Názory k článku LastPass 3.0: jednodušší ovládání a možnost sdílení hesel v rámci rodiny
-
_pepak (neregistrovaný)
To jako že když si hesla uložím do online služby, tak to bude bezpečnější? IMHO LOL!
U lokálního uložení hesel v prohlížeči mám možnosti, jak zajistit jejich bezpečnost - ať už přes šifrování seznamu hesel (určitě Firefox, Opera), nebo přes šifrování celého systému (všechny). U vzdáleného uložení tu možnost nemám, dokonce ani v případě, že by dešifrování probíhalo výhradně lokálně (protože 1) to nemám možnost ověřit, a 2) nemám možnost ověřit, že to je udělané dobře).
Význam online úložiště hesel může být v tom, že to je zálohované, že to je synchronizované přes více zařízení, nebo třeba že se to všude chová stejně, ale určitě ne v tom, že to je bezpečné.
-
Lukáš Košík (neregistrovaný)
"jsou nyní lépe dostupné díky symbolu hvězdičky zobrazované vždy po pravé straně přihlašovacích a registračních formulářů na webových stránkách." http://i.iinfo.cz/images/662/lastpass-3-0-1.png
"LastPass tedy již nebude v takové míře využívat lišty zobrazující se v horní části okna prohlížeče."Bohužel na některých webech se lastpass doplněk nezobrazuje. http://i.iinfo.cz/images/662/lastpass-3-0-1.png
Např. na seznam.cz Pak je ale ovládání naopak složitější. Musíte pak použít lišty zobrazující se v horní části okna prohlížeče. Bohužel funkce vyplnění je teď více skrytá v nabídkách a musíte tak 4x kliknout pro přihlášení. Snad to brzy vychytají. -
Pavel Krcma (neregistrovaný)
Možná jde pouze o to, z které strany na zapezpečení koukáme. Kupříkladu mě jde především o stížení krádeže lokálně z PC. To je zcela nejčastější způsob, jak citlivé údaje uniknou. A zde password manažery pomáhají. Např. zmíněný IE ukládá, v případě použití vestavěného password manažeru, tuším od verze IE8 hesla se slušným šifrování, nicméně klíčem je URL (browser se také musí k heslu nějak dostat). Protože ale nejčastěji používané služby mají známá login URL a málokterý uživatel maže historii, je celkem triviální získat velkou část hesel uložených tímto způsobem pouhým projitím historie a vyzkoušením pár známých služeb. Oproti tomu např. StickyPassword, jeden z password manažerů, používá databázi šifrovanou AES-256 kterou musím odemčít hlavním heslem, jinak se k datům nikdo nedostane. A to ani lokálně, ani krádeží z "cloudu" - databáze je stále ta stejná, cloud do ní nevidí.
-
Nic vám nebrání si ten TC kontejner z cloudu rozkopírovat do více počítačů, v případě specializovaného cloudového úložiště (např. Dropbox) se vám bude mezi počítači synchronizovat automaticky. Hesla můžete používat na každém zařízení, kde dokážete TC kontejner rozšifrovat.
Když si ten kontejner TC uložíte do složky synchronizované před Dropbox, má to všechny vámi popsané vlastnosti, přestože používáte proprietární program komunikující s cloudem. A nebo si tu synchronizaci s Dropboxem klidně můžete napsat sám. Ono totiž z hlediska bezpečnosti vůbec nejde o to, zda jsou data uložená v cloudu nebo na lokálním disku. Podstatné je jenom to, kde a jak se zašifrují.
Proprietární TrueCrypt -- předpokládám, že používáte binárku staženu z webu TrueCryptu. LastPass pokud vím šifruje JavaScriptem v prohlížeči, je to mnohem méně kódu, než TC, takže si to můžete snáz zkontrolovat. A když už si to zkontrolujete, máte jistotu (pokud věříte prohlížeči), že se spouští ten zkontrolovaný kód. V případě TrueCryptu byste si ten zkontrolovaný kód ještě musel sám přeložit.
-
Tvrdíte tedy, že nahráním TC kontejneru do cloudu se bezpečnost uložených dát sníží? V tom případě nechápu, proč TC používáte lokálně. Vždyť pokud by se k vašemu TC kontejneru dostal útočník, nic mu nebrání nahrát jej do cloudu -- a máte po bezpečnosti. Pokud máte počítač zabezpečený tak, že se útočník nedostane ani k lokálnímu TC kontejneru, pak nevím, proč vůbec šifrujete -- můžete přece místo TC kontejneru rovnou ukládat nešifrovaná data, když se k nim útočník nemůže dostat.
Ve skutečnosti se data šifrují právě proto, aby bylo jedno, že se k šifrovaným datům dostal někdo cizí. Tím pádem je jedno, zda je máte na jednom počítači, na deseti počítačích dostupných z internetu, nebo na deset počítačích dostupných z internetu, kterým říkáte cloud.
-
Co brání tomu současnou funkcionalitu LastPass implementovat tak, že by data ukládal do lokálního souboru, který by byl na TC disku, a TC kontejner by se automaticky synchronizoval přes cloud? Kromě toho, že asi neexistují implementace TC na všechny platformy používané LastPass, ale sám jste psal, že formát TC je veřejně zdokumentovaný a naimplementovat si ho můžete sám.
Ano, s tou první bariérou máte pravdu. Ale bavíme se o heslech, která se zadávají do webového formuláře typicky na stránce plné skriptů, většinou se odesílají přes internet v otevřeném tvaru, a často je to z počítače s Windows, kde si uživatel sám dělá "správce". Myslím, že pro útočníka bude mnohem jednodušší získat ten TC kontejner přímo z disku uživatele než z cloudu.
-
Když pak ten lokálně zašifrovaný balík hesel, prohlížeče a operačního systému nahrajete do cloudu, bezpečnost se tím sníží?
Mimochodem, jaký je rozdíl v bezpečnosti mezi proprietárním programem, který o sobě tvrdí, že data lokálně šifruje bez zadních vrátek a šifrovaná data zálohuje do cloudu, a proprietárním TrueCryptem, který o sobě tvrdí, že data lokálně šifruje bez zadních vrátek?
-
JBS (neregistrovaný)
Autor sw je firma z USA .... což jak víme z poslední doby přímo kolébka bezpečnosti dat :-D :-D Není nad to mít od každého uživatele všechna hesla na jednom místě, to je přímo ideální stav pro NSA :-)
A jinak bych třeba odkázal na starčí informaci http://www.lupa.cz/clanky/spravce-hesel-lastpass-resi-mozny-unik-dat/ .... -
_pepak (neregistrovaný)
Nikoliv. Tvrdím, že volíme mezi bezpečností a použitelností, že TC vede v tom prvním a že nahrání TC kontejneru do cloudu nezajistí to druhé (ne na té úrovni, na které to má nebo by aspoň mohl mít LastPass).
A mimochodem, ne, není to jedno. Neschopnost útočníka vůbec se dostat ke kontejneru s daty je první bariérou. Za ideálních okolností se nic strašného nestane, pokud útočník tuto bariéru překoná, ale obecně je lepší, když se mu ani to nepodaří. Přeci jenom už ze získaného kontejneru jde získat dílčí informaci, z opakovaně získaného kontejneru už docela velkou informaci.
-
_pepak (neregistrovaný)
Když na to přijde, tak ta lokálně uložená hesla zašifruju i s tím prohlížečem a celým operačním systémem pomocí například TrueCryptu a získám nejvyšší dosažitelnou jistotu. Rozhodně větší, než bych měl u online služby.
To je nejjednodušší cesta, ale ne jediná. Také můžu, tedy aspoň teoreticky, zjistit parametry šifrování a napsat si vlastní program, který ta hesla zkusí rozšifrovat. Když se to podaří, tak mám poměrně slušnou jistotu, že program opravdu používá algoritmus, o kterém tvrdí, že ho používá.
V obou případech mám lepší možnosti než v případě online úložiště. A dokonce ani nepotřebuju důvěřovat tomu, že ten browser neobsahuje backdoor, zatímco u online řešení tomu důvěřovat musím (protože neexistence backdooru se prokázat nedá).
Nemyslete si, že každý, kdo s vámi nesouhlasí, má horší informace než vy. Někdy to může být i obráceně.
-
_pepak (neregistrovaný)
Když pak ten lokálně zašifrovaný balík hesel, prohlížeče a operačního systému nahrajete do cloudu, bezpečnost se tím sníží?
Když ho do cloudu nahraju zašifrovaný, tak se nesníží, ale zase to nebude mít tu funkčnost, kterou se LastPass a podobné ohánějí - tzn. třeba synchronizaci mezi počítači nebo schopnost ta hesla použít z libovolného zařízení.
Mimochodem, jaký je rozdíl v bezpečnosti mezi proprietárním programem, který o sobě tvrdí, že data lokálně šifruje bez zadních vrátek a šifrovaná data zálohuje do cloudu, a proprietárním TrueCryptem, který o sobě tvrdí, že data lokálně šifruje bez zadních vrátek?
Velmi podstatný, z mnoha hledisek: Například mohu snadno ověřit (firewall, WireShark), jestli se TC nepokouší data někam odeslat. Nebo mohu zkusit rozšifrovat zdokumentovaný formát souboru svými prostředky a tím si ověřit, že opravdu jsou specifikace dodrženy. Dokonce mohu ručně změnit šifrovací klíč kontejneru a tím se zajistit i proti možnosti, že TC schválně používá snadno uhádnutelné klíče. Nebo mohu použít úplně jiný program, kterému důvěřuju víc. Nic z toho u proprietárního programu komunikujícího s cloudem nedokážu.
Btw., "properietární TrueCrypt" - to zní skoro jako od uctívače GPL jakožto jediné správné otevřené licence...
ČLÁNKY DO MAILU
