¿Los administradores de contraseñas basados en la nube invalidan incluso la arquitectura más segura?

2

Puede una bóveda de contraseñas en línea , como LastPass , se defiende a través de una evaluación de seguridad que demuestra que el valor que brindan supera los riesgos de ser un objetivo de alto valor ?

Una respuesta válida debe:

  • evite "Es seguro" o "No es seguro" a favor de los beneficios y riesgos

  • considere cómo LastPass se diferencia específicamente del almacenamiento de contraseñas
    Almacenar archivos en los administradores de contraseñas basados en la nube

Editado en base a los comentarios.

    
pregunta Dan O'Boyle 10.09.2015 - 17:55
fuente

2 respuestas

3

LastPass es "seguro" para la mayoría de los casos de uso. Sospecho que Edward Snowden y Julian Assange no lo usan sin embargo. (Si no está familiarizado con estos muchachos, ambos están huyendo del gobierno de EE. UU. Para publicar datos clasificados).

Una característica importante del diseño de LastPass es que sus sistemas de nube nunca ven sus contraseñas. Todas sus contraseñas están cifradas en su dispositivo, utilizando su contraseña maestra. Los servidores LastPass solo ven las contraseñas encriptadas. Esa es una importante mitigación técnica y me hace feliz usar LastPass.

Seguro no significa cero riesgo. Un colega mío encontró un Chrome zero-day que permitió que cualquier sitio web que visitó robar contraseñas de su bóveda de LastPass. Pero todos los navegadores web han tenido una serie de vulnerabilidades similares y, a pesar de esto, en general se consideran "seguros" para usos típicos.

    
respondido por el paj28 10.09.2015 - 19:38
fuente
0

Cuando sea posible, nunca utilice a terceros para almacenar datos confidenciales. Ejemplo: contraseñas.

Solo echando un vistazo rápido a: enlace En teoría, han tomado todas las precauciones estándar de la industria y deberían estar seguros si confía en ellos. También le permiten almacenar tarjetas de crédito, etc., así que estoy seguro de que al menos cumplen con PCI (aunque no puedo responder con certeza que deben cumplir con pci).

Sin embargo, no puedo encontrar mucha información sobre la "plataforma basada en la nube" sobre la que está preguntando. Me parece que es la misma configuración pero solo almacena los datos en sus servidores en lugar de en su computadora o dispositivo. (Los datos de su servicio en la nube a su computadora son cifrados de extremo a extremo, etc.)

Colocar todos estos datos en una ubicación centralizada causará más interés para un atacante. Por lo tanto, siempre tenga esto en cuenta, pero nuevamente, si todo se hace correctamente, el atacante no podrá obtener los datos que desea mantener en privado.

    
respondido por el 702cs 10.09.2015 - 18:45
fuente

Lea otras preguntas en las etiquetas