为什么我不相信LastPass的密码

LastPass是一款流行的yabo88软件下载密码保险箱解决方案,加密和同步你的登录数据,所有设备之间的所有的各种服务。他们的口号是“你永远需要的最后一个密码”指的是如何为你一个LastPass的密码可用于解锁所有在线帐户;让您对您使用的所有不同的服务和独特的随机密码。

我也想知道LastPass有多安全,我很难相信LastPass,尽管据我们所知,该公司在安全密码存储方面技术上是正确的,甚至连LastPass自己都无法访问。

LastPass目前无法看到你在其服务器上保存的密码。他们的password vault客户端应用程序,甚至他们的web界面,在客户端上执行所有的加密和解密。如果有人偷了LastPass数据库,他们不应该做任何事情,他们从LastPass获得的数据,因为加密的blob没有您的帐户密码解密它们是没有任何价值的。

到目前为止,LastPass还不能与执法部门、美国国家安全局(NSA)、偶然进入LastPass基础设施的黑客或其他任何人分享你的密码。LastPass的服务器并非都那么脆弱,因为加密和解密都发生在客户端,而他们的服务器只存储难以理解的加密blob。

这种安全设计有时称为不信任任何人(TNO)。人们不需要信任LastPass,因为在当前的方案中,LastPass不会对他们的数据做任何坏事。

一旦你意识到这一点,完全安全的幻想就会崩溃LastPass可以随意改变客户他们希望或迫于政府机构的压力去做。包括将你的密码库中的内容以明文传输回LastPass的服务器,而不需要加密,或者直接发送到第三方的服务器。

并非只有LastPass自己能够影响客户。Mozilla和谷歌可能会被法院强制发布LastPass扩展的修改更新,以在他们的浏览器用户中选择目标。

在不信任任何人的安全模型下,您仍然必须最终信任客户端程序和那些控制它的人。为了解决这个问题,LastPass除了放弃对所有浏览器扩展、应用程序和其他客户端的控制之外,没有别的办法。将它们作为开源程序发布将会对确保社区对客户端的监督起到很大的作用。

LastPass密码库即服务组件基本上是无关紧要的,它们可以继续像现在这样对托管/同步服务收费。我不想让他们破产,也不想让他们打开他们专有的同步服务的服务器组件。

像Backblaze和Carbonite这样的在线备份存储服务提供商对他们的安全技术做出了和LastPass一样的承诺。这些服务还要求客户相信他们的客户正在按照承诺执行加密,并且在未来不会改变这一点。注意,本地加密是可选的,在Backblaze和Carbonite中都需要额外的设置步骤。

我目前还不是LastPass的用户,我善意的期望有一个美誉LastPass的一样好更多的竞争。其中商业服务提供商,LastPass的是专用密码保险箱解决方案受到挑战国王。

我的前雇主Opera最近丢失了所有用户的密码库。我对这个问题没有什么见解,只能希望数据是按照没有信任的模式存储的。yabo亚博体育下载由于客户都是私有的,任何人都很难证实这是真的。

自托管和开放源代码的密码库非常少。有一些可用的选择,但它们是由没有安全审查的小团队做出的。更麻烦的是,他们中的许多人不再收到任何更新或关注;将现有用户置于潜在风险之中。

说了这么多,我可能会屈服,开始使用LastPass在接下来的几周。使用Unix-centric管理密码通过太不方便,难以接近,最近甚至变得有点紧张。我有非常有价值和业务关键的数据存储在pass中。我不再确定我想要跟上所有需要保持密码库的安全,在我的所有设备上访问,并安全备份。

LastPass的便利性看起来非常吸引人,尽管我不相信他们——我不再觉得我有更好的选择。