¿Qué tan seguro es LastPass?

La única preocupación sobre LastPass es que almacenan sus contraseñas en sus servidores. Sin embargo, sus contraseñas están encriptadas en su máquina antes de enviarlas, por lo que, en teoría, no tienen forma de acceder a sus datos. Este blog, http://tinisles.blogspot.com/201 … probó sus métodos de encriptación y lo encontró satisfactorio, sin transferir información importante como texto claro.

Actualización de mayo de 2014: Lastpass todavía se considera seguro contra piratas informáticos.
¿LastPass es seguro? ¿Qué sucede si se piratea?
LastPass vs. KeePass: ¿Cuál es la mejor administración de contraseñas en línea?
Cuatro cosas que debes saber sobre LastPass

Sin embargo, a la luz de todas las revelaciones de la NSA durante el año, hay algunos motivos de preocupación. Si bien su clave de cifrado no está almacenada en sus servidores, su almacén de contraseñas sí lo está. Además, la clave de cifrado debe transmitirse (aunque esté cifrada) a los servidores de Lastpass. El cifrado que utiliza Lastpass se considera seguro, pero siempre existe la posibilidad de que los métodos de cifrado estén paralizados de una manera que la NSA conoce pero no se conoce en la comunidad criptográfica general. Dado que sus contraseñas se almacenan en la nube, siempre hay al menos una pequeña posibilidad de que un tercero acceda a ellas. Aquí hay un par de artículos que discuten esto (aunque uno más paranoico que el otro).
LastPass y la NSA: ¿Qué tan seguro es LastPass.com?
¿Puede la NSA forzar a los desarrolladores de aplicaciones de administración de contraseñas (por ejemplo, LastPass) a renunciar a sus datos?

Todavía confío en él y lo uso a diario, pero no puedo culpar a alguien por querer apegarse a una solución que sea 100% local, como KeePass.

Lea mi publicación en 1Password ya que LastPass es un servicio muy similar: ¿Por qué debería usar o no usar 1Password?

Lastpass también le ofrece la opción de usar un yubikey como mecanismo de dos factores, pero debido a que Lastpass tiene una aplicación web, puede sufrir vulnerabilidades en la aplicación web (por ejemplo, XSS: https://grepular.com/LastPass_Vu …) que podría dejar los detalles de su cuenta y en el peor de los casos, sus contraseñas quedan expuestas.

LastPass le permite usar la autenticación multifactor. Además de su contraseña maestra, puede usar la autenticación de multifactor de cuadrícula ( http://helpdesk.lastpass.com/sec …), la autenticación de Yubikey ( http://helpdesk.lastpass.com/sec …) y Sesame ( http: // helpdesk.lastpass.com/sec …): los dos últimos solo están disponibles con la membresía Premium de $ 12 / año ( https://lastpass.com/features_pr …). Entonces, incluso si su contraseña maestra fue pirateada de alguna manera, el hacker también necesitaría su grilla, unidad USB de sésamo o Yubikey. Obtuve un Yubikey ( http://www.yubico.com/yubikey ) y escupe contraseñas de un solo uso ridículamente largas con un simple toque, lo que lo hace conveniente y seguro.

Al igual que Andrew Stein, he estado usando Lastpass durante bastante tiempo. La revisión de Steve Gibbs (Transcripción de seguridad ahora del Episodio # 256) me convenció de que LastPass era seguro de usar PROPORCIONADO que habilita al menos uno de los métodos de Autenticación de dos factores para su cuenta de LasstPass ( http://m.obile2.tk / 10hA9pu ). Mi método preferido sigue usando Lastpass con YubiKey ( http://m.obile2.tk/173Gfwt ). Y mientras uso LastPass para ayudar con los inicios de sesión confidenciales (banca, PayPal, etc.) dejo al menos una etapa del proceso de inicio de sesión para que se complete por otros medios.

Es tan seguro como lo haces. Ir a través de la configuración con cuidado . Debe hacer esto una vez en el sitio web y una vez por cada navegador en cada computadora en la que instale el complemento (por alguna razón, esas preferencias no se sincronizan). Tienen algunas características interesantes como marcadores, teclados de pantalla y soporte para YubiKeys que pueden hacer que el acceso a sus datos desde computadoras extrañas sea más seguro. Y una de mis características favoritas … ¡puede compartir una contraseña temporal en un sitio con alguien a través de lastpass sin que el destinatario se entere de cuál es la contraseña temporal!

La respuesta a, es Last Pass safe, es difícil ya que a menos que pueda recordar una contraseña de 100 caracteres con una combinación de letras, números y caracteres especiales que es diferente para CADA sitio web que visita, entonces nada es realmente seguro.

PERO, en condiciones del mundo real, es decir, memorias falibles, la necesidad de numerosas contraseñas y sitios web que tengan diferentes estándares para la longitud de la contraseña, etc., es relativamente seguro siempre que use la verificación en dos pasos.

En mi libro electrónico gratuito, Una guía más simple para la seguridad en línea, http://cericlark.com/Ae voy a 5 formas de elegir una contraseña.

Las contraseñas deben ser complicadas, pero corren el riesgo de ser inutilizables, por lo que las personas las escriben o las colocan en documentos no seguros. ¡Lastpass es una forma de registrar la contraseña completa sin tener que comprometer demasiado la memoria!

Al final, la mejor contraseña es complicada pero se puede usar.

Sí, si su contraseña maestra se ve comprometida. Recientemente (a finales de 2014) ha habido informes de malware que se dirige a contraseñas maestras en aplicaciones de inicio de sesión único como LastPass. Hace un blog sobre esto recientemente aquí, si desea más detalles:

http://blog.peerlyst.com/citadel …

Su mejor protección es cambiar regularmente su contraseña maestra, además de hacer las cosas estándar que todos deberían hacer para proteger las computadoras y los dispositivos móviles: asegúrese de ejecutar un software antivirus y un firewall personal, y tenga mucho cuidado al hacer clic en los enlaces y visitar sitios web desconocidos.

En primer lugar, permítanme aclarar que uso LastPass y continuaré usándolo, pero responder a la pregunta de si es seguro no es tan simple como algunas personas lo harían creer.

Algunos de mis pensamientos:

1. LastPass es muy popular ahora y, por lo tanto, es un gran objetivo para los atacantes.
2. LastPass ha tenido violaciones de seguridad. Password Manager LastPass advierte de incumplimiento
3. ¿Debería LastPass ser más seguro?
4. La mayor preocupación para nosotros como usuarios es que nuestro UserDataVault se almacena en los servidores de LastPass. Si los atacantes obtienen este UserDataVault, pueden lanzar un ataque de fuerza bruta fuera de línea para intentar abrir esta bóveda. Sus posibilidades de éxito si hemos elegido una contraseña lo suficientemente larga son mínimas pero no cero.
5. La única razón por la que necesitamos sitios como LastPass es porque no podemos estar de acuerdo como planeta en el enfoque mucho más seguro de Autenticación Federada.

Utilizo LastPass Premium con autenticación de dos factores, que requiere una contraseña maestra larga y segura y una YubiKey USB.

Utilizo una contraseña única larga y segura para cada cuenta. No se encontraron palabras en el diccionario.

Para los sitios web de mi cuenta financiera, tengo habilitadas las alertas por correo electrónico para que reciba un correo electrónico por cada transacción que tenga lugar, o si se cambia la configuración del perfil de mi cuenta.

Me suscribo a las noticias de seguridad de varias fuentes para mantenerme actualizado.

Planeo continuar usando LastPass.

Puede encontrar una transcripción del Podcast mencionado anteriormente aquí ( http://www.grc.com/sn/sn-256.htm ). Repasan los detalles de la seguridad en el sitio y el servicio.

Esta es una lectura y revisión interesante sobre ese tema: LastPass obtiene la luz verde de Steve Gibson de Security Now !: http://blog.lastpass.com/2010/07 …

Relevante xkcd. Además, uno de mis favoritos.
Siempre hay una compensación entre seguridad y conveniencia.

No uso lastpass. Prefiero keepass para la administración de contraseñas y la razón principal de esto es que no quiero que un tercero administre mis contraseñas.

Lastpass almacena la base de datos encriptada en línea. Aunque descifrar la base de datos es técnicamente inviable, pero quién se molesta en descifrar cuando puede engañar a los usuarios para que renuncien a sus contraseñas.

Idealmente, para reducir las amenazas, el sistema de administración de contraseñas debería estar desacoplado de la web para reducir la superficie de ataque, lo que no es en este caso.

Nunca es una buena idea almacenar nuestras credenciales en ninguna aplicación como usted dijo. Sin embargo, todas esas aplicaciones que se ejecutan a través de una conexión a Internet podrían estar siendo monitoreadas. Entonces, solo recuerda tus credenciales y eso es todo. ¡No tienes que preocuparte por eso!

Hiren Patel (Pune, MH)

Para obtener una explicación detallada de la criptografía LastPass, escuche el podcast Security Now, episodio 256: LastPass Security.

http://www.twit.tv/sn256

el sitio web en sí está seguro de lo que dicen en el sitio web, y en muchos casos de violación de seguridad son causados ​​por crack de ingeniería social, no por el sistema en sí

Es más seguro que usar la misma contraseña en todas partes. Es menos seguro en cualquier sitio que admita la autenticación de 2 factores.