我不能简单地理解使用LastPass是如何安全的。攻击者需要做的就是破坏单个LastPass帐户,然后他还破坏了所有其他网站。
与传统方法相比,每个网站有单独的帐户,这有什么用呢?
拥有一个强大的主密码,可以通过主密码访问的强大的站点专用密码比拥有更弱的密码更好,但在所有网站上有所不同吗?
Answers:
除了允许您为每个站点创建唯一的复杂密码外,我们还提供免费的第二因素身份验证: 格 。因此,在使用网格时,您的用户名和密码不足以访问您的数据。
此外,您的密码不会存储在通常不安全的Firefox或IE密码管理器中(只需运行我们的安装程序并观察我们如何提取所有密码)。
至于存储在云中,所有内容在发送到服务器之前都在本地加密,并且您的密钥永远不会发送给我们。您可以在我们网站的技术页面上阅读更多关于我们如何保护您安全的信息。
我不认为LastPass特别安全(就像存储在云中的任何东西一样),我更喜欢本地解决方案(例如, KeePass的 )。在线访问登录信息的便利性是一个不可接受的代价(至少对于偏执的老人来说)。
使它安全的原因很简单,就是他们无法告诉任何人你的密码是什么,即使用枪瞄准他们的头脑。即使使用Web界面,您的密码也会在传输之前在本地加密。
是的,除非使用Grid,否则它确实提供了“单点故障”。但是,您可能拥有一个非常强大的主密码 - 如果您每天只进行一次密码,您是否需要输入100个字符的密码?而且因为它可以保存你的“子密码”,你可以比平常更强大。
另一个优点是大多数人不会为每个网站使用不同的密码(或者会有一个模式),LastPass让你放弃这个。所以以前 您所在的每个网站 是您所在的所有其他网站的潜在入口点,现在只有您的LastPass帐户。破解任何“子密码”都不会给攻击者带来额外信息。
这很有用,因为你有 不知道 您所在的网站是加密密码还是加密密码。我可以命名一个拥有1100万用户的网站,这些用户在他们的数据库中存储未加密的密码。
最后,LastPass提供了一次性密码等功能,可以在不值得信任的位置访问您的密码,即使是最先进的键盘记录程序也能确保您的帐户安全。
只是快速浏览一下他们的网站 - 我认为你的观点是正确的......如果有人在那里破解你的密码,他们拥有你所有的密码 - 它只是将一些程序中的一些功能捆绑到一个程序中。
从那里看,没有任何东西能让我觉得它比为不同的网站设置单独的密码更“安全” - 无论如何你都会这样...... Lastpass简单地让它更容易管理。
将LastPass与Chrome插件一起使用,我可以通过导航到登录页面来填写密码,填写密码并在控制台中输入以下内容(按 F12 )。
document.querySelectorAll("[type=password]")[0].value
这是 双因素身份验证 并使用“要求主密码显示/复制密码” - 启用选项。我猜测自动化并不难,这意味着密码可以像其他密码存储一样轻松地从LastPass中提取,与“来自LastPass的Bob”似乎声称的相矛盾。
我认为LastPass被安全专家认为比手动密码管理更好 史蒂夫吉布森 仅仅因为弱/重用密码或通用键盘记录器的妥协风险大于特定攻击LastPass的恶意软件的风险。我仍然只会将它用于我能够承受损失的网站,而不会用于银行/主要电子邮件/ Dropbox的 等
密码管理器要求对从服务器下载的每个密码进行双因素身份验证(LastPass仅在首次登录时需要它)将仅限制受感染计算机上使用的密码的损坏,但我还没有找到密码管理器还有那个选项。