Corujasabia
A Lastpass tem acesso às minhas palavras-passe?
[Aviso: Eu trabalho para AgileBits, criadores de 1Palavra-Passe]
P>Obrigado por me pedires para responder a isto, Al Moosa. Estou feliz em falar sobre 1Senha, mas não quero dizer ou insinuar nada sobre nenhum outro produto ou serviço. Nós da AgileBits não temos acesso a nenhuma 1Password data.
A preocupação muito legítima que muitas pessoas têm em armazenar os seus dados no computador de outra pessoa's é que ou aqueles que hospedam os dados serão comprometidos ou que eles próprios farão algo com os dados que você prefere que eles façam't.
Construímos um sistema que o mantém seguro contra nós. It's não é que estejamos preocupados com o fato de que vamos virar o mal ou qualquer coisa, mas é o simples fato de que se você está seguro contra nós, então você está seguro contra qualquer um que nos comprometa.
1Senha tem um design de segurança aberto. Nós delineamos todo o design de segurança da 1Password num white paper [PDF], onde ela foi sujeita ao escrutínio de especialistas em segurança.
Obviamente, você pode não estar em posição de analisar o white paper você mesmo, mas você se beneficia do escrutínio dado a ele por aqueles que podem. E estou feliz em explicar o que eu acho que são dois dos aspectos mais importantes da segurança da 1Password de uma forma que é mais fácil de entender.
O que diferencia 1Password de uma perspectiva de segurança é o nosso uso da Derivação de Chave de Dois Segredos (2SKD) e autenticação de preservação de sigilo.
Derivação de Chave de Dois Segredos
Imagine uma quebra na qual todos os dados que armazenamos são capturados. Para muitos sistemas, haveria hashes ou chaves derivadas de uma senha de usuário entre os dados roubados, assim o atacante poderia executar um ataque de quebra de senha contra isso. Se eles forem bem sucedidos nessa tentativa de cracking da senha, então com essa senha (e alguns outros dados não secretos como sais, etc.) eles seriam capazes de descriptografar os dados armazenados do usuário's. Isso seria ruim.
A defesa "tradicional" contra isso é usar o hashing lento durante a derivação da chave. 1Senha estava entre os primeiros gerenciadores de senhas a usar PBKDF2, e agora ele ou algum outro mecanismo de hashing lento se tornou uma característica bastante padrão. It's bom, é importante, nós ainda o fazemos; mas pode não ser suficiente. Ele torna um atacante mais lento; mas ele não'não previne totalmente as tentativas de adivinhar a Senha Mestra.
O que nós'o que fizemos foi introduzir o que estamos chamando de Derivação de Chave de Dois Segredos (2SKD). Misturamos a sua Senha Mestra com um segredo de alta centralidade que só você possui: a sua Chave de Conta. Sua Senha Mestra é um segredo que vive apenas na sua cabeça, mas que é potencialmente adivinhável; e sua Chave de Conta é um segredo completamente inconfundível que vive apenas nos seus dispositivos.
O que isto significa é que mesmo que todos os dados do nosso servidor sejam capturados, há'não há dados suficientes para lançar uma tentativa de cracking. Sem a sua chave de conta, não há como nem mesmo começar a adivinhar na sua senha mestre.
Bastante simples, nós não'não queremos armazenar informações que seriam valiosas para qualquer atacante.
Autenticação de preservação de segurança
It's não queremos apenas armazenar informações que poderiam ser usadas para lançar uma tentativa de cracking, não queremos'nem mesmo estar em posição de adquirir tais informações.
Em logins típicos de sites, um segredo do usuário (senha) é transmitido para o servidor. Mesmo que o servidor não't armazene a senha (mas apenas um hash de senha), o servidor tem a oportunidade de aprender a senha.
Os sistemas melhores terão algum hash de senha feito pelo cliente antes de transmitir, e então ele será ainda mais hash pelo servidor antes de ser armazenado. Desta forma o servidor não teria a oportunidade de roubar a senha diretamente. Mas o hash que eles são enviados poderia ser usado para uma tentativa de cracking da senha. Assim, embora isto seja melhor que o sistema típico, não é suficiente.
Usamos uma Password Authenticated Key Exchange (PAKE) que significa que nenhum segredo é transmitido durante o login. Nem mesmo um hash de um segredo. A informação que adquirimos durante uma sessão de login não nos dá nada que possamos usar para tentar adivinhar a sua Senha Mestra ou Chave de Conta. O PAKE particular que usamos é o protocolo Secure Remote Password (SRP).
Então não só não armazenamos nada que possa ser usado num esforço para aprender os seus segredos, como também nós'configuramos as coisas para que seja difícil adquirir tal informação.
>>p>aprenda mais>ul>>li>1Senha de segurança>1Senha de privacidade>li>>Sobre a Chave de Conta>li>1Senha de Segurança de Desenho de Palavras Brancas [PDF]
Artigos semelhantes
- Existe algum aplicativo que me alertará quando um item que se encaixa nas minhas palavras-chave for colocado na minha lista de craigslist local?
- Vou para um lugar que não tem serviço telefónico e não tem wifi. Há alguma coisa que eu possa ter acesso à internet durante a semana?
- Como remover uma conta do aplicativo autenticador LastPass
- Qual é a maneira mais segura de transferir uma senha de KeePass / LastPass / 1Password para o campo de senha de uma página web ou aplicativo?
- O LastPass ou 1Password utiliza uma encriptação mais forte?