it-swarm-tr.com

Lastpass'ın şifrelerime gerçekten erişemediğinden nasıl emin olabilirim?

Milyonlarca Linkedin'in maruz kaldığı son zamanlarda yaygın olarak yayınlanan güvenlik olayı, şifre uygulamalarımı sıkmamı hatırlattı. Şu anda birkaç şifre yöneticisine bakıyorum ve özellikle merak ediyorum Lastpass .

Onlar ana sayfalarına yazıyorlar :

LastPass, eklentiyi kullandığınız sürece XSS'ye karşı güvenlik açığının belirtilen zayıflığını önleyen gelişmiş bir Host Proof barındırılan çözümdür. LastPass, yerel şifrelemeyi kullanmaya kesinlikle inanıyor ve hassas bilgileriniz için size her iki dünyanın en iyisini sunmak için yerel olarak tek yönlü tuzlanmış karmalar oluşturuyor: Çevrimiçi erişim ve senkronizasyon yetenekleri sağlarken tam güvenlik. Bunu, C++ ve JavaScript'te (web sitesi için) uygulanan 256 bit AES kullanarak ve yalnızca yerel PC'nizde şifreleme ve şifre çözme ile başardık. LastPass'ta hiç kimse hassas verilerinize erişemez. Güvenliğinizi ve gizliliğinizi sağlamak için aklınıza gelebilecek her adımı attık.

Kalın yazı tipinin doğru olduğundan nasıl emin olabilirim? Tarif ettikleri yöntem gerçekten vaat ettiklerini yapabilir mi, şifrelerima erişmelerini engelleyebilir mi? Ve aslında vaat ettiklerini yaptıklarını ve şifreleri sunucularına erişebilecekleri herhangi bir biçimde iletmediklerini nasıl doğrulayabilirim?

52
anonymous

LastPass'in söylediklerini yapıp yapmadığını görmenin bir yolu var.

İkili olmayan Chrome, Firefox, Opera veya Safari uzantısını kullanın. Bu% 100 JavaScript'tir ve görebileceğiniz anlamda açıktır - hassas verilerin oluşturulan bir anahtardan oluşturulan verilerden AES-256-CBC ile şifrelenmiş olduğunu görmek için bir proxy (örneğin Paros) ile ağ kokusunu kullanabilirsiniz. PBKDF2-SHA256 raundlarının sayısı ile hesabınızda kurulum yaptınız: http://helpdesk.lastpass.com/security-options/password-iterations-pbkdf2/ ve bu, yerel olarak sadece makine.

Ardından, tekrar denetlemek istediğinize kadar uzantınızı güncellemeyin/yükseltmeyin. Buna güvenip güvenmediğinize karar vermek için ikili uzantıyla etkileşim şeklimizi de denetleyebilirsiniz.

Bu, çoğu insan için biraz aşırı, ancak birkaç kişi ve kuruluş LastPass'ı denetledi ve bulduklarını beğendi. LastPass, denetlemek isteyen herkes için her zaman yararlıdır, yardım isterseniz bizimle iletişime geçmekten çekinmeyin.

LastPass, güvenmenin, doğrulamanın ve sizi teşvik etmenin tamamen makul olduğunu bilir. İnsanlara web sitesi yerine uzantıları kullanmalarını söylememizin bir nedeni var: Uzantılar, web sitesinin daha güvenli hale getirebileceği kadar kolay değiştirilemez.

Kaynak: LastPass için çalışıyorum.

56
Joe Siegrist

Bu cevapların bazıları oldukça eskidir, ancak konu tekrar gözden geçirmeyi hak ettiğini düşünecek kadar önemlidir.

LastPass iddiası Sıfır bilgili bir kanıt uygulamasıdır - yani şifreleme istemci tarafında gerçekleşir (parola anahtardır) ve muhtemelen isteseler bile verilerin şifresini çözemezler. Bir varant veya mahkeme emriyle sunulmaları halinde, yasaları verileri teslim etmekle yükümlü olacaklar, ancak yine de şifrelenmiş formda olacaklar ve sonra ilgili araştırmacıların süper bilgisayarlarına (veya mütevazı GPU dizisine) bağlı çatla. Bu bağlamda, bir KeePass DB'yi DropBox'ta depolamaktan farklı değildir (bahsetmeye değer daha fazla kez gördüm)

Söyleniyor ki....

LP yakın zamanda CLI müşterileri için kaynağı yayınladı: https://github.com/LastPass/lastpass-cli

Taleplerinin iletilenle eşleştiğini doğrulamak için, akran kod incelemesini yapmak artık bize bağlı.

En önemlisi, DB'nin nasıl üretildiğini, kodlandığını ve şifrelendiğini, en iyi standartlar ve uygulamalarla (veya daha iyisi) karşılarsa, hataları ayıklar (veya "kasıtsız arka kapılar") ve jenerasyonun ürünü kapalı kara kutu uygulamaları tarafından oluşturulan - koddan kaynaktan derleme ve sağlama toplamının ikili dosyaya karşı üretilenle karşılaştırılmasıyla ilgili benzer düşünce süreci.

Saygın bir kuruluştan bağımsız bir kod inceleme ve kalem testi IMHO'ya ihtiyaç duyulan şeydir ve bu yüzden onu kendi yetenek setimin çok ötesine taşır.

Bu, (haklı olarak) değer kattıkları ve gelir elde ettikleri UX gizli soslarını çalmak veya tersine mühendislik yapmak değildir - iyi güvenliği daha basit hale getirdikleri için para ve müşterileri bunun için yollarına atmaktan mutluluk duyuyorum. hayatımı daha güvenli ve kolay hale getiriyor - daha ziyade güvenlik camiası için çıtayı yükseltmenin ve Kerckhoffs'in prensibine uyanların taahhütleri için ödüllendirilmesini sağlamanın bir yolu.

10
kieppie

Bunu doğrulamanın tek yolu, şifrelerinize her eriştiğinizde size gönderdikleri koda bakmaktır. Başka bir deyişle, yapamazsınız. Bununla birlikte, herhangi birine kötü amaçlı kod gönderdiyse, kişinin fark edeceği bir risk vardır ve tek yapmanız gereken bu kötü amaçlı kodu sunan bir kişidir ve herkes bunu bilir.

3
David Schwartz

Bir şirkete güveniyor olsanız bile, sağladıkları ürüne/hizmete tam olarak güvenemezsiniz. İçindeki bir güvenlik açığı keşfedilebilir/kullanılabilir veya şirketin kendisi tehlikeye girebilir. Şifrelerinizi bir taraf için potansiyel olarak erişilebilir hale getirdiğinizde, söz konusu taraf tarafından bilindiğini düşünün. Bir web sitesinin normal kayıt/giriş işlemi durumunda, şifrenize gerçekten ihtiyaç duymadığı için gerçekten değer vermeyen kişilerle uğraşıyorsunuz demektir. Üçüncü bir taraf dahil olur olmaz, bu güvence artık pencereden çıkar.

Gerekirse, KeePass2 gibi yerel bir şifre kullanın ve kontrol ettiğiniz çıkarılabilir ortama kaydedin.

Ayrıca bir şirket "tam güvenlik" gibi bir ifade kullanıyorsa, zaten sizi kandırmaya çalışıyorlar olduğunu bilin.

3
chao-mu