 것입니다. 나는 이것을 자동화하는 것이 어렵지 않다고 생각한다. 즉, 다른 암호 저장과 마찬가지로 LastPass에서 암호를 쉽게 가져 와서 “Bob from LastPass”가 주장하는 것과 모순되는 것을 의미한다.

스티브 깁슨 (Steve Gibson) 과 같은 보안 전문가들은 LastPass가 수동 비밀번호 관리보다 우수하다고 생각합니다. 왜냐하면 암호가 약하거나 재사용 된 비밀번호 또는 일반 키로거로 인한 손상의 위험이 LastPass를 특별히 공격하는 맬웨어의 위험보다 더 크기 때문입니다. 여전히 나는 잃을 여유가있는 사이트에만 사용하고 은행 / 기본 이메일 / Dropbox 등에 사용 하지는 않습니다 .

서버에서 다운로드 한 모든 비밀번호에 대해 2 단계 인증이 필요한 비밀번호 관리자 (LastPass는 처음 로그인 할 때만 필요함)는 감염된 컴퓨터에서 사용 된 비밀번호로만 손상을 제한하지만 비밀번호 관리자를 찾지 못했습니다. 그 옵션으로 아직.