it-swarm.dev

Come posso essere sicuro che Lastpass non riesca davvero ad accedere alle mie password?

Il recente incidente ampiamente pubblicizzato sulla sicurezza in cui sono stati esposti milioni di Linkedin mi ha ricordato di rafforzare le mie pratiche relative alle password. Sto esaminando diversi gestori di password ora e sono particolarmente curioso di Lastpass .

scrivono sulla loro homepage :

LastPass è una soluzione hosted a prova di host evoluta, che evita la debolezza dichiarata della vulnerabilità a XSS finché si utilizza il componente aggiuntivo. LastPass crede fermamente nell'utilizzo della crittografia locale e ha creato localmente hash salati in un modo per offrirti il ​​meglio dei due mondi per le tue informazioni sensibili: sicurezza completa, fornendo comunque accessibilità online e capacità di sincronizzazione. Abbiamo ottenuto questo risultato utilizzando AES a 256 bit implementato in C++ e JavaScript (per il sito Web) e crittografando e decrittografando esclusivamente sul PC locale. Nessuno su LastPass potrà mai accedere ai tuoi dati sensibili. Abbiamo fatto tutto il possibile per garantire la tua sicurezza e privacy.

Come posso essere sicuro che la parte in grassetto sia vera? Il metodo che descrivono è effettivamente in grado di fare ciò che promette, può impedire loro di accedere alle mie password? E come posso verificare che stiano effettivamente facendo ciò che promettono e non stanno trasmettendo la mia password in qualsiasi forma a cui possono accedere ai loro server?

52
anonymous

C'è un modo per vedere se LastPass sta facendo quello che sta dicendo.

Utilizza l'estensione non binaria di Chrome, Firefox, Opera o Safari. Questo è JavaScript al 100% e si apre nel senso che puoi vederlo: puoi utilizzare lo sniffing di rete con un proxy (ad esempio Paros) per vedere che i dati sensibili sono crittografati con AES-256-CBC dai dati generati da una chiave creata con il numero di round di PBKDF2-SHA256 hai impostato sul tuo account: http://helpdesk.lastpass.com/security-options/password-iterations-pbkdf2/ e questo viene fatto localmente sul tuo solo macchina.

Quindi semplicemente non aggiornare/aggiornare l'estensione fino a quando non si desidera verificarla di nuovo. Puoi anche controllare il modo in cui interagiamo con l'estensione binaria per decidere se ti fidi di questo.

È un po 'estremo per la maggior parte delle persone, ma un certo numero di persone e organizzazioni hanno verificato LastPass e hanno apprezzato ciò che hanno trovato. LastPass è sempre utile per chiunque desideri effettuare l'audit, non esitare a contattarci se desideri assistenza.

LastPass sa che è assolutamente ragionevole fidarsi ma verificare e incoraggiarti a farlo. C'è un motivo per cui diciamo alle persone di utilizzare le estensioni anziché il sito Web: le estensioni non possono cambiare con la stessa facilità con cui il sito Web potrebbe renderle più sicure.

Fonte: lavoro per LastPass.

56
Joe Siegrist

Alcune di queste risposte sono piuttosto datate, ma l'argomento è abbastanza importante che penso che meriti di essere rivisitato.

L'asserzione di LastPass è che offrono un'implementazione a prova di conoscenza zero, ovvero la crittografia avviene sul lato client (con la password come chiave) e che, presumibilmente, non possono decrittografare i dati anche se lo volessero. Se sono serviti con un mandato o un ordine del tribunale, saranno obbligati per legge a consegnare i dati, ma sarebbero comunque in forma crittografata, e quindi spetta ai supercomputer dei rispettivi investigatori (o modesto array GPU) a rompilo. A questo proposito, fondamentalmente non è diverso dalla memorizzazione di un DB KeePass in DropBox (che ho visto più volte che mi interessa menzionare)

Detto ciò....

LP ha recentemente rilasciato la fonte per il proprio client CLI: https://github.com/LastPass/lastpass-cli

Ora tocca a noi fare la revisione del codice con peer, in modo da convalidare i loro reclami abbinati a ciò che viene consegnato.

Soprattutto interrogando l'origine per vedere come viene generato, codificato e crittografato il DB, se soddisfa i migliori standard e pratiche (o meglio), elimina i bug (o "backdoor involontari") e se il prodotto della generazione corrisponde a quello generato dalle implementazioni chiuse della scatola nera - processo di pensiero simile coinvolto nella compilazione del codice dall'origine e nel confronto del checksum con quello generato dal binario.

Una revisione del codice indipendente e un test di penna da un'organizzazione rispettabile è ciò che è necessario IMHO, e quindi lo mette ben oltre il mio set di abilità.

Questo non è un tentativo di rubare o altrimenti decodificare la loro salsa segreta UX, dove (giustamente) aggiungono valore e ricavano entrate - Sono felice di buttare soldi e clienti per questo, poiché semplificano la buona sicurezza rende la mia vita più sicura e più semplice, ma piuttosto un modo per la comunità della sicurezza di alzare il tiro e garantire che coloro che rispettano il principio di Kerckhoff siano premiati per il loro impegno.

10
kieppie

L'unico modo per verificarlo è guardare il codice che ti stanno inviando ogni volta che accedi alle tue password. In altre parole, non puoi. Tuttavia, se mai hanno inviato codice dannoso a qualcuno, c'è il rischio che una persona se ne accorga e tutto ciò che serve è una persona che presenta quel codice dannoso e tutti ne sarebbero a conoscenza.

3
David Schwartz

Anche se ti fidi di un'azienda, non puoi fidarti completamente del prodotto/servizio che forniscono. Una sua vulnerabilità può essere scoperta/sfruttata o la società stessa potrebbe essere compromessa. Ogni volta che rendi le tue password potenzialmente accessibili a una parte, considerale conosciuta da quella parte. Nel caso del normale processo di registrazione/accesso di un sito Web, hai a che fare con persone che in realtà non valutano la tua password perché non ne hanno bisogno. Non appena viene coinvolta una terza parte, questa garanzia è fuori dalla finestra.

Se è necessario, utilizzare una password locale sicura come KeePass2 e archiviare su supporti rimovibili che si controllano.

Inoltre, se un'azienda usa una frase come "sicurezza completa", sappi che stanno già cercando di ingannarti.

3
chao-mu