¿Cómo puedo estar seguro de que Lastpass realmente no puede acceder a mis contraseñas?

Navega tus respuestas
48

El reciente incidente de seguridad, ampliamente publicitado, en el que se expusieron millones de usuarios de Linkedin, me recordó a reforzar mis prácticas de contraseña. Ahora estoy viendo varios administradores de contraseñas y siento especial curiosidad por Lastpass .

escriben en su página de inicio :

  

LastPass es una solución hospedada de prueba de host evolucionada, que evita el   manifestó debilidad de vulnerabilidad a XSS siempre que esté usando el   Añadir. LastPass cree firmemente en el uso de cifrado local, y   Hashs salados de una manera creados localmente para proporcionarle lo mejor de   Ambos mundos para su información sensible: seguridad completa, mientras   Sigue proporcionando accesibilidad en línea y capacidades de sincronización. Hemos   logrado esto mediante el uso de AES de 256 bits implementado en C ++ y   JavaScript (para el sitio web) y exclusivamente cifrado y descifrado.   en su PC local. Nadie en LastPass puede acceder a tu información confidencial.   datos. Hemos dado todos los pasos posibles para garantizar su seguridad.   y privacidad.

¿Cómo puedo estar seguro de que la parte en negrita es verdadera? ¿Es el método que describen capaz de hacer realmente lo que prometen, puede impedir que accedan a mis contraseñas? ¿Y cómo puedo verificar que realmente están haciendo lo que prometen y que no transmiten mi contraseña de forma que puedan acceder a sus servidores?

    
pregunta anonymous 08.06.2012 - 10:37
fuente

4 respuestas

54

Hay una manera de ver si LastPass está haciendo lo que están diciendo.

Use la extensión no binaria de Chrome, Firefox, Opera o Safari. Esto es 100% JavaScript y está abierto en el sentido de que puede verlo: puede usar la red de sniffing con un proxy (por ejemplo, Paros) para ver que los datos confidenciales se cifran con AES-256-CBC a partir de los datos generados a partir de una clave creada. con el número de rondas de PBKDF2-SHA256 que ha configurado en su cuenta: enlace y esto se realiza localmente en su máquina solamente.

Entonces, simplemente no actualice / actualice su extensión hasta que quiera auditarla nuevamente. También puede auditar la forma en que interactuamos con la extensión binaria para decidir si confía en eso.

Eso es un poco extremo para la mayoría de las personas, pero varias personas y organizaciones han auditado LastPass y les ha gustado lo que han encontrado. LastPass siempre es útil para cualquier persona que desee realizar una auditoría. No dude en contactarnos si desea ayuda.

LastPass sabe que es perfectamente razonable confiar, pero verificar y alentarlo a que lo haga. Hay una razón por la que les decimos a las personas que utilicen las extensiones en lugar del sitio web: las extensiones no se pueden cambiar tan fácilmente como el sitio web las hace más seguras.

Fuente: trabajo para LastPass.

    
respondido por el Joe Siegrist 08.06.2012 - 20:50
fuente
10

Algunas de estas respuestas son bastante anticuadas, pero el tema es lo suficientemente importante como para que valga la pena volver a visitarlo.

La afirmación de LastPass es que ofrecen una implementación de prueba de conocimiento cero, es decir, el cifrado ocurre en el lado del cliente (con la contraseña como clave) y que, presumiblemente, no pueden descifrar los datos, incluso si lo desean. Si se les entrega una orden judicial o judicial, la ley los obligará a entregar los datos, pero aún así estará en forma encriptada, y luego depende de los supercomputadores de los investigadores respectivos (o la modesta matriz de GPU) agrietar eso En este sentido, básicamente no es diferente de almacenar un KeePass DB en DropBox (que he visto más veces de las que me gustaría mencionar)

Dicho esto ....

LP ha lanzado recientemente la fuente para su cliente CLI: enlace

Ahora depende de nosotros hacer la revisión del código de pares, a fin de validar sus reclamos para que coincidan con lo que se entregó.

Lo más importante es interrogar a la fuente para ver cómo se genera, codifica & cifrado, si cumple con los mejores estándares y amp; prácticas (o mejores), eliminar errores (o "puertas traseras no intencionales"), y si el producto de la generación coincide con el generado por las implementaciones cerradas de la caja negra - proceso de pensamiento similar involucrado en la compilación de código de source & comparando la suma de comprobación con la generada con el binario.

Una revisión de código independiente & En mi humilde opinión, lo que se necesita es una prueba de la pluma de una organización de buena reputación, y eso lo pone mucho más allá de mi propio conjunto de habilidades.

Esto no es un intento de robar o de otro modo aplicar ingeniería inversa a su salsa secreta UX, donde (con razón) agregan valor y amp; obtener ingresos de: estoy feliz de tirar dinero y amp; los clientes a su manera para esto, ya que simplificar la buena seguridad hace que mi vida sea más segura & más fácil, pero más bien una forma para que la comunidad de seguridad aumente el estándar & asegurarse de que aquellos que cumplen con el principio de Kerckhoffs sean recompensados por su compromiso.

    
respondido por el kieppie 27.01.2015 - 05:37
fuente
3

La única forma de verificarlo es mirar el código que le envían cada vez que accede a sus contraseñas. En otras palabras, no puedes. Sin embargo, si alguna vez enviaran un código malicioso a alguien, existe el riesgo de que esa persona lo notara, y todo lo que tomaría sería que una persona presentara ese código malicioso y todos lo sabrían.     

respondido por el David Schwartz 08.06.2012 - 15:15
fuente
3

Incluso si confía en una empresa, no puede confiar completamente en el producto / servicio que ofrecen. Una vulnerabilidad puede ser descubierta / explotada o la compañía misma puede verse comprometida. Cuando haga que sus contraseñas sean potencialmente accesibles para una parte, considérelas conocidas por esa parte. En el caso del proceso normal de registro / inicio de sesión de un sitio web, usted está tratando con personas que en realidad no valoran su contraseña ya que no la necesitan. Tan pronto como un tercero está involucrado, esta garantía está ahora fuera de la ventana.

Si debe hacerlo, use una contraseña local segura como KeePass2 y almacénela en los medios extraíbles que controle.

También si una empresa usa una frase como "seguridad completa", debes saber que ya están intentando engañarte .

    
respondido por el chao-mu 08.06.2012 - 18:03
fuente

Lea otras preguntas en las etiquetas

¿Puede un archivo PDF contener un virus? ¿Por qué los sistemas operativos no protegen contra teclados USB que no son de confianza?