No puedo entender simplemente cómo usar LastPass es seguro. Todo lo que un atacante debe hacer es comprometer la única cuenta de LastPass y luego también ha comprometido todos los demás sitios web.
¿Qué tiene de bueno eso en comparación con el enfoque tradicional de tener cuentas separadas por sitio?
¿Es realmente mejor tener una contraseña maestra segura, contraseñas seguras específicas del sitio a las que se pueda acceder a través de la contraseña maestra que tener contraseñas más débiles, pero diferentes en todos los sitios web?
Respuestas:
Además de permitirle crear contraseñas únicas y complejas para cada sitio, también ofrecemos autenticación gratuita de segundo factor: Grid . Por lo tanto, su nombre de usuario y contraseña no son suficientes para acceder a sus datos cuando se utiliza Grid.
Además, sus contraseñas no se almacenan en los administradores de contraseñas de Firefox o IE, que generalmente son inseguras (simplemente ejecute nuestro instalador y observe cómo podemos extraer todas las contraseñas).
En cuanto al almacenamiento en la nube, todo se cifra localmente antes de que se envíe al servidor y su clave nunca se nos envía. Puede leer más sobre cómo lo mantenemos seguro en la página de tecnología de nuestro sitio web.
fuente
No considero que LastPass sea particularmente seguro (como todo lo que está almacenado 'en la nube'), prefiero una solución local (por ejemplo, KeePass ). La conveniencia de tener acceso en línea a la información de inicio de sesión tiene un precio inaceptable (al menos para un viejo paranoico).
fuente
Lo que lo hace seguro es simplemente que no pueden decirle a nadie cuáles son sus contraseñas, incluso con un arma en la cabeza. Incluso cuando usa la interfaz web, sus contraseñas se cifran localmente antes de ser transmitidas.
Sí, es cierto que proporciona un "punto único de falla" a menos que se use Grid. Sin embargo, podría tener una contraseña maestra ridículamente segura: ¿a quién le importa si tiene que escribir una contraseña de 100 caracteres si solo la hace una vez al día? Y debido a que guarda sus "contraseñas secundarias", puede tenerlas mucho más seguras de lo normal.
Otra ventaja es que la mayoría de las personas no tendrán contraseñas diferentes para cada sitio web (o tendrán un patrón), y LastPass le permite deshacerse de esto. Entonces, mientras que antes de que cada sitio en el que estuvieras fuera un punto de entrada potencial para todos los demás sitios en los que estabas, ahora solo lo es tu cuenta de LastPass. Descifrar cualquier "subcontraseña" no proporciona información adicional a un atacante.
Esto es útil porque no tiene idea de si los sitios en los que se encuentra están encriptando su contraseña o si la salan. Podría nombrar un sitio web con 11 millones de usuarios que almacena contraseñas sin cifrar en su base de datos.
Finalmente, LastPass ofrece características como contraseñas de un solo uso para acceder a sus contraseñas en ubicaciones no confiables, lo que mantiene su cuenta segura incluso de los keyloggers más avanzados.
fuente
Acabo de echar un vistazo rápido a su sitio, creo que sus puntos son correctos ... Si alguien descifra su contraseña allí, tiene todas sus contraseñas, simplemente agrupa algunas características de algunos programas en un solo programa.
Al mirar allí, no hay nada que me haga pensar que es "más seguro" que tener contraseñas separadas para diferentes sitios, como lo serás de todos modos ... El último pase simplemente hace que sea más fácil de administrar.
fuente
Puede ser útil saber que Steve Gibson (de Security Now! Fame) se refirió a LastPass en un podcast :
En sus más de 600 episodios de seguridad ahora, Gibson a menudo les recuerda a los oyentes que las mejores contraseñas son galimatías y largas. En este podcast en particular, dice
fuente
Ninguna herramienta de almacenamiento de contraseñas en línea puede garantizar su seguridad. Afirman que el mecanismo de almacenamiento de contraseña de prueba de host oculta las contraseñas del host, y solo el lado del cliente conoce la clave y la forma descifrada.
Pero la siguiente publicación de blog muestra un defecto en esa afirmación:
Una razón por la que no podemos confiar en el almacenamiento de contraseñas en línea
fuente
Usando LastPass con el complemento de Chrome, pude extraer una contraseña al navegar a una página de inicio de sesión, completar la contraseña e ingresar lo siguiente en la consola (presionar F12).
Esto es con autenticación de dos factores y con la opción "requerir contraseña maestra para mostrar / copiar contraseña" habilitada. Supongo que no sería difícil automatizar esto, lo que significa que las contraseñas se pueden extraer fácilmente de LastPass al igual que otro almacenamiento de contraseñas, lo que contradice lo que parece afirmar "Bob de LastPass".
Supongo que LastPass es considerado mejor que la gestión manual de contraseñas por expertos en seguridad como Steve Gibson simplemente porque el riesgo de comprometer una contraseña débil / reutilizada o por un keylogger genérico es mayor que el riesgo del malware que ataca específicamente a LastPass. Aún así, solo lo usaría para sitios que puedo permitirme perder, y nunca para banca / correo electrónico principal / Dropbox , etc.
Un administrador de contraseñas que requiera autenticación de dos factores para cada contraseña que se descargue del servidor (LastPass solo lo requiere en el primer inicio de sesión) limitaría el daño solo a las contraseñas que se usaron en la computadora infectada, pero no he encontrado un administrador de contraseñas con esa opción todavía.
fuente