¿Qué hace que LastPass sea tan seguro?

32

No puedo entender simplemente cómo usar LastPass es seguro. Todo lo que un atacante debe hacer es comprometer la única cuenta de LastPass y luego también ha comprometido todos los demás sitios web.

¿Qué tiene de bueno eso en comparación con el enfoque tradicional de tener cuentas separadas por sitio?

¿Es realmente mejor tener una contraseña maestra segura, contraseñas seguras específicas del sitio a las que se pueda acceder a través de la contraseña maestra que tener contraseñas más débiles, pero diferentes en todos los sitios web?

firefox security web lastpass rFactor
fuente
Exactamente, ¿cómo va a recordar contraseñas seguras para varias docenas de sitios? Estoy contando más de 160 credenciales almacenadas en mi bóveda en este momento. Eso ni siquiera cuenta los códigos PIN almacenados de forma segura para tarjetas y claves de licencia de software que también guardo allí. Además de unas pocas excepciones, cada contraseña allí se genera aleatoriamente, utilizando cualquier carácter disponible para el sitio en particular, y de longitud máxima o más de 20 caracteres. LastPass puede detectar duplicados para mí y puede dar un informe de dónde estoy comprometiendo la seguridad.
G_H

Respuestas:

47

Además de permitirle crear contraseñas únicas y complejas para cada sitio, también ofrecemos autenticación gratuita de segundo factor: Grid . Por lo tanto, su nombre de usuario y contraseña no son suficientes para acceder a sus datos cuando se utiliza Grid.

Además, sus contraseñas no se almacenan en los administradores de contraseñas de Firefox o IE, que generalmente son inseguras (simplemente ejecute nuestro instalador y observe cómo podemos extraer todas las contraseñas).

En cuanto al almacenamiento en la nube, todo se cifra localmente antes de que se envíe al servidor y su clave nunca se nos envía. Puede leer más sobre cómo lo mantenemos seguro en la página de tecnología de nuestro sitio web.

Bob de LastPass
fuente
9
Realmente aprecio la integridad sincera de su servicio, pero la vieja paranoia muere mucho. y el hecho de que su empresa tenga su sede en los EE. UU. de A (no muy lejos de Washington) tampoco ayuda mucho. Si aparecen agentes de Seguridad Nacional u otras agencias menos existentes, mostrando credenciales y recordándole su deber patriótico, creo que sus mejores intenciones no valen mucho. Espero que no te importe que prefiera una solución local.
21
En realidad, Molly, parece que todo está cifrado y descifrado del lado del cliente, como en, no pueden acceder a nada por sí mismos. Si eso es cierto, no veo por qué esto es menos seguro que tener algo localmente.
Phoshi
10
Sí, todo está encriptado localmente. Francamente, no queremos la responsabilidad de poder acceder a sus datos confidenciales, es un riesgo innecesario que no queremos asumir. FWIW, fuimos clasificados entre los 100 mejores productos de pcmag de 2009, clasificados como los mejores productos de seguridad de pcworld de 2009 y actualmente aparecen en el sitio de extensión de Google Chrome como sus mejores opciones.
Bob de LastPass el
2
es justo (aunque Google puede no ser mi preferencia para calificar los productos relacionados con la privacidad dada su trayectoria), pero el hecho es que mis contraseñas ya no son accesibles exclusivamente cuando están almacenadas en línea, independientemente de la sofisticación de las medidas de protección.
3
Es bueno saber de una primera persona. +1 para su tecnología "Grid", esa es una idea realmente inteligente. :)
Sasha Chedygov
19

No considero que LastPass sea particularmente seguro (como todo lo que está almacenado 'en la nube'), prefiero una solución local (por ejemplo, KeePass ). La conveniencia de tener acceso en línea a la información de inicio de sesión tiene un precio inaceptable (al menos para un viejo paranoico).

Peter Mortensen
fuente
2
KeePass tiene versiones de Unix (KeePassX) y Windows, y funciona desde una unidad USB (perfecta para contraseñas de sitios como SuperUser).
@Molly: muy bien dicho.
Torre el
66
@Molly Parece que la información de LastPass está encriptada localmente, no "en la nube".
phoebus el
2
Lo estoy usando, pero el truco es mantener el archivo de almacenamiento de claves actualizado y respaldado. Esta es la compensación con los encargados de la contraseña en línea.
Maarten Bodewes
2
Solía ​​usar KeePass. Pensar que es más seguro que LastPass Y cosechar los mismos beneficios es una ilusión. ¿Cómo va a hacer una copia de seguridad de su base de datos KeePass y mantener todas las copias actualizadas? De forma manual, con el riesgo de que un operador (como HDD, memoria USB, teléfono inteligente) sea robado o se rompa, o lo guarde en algo como Dropbox. Y adivina qué, entonces vuelves a guardar cosas en la nube. Menos las ventajas de las características de LastPass.
G_H
16

Lo que lo hace seguro es simplemente que no pueden decirle a nadie cuáles son sus contraseñas, incluso con un arma en la cabeza. Incluso cuando usa la interfaz web, sus contraseñas se cifran localmente antes de ser transmitidas.

Sí, es cierto que proporciona un "punto único de falla" a menos que se use Grid. Sin embargo, podría tener una contraseña maestra ridículamente segura: ¿a quién le importa si tiene que escribir una contraseña de 100 caracteres si solo la hace una vez al día? Y debido a que guarda sus "contraseñas secundarias", puede tenerlas mucho más seguras de lo normal.

Otra ventaja es que la mayoría de las personas no tendrán contraseñas diferentes para cada sitio web (o tendrán un patrón), y LastPass le permite deshacerse de esto. Entonces, mientras que antes de que cada sitio en el que estuvieras fuera un punto de entrada potencial para todos los demás sitios en los que estabas, ahora solo lo es tu cuenta de LastPass. Descifrar cualquier "subcontraseña" no proporciona información adicional a un atacante.

Esto es útil porque no tiene idea de si los sitios en los que se encuentra están encriptando su contraseña o si la salan. Podría nombrar un sitio web con 11 millones de usuarios que almacena contraseñas sin cifrar en su base de datos.

Finalmente, LastPass ofrece características como contraseñas de un solo uso para acceder a sus contraseñas en ubicaciones no confiables, lo que mantiene su cuenta segura incluso de los keyloggers más avanzados.

ZoFreX
fuente
Ese es un buen punto ... la mayoría de las personas reutilizan su contraseña ... o tienen dos o tres que cubren todas las bases
jsj
4

Acabo de echar un vistazo rápido a su sitio, creo que sus puntos son correctos ... Si alguien descifra su contraseña allí, tiene todas sus contraseñas, simplemente agrupa algunas características de algunos programas en un solo programa.

Al mirar allí, no hay nada que me haga pensar que es "más seguro" que tener contraseñas separadas para diferentes sitios, como lo serás de todos modos ... El último pase simplemente hace que sea más fácil de administrar.

William Hilsum
fuente
El servicio Lastpass no funciona así como se explica en el comentario de Bob. Lo que la gente parece faltar hoy en día es que la forma más insegura de almacenar sus datos confidenciales y contraseñas es en el lado de la PC. Muchas personas usan las características de contraseña inseguras de Firefox, Chrome, etc., mientras que eso es un sentimiento incorrecto de seguridad. Un buen hacker, ladrón inteligente o troyano solo necesita un minuto para obtener todas sus contraseñas, acceder a su correo y otros datos. Lastpass no tiene ninguna información, entonces la basura cifrada de su lado. ¿Cómo puede una agencia de seguridad comprometer eso? La clave está en el lado de la PC.
Rick Steven
Si ejecuta el instalador de Windows LastPass, extraemos todas sus contraseñas de IE, FF y Chrome (por cierto ... si podemos hacerlo, cualquier programa puede) y luego le ofrecemos la posibilidad de eliminarlas. Definitivamente creemos que somos mucho más seguros que esta forma de recordar sus contraseñas en el navegador y también somos mucho más convenientes.
Bob de LastPass el
3

Puede ser útil saber que Steve Gibson (de Security Now! Fame) se refirió a LastPass en un podcast :

... lo que tengo que decir es, creo, la mejor solución posible.

En sus más de 600 episodios de seguridad ahora, Gibson a menudo les recuerda a los oyentes que las mejores contraseñas son galimatías y largas. En este podcast en particular, dice

... cuanto más larga sea tu contraseña, más fuerte será

kizzx2
fuente
0

Usando LastPass con el complemento de Chrome, pude extraer una contraseña al navegar a una página de inicio de sesión, completar la contraseña e ingresar lo siguiente en la consola (presionar F12).

document.querySelectorAll("[type=password]")[0].value

Esto es con autenticación de dos factores y con la opción "requerir contraseña maestra para mostrar / copiar contraseña" habilitada. Supongo que no sería difícil automatizar esto, lo que significa que las contraseñas se pueden extraer fácilmente de LastPass al igual que otro almacenamiento de contraseñas, lo que contradice lo que parece afirmar "Bob de LastPass".

Supongo que LastPass es considerado mejor que la gestión manual de contraseñas por expertos en seguridad como Steve Gibson simplemente porque el riesgo de comprometer una contraseña débil / reutilizada o por un keylogger genérico es mayor que el riesgo del malware que ataca específicamente a LastPass. Aún así, solo lo usaría para sitios que puedo permitirme perder, y nunca para banca / correo electrónico principal / Dropbox , etc.

Un administrador de contraseñas que requiera autenticación de dos factores para cada contraseña que se descargue del servidor (LastPass solo lo requiere en el primer inicio de sesión) limitaría el daño solo a las contraseñas que se usaron en la computadora infectada, pero no he encontrado un administrador de contraseñas con esa opción todavía.

dschlyter
fuente
Parece que intenta mostrar por qué LastPass no es seguro al mostrar que el código Javascript que se ejecuta en una página web puede ver las contraseñas ingresadas en los formularios de esa página. Esto es cierto, pero sigue siendo cierto incluso sin LastPass ejecutándose. Y no permite que la página obtenga contraseñas de LastPass para otros sitios, por lo que no está peor que sin ella.
Kevin Panko
Tienes razón, y probablemente no fui lo suficientemente claro. No estaba tratando de afirmar que cualquier página web que visita puede robar sus contraseñas con javascript. Estaba tratando de afirmar que alguien con acceso a su computadora (es decir, un malvado amigo o malware en una computadora pública) puede extraer sus contraseñas guardadas de LastPass, incluso con protección de contraseña y factor 2 al ver las contraseñas. El ejemplo de JavaScript fue solo una forma fácil de demostrarlo.
dschlyter
@dschlyter No estoy seguro de lo que estás diciendo aquí. LastPass le ofrece la opción de completar automáticamente una contraseña o solicitarle que se vuelva a autenticar antes de completarla. La opción de autocompletar siempre es opcional, y nunca la selecciono para sitios que ofrecen servicios financieros, de correo electrónico o en la nube servicios de almacenaje. Esto significa que alguien que trató de usar el truco de JS que muestra, a lo sumo, solo obtendría mis contraseñas para Stack Exchange, etc. Y no estoy seguro de que su truco sea tan fácil de llevar a cabo como parece.
samwyse