Er Lastpass Secure?_Sikkerhet Tutorials

Er Lastpass Secure?

Is Lastpass Secure? Anmeldelser Skrevet av Paul laks på 18 august 2014 Legg igjen en kommentar

Lastpass er en populær nettskybasert passord manager som raskt har blitt populært for de som leter etter en enkel løsning for å skape og holde sine passord trygt. Det er mange programvare og cloud-baserte løsninger for å administrere passord, for eksempel RoboForm og KeePass, men for mange brukere - meg selv inkludert -. Lastpass er hva de foretrekker

Selvfølgelig, som med all programvare som lagrer person informasjon, spørsmålet om hvor sikker Lastpass egentlig er har kommet opp i mange diskusjoner på nettet. "Trust No One" mentalitet har fått mange til å tro at med mindre de kan se kilden, vil de ikke stoler på programvaren. Dette er en grunn til mange foretrekker KeePass løpet Lastpass. KeePass er åpen kildekode (kan anmeldt /løst av noen), mens Lastpass er lukket (kan bare bli gjennomgått og endret av utviklerne)

Jeg bifaller og bruker Lastpass for alle mine passord, men har egentlig ikke sett på hvordan Lastpass styrer mine personlige opplysninger, fra den tiden jeg skrive det inn i deres nettleser-tillegg. Jeg var nysgjerrig på hva som sendes til Lastpass, og programvaren gjør akkurat hva utvikleren sier den gjør for å sikre min personlige informasjon. Den gode nyheten er at det finnes måter å finne ut, og i dette innlegget vil jeg dele mine funn, slik at du kan foreta en informert beslutning, ikke bare en beslutning basert på hva andre sier på Internett. Jeg håper at mine tester vil svare på spørsmålet - er Lastpass sikre

Ser inn Hvordan Lastpass Klarer data

Den største bekymringen om sikkerheten -conscious er at Lastpass er stengt, og at den koden som brukes for å sikre data lagret i Lastpass tjenesten ikke kan gjennomgås. Mens utviklingen av programvaren er lukket, er koden ikke er 100% skjult for brukeren.

Lastpass har sagt mange ganger, at koden brukes til å sikre personopplysninger som er lagret i deres tjeneste er skrevet i Javascript. Nå, for de som ikke er webutviklere, er Java et skriptspråk som utfører innen nettleseren på datamaskinen din. Den ene tingen om Javascript er at det kan åpnes og leses på datamaskinen din.

Lastpass-kode er ikke noe annerledes.

Alle med kjennskap til Javascript, dessverre er jeg ikke en slik person, kan lett gå gjennom Javascript brukes av Lastpass som sikrer passord og annen informasjon som sendes til Lastpass servere. Siden jeg ikke er en Javascript-kunnskapsrik person, vil jeg ikke gå gjennom koden skapt av Lastpass, men vil i stedet se på Lastpass sikkerhet fra et annet perspektiv -. Hva som sendes fra datamaskinen til Lastpass

Dette er hvor et gratis verktøy kalt Fiddler kommer hendig. Fiddler tillater meg å overvåke forespørsler som sendes fra datamaskinen til Lastpass server. Med Fiddler verktøy jeg kan se hva som sendes til Lastpass i disse forespørslene, og hva Lastpass serveren sender svar på forespørsler.

Jeg har mange års erfaring med å overvåke nettverkstrafikk på grunn av å være involvert i ytelse testing, at jeg føler meg trygg på å finne ut hva som Lastpass faktisk sender til sine servere fra datamaskinen min

Før jeg fortsetter, men la meg forklare min testing tilnærming:.

Nå som jeg har listet opp de scenarioene jeg vil være testing, kan se på dataene for å se om Lastpass er sikker. Anmeldelser
Test 1: Opprette en ny konto

For denne testen jeg skal lage en ny konto fra nettleseren (Firefox)-tillegget. For å opprette kontoen jeg klikker du bare på Lastpass-tillegget ikonet og klikk deretter på "Opprett en konto".

jeg følger instruksjonene på sine former, fylle den ønskede informasjonen, med e-post og passord vesen det jeg beskrev ovenfor.

1. Bekreft e-post ikke eksisterer i Lastpass

Når du skriver inn e-postadressen din, sender Lastpass en forespørsel til deres server for å bekrefte e-postadressen ikke allerede finnes i deres system. Denne forespørselen skjer etter at du forlater epost-feltet når du oppretter kontoen og forespørselen inneholder følgende spørrestrengen:
Navn
Verdi
checkavailusername [email protected] langen-GBmistype1

Bascially e-posten er sendt til deres server, og systemet svarer med en enkel "ok" melding om e-posten ikke eksisterer, eller "nei" hvis kontoen eksisterer Note Bilde:.
En ting jeg bør nevne er at alle forespørsler sendes til Lastpass server fra i nettleser-tillegget blir sendt via en sikker SSL-tilkobling. Dette betyr at alle henvendelser blir kryptert når de sendes til Lastpass server.

2. Opprett konto

Når resten av skjemaet er ferdig, sender Lastpass kontoinformasjonen til deres server slik at den nye kontoen kan opprettes. Dette er den første forespørselen som vil hjelpe bevise om Lastpass er sikker, så det skjer etter at du har tastet inn hovedpassordet som vil bli brukt av Lastpass for sikkerheten til kontoen din. La oss se på forespørselen sendt til Lastpass for å opprette kontoen:
Navn
Verdi
sentms1408151690427username [email protected] email [email protected] hashef6513d537ecd4d328d87e1e7760bcd447022779444bc3e0950b0941e393493apassword_hintTest passord 18improve1loglogins1timezone2-05: 00,1iterations5000xml 1 language2en-GBamo1requesthashcrunknown1requestsrccrencuser hasplugin3.1.50

Ved gjennomgang forespørselen ovenfor, kan jeg se at Lastpass ikke kryptere min e-postadresse eller passord hint, som gjør det synes uvanlig, men minst forespørsel er sendt over en sikker SSL-tilkobling. Du vil merke at passordet jeg opprettet for kontoen (Password12345678) ikke er sendt i anmodningen, som er veldig interessant. Jeg sjekket alle forespørsler før kontoen er opprettet, og noen av forespørsler etter, og passordet er ikke inkludert i noen av disse forespørslene, så vel. Den virkelig viktig verdi i ovennevnte avtale, er imidlertid den "hash" value

Som Lastpass har sagt mange ganger -. Det ikke tar imot hovedpassordet. I stedet bruker en hash verdi, utledet fra hovedpassordet. Lastpass bruker en funksjon som heter passordbasert Key Derivation Funksjon (PBKDF2) som bruker SHA256 (en hashing algoritme). Lastpass kombinerer din e-post, passord, og et spesifisert antall iterasjoner (i mitt tilfelle, standard 5000 iterasjoner), med PBKDF2 å generere en krypteringsnøkkel (256-bit) som er knyttet til Lastpass-kontoen.

Din kryptering Nøkkelen er ikke hash du ser ovenfor. Krypteringsnøkkelen er ikke i ovennevnte avtale, noe som betyr at krypteringsnøkkelen blir ikke sendt til Lastpass. Denne krypteringsnøkkel har noen formål - det brukes til å kryptere dataene, og den brukes også til å generere hash ovenfor. Krypteringsnøkkelen bare generert, og brukes på din datamaskin.

hash ovenfor som kalles "autentisering hash", og er det som brukes til å autentisere din legitimasjon med Lastpass. Autentiserings hash er generert ved å utføre en annen gjentakelse av PBKDF2 bruker krypteringsnøkkel og passordet ditt. Dette er hasj du se i forespørselen over blir sendt til Lastpass
Obs.
På slutten av dette innlegget kan du laste ned et program jeg har laget som vil tillate deg å lage en krypteringsnøkkel og en autentiserings hash for ulike e-post og passord kombinasjoner. Kilden er inkludert, slik at du kan se hvordan Lastpass beregner både verdier ved hjelp PBKDF2 og SHA256.

Det viktigste om de ovennevnte forespørsel, er at hovedpassordet er heller ikke sendt til Lastpass. Dette er ett punkt som Lastpass har vært om fra begynnelsen, og jeg er sikker på at mange har stilt spørsmål ved utsagnet. Det faktum at ingen av forespørsler som har blitt sendt til Lastpass inkluderer hovedpassordet, beviser Lastpass 'uttalelse om aldri å få hovedpassordet.

3. Logg inn i Lastpass

Når kontoen er opprettet, logger Lastpass deg automatisk på med følgende forespørsel:
Navn
Verdi
sentms1408151692871xml2username [email protected]methodffhashef6513d537ecd4d328d87e1e7760bcd447022779444bc3e0950b0941e393493aversion3.1.50hp0encrypted_usernameBfU+7h76a9q+n7ggVy0bspgVPhObPoc1lKVPP5dFG0o=uuidYZ#USjxD^a5k&cs6k&bCDY@4ZewrRa!^langen-GBiterations5000lostpwotphash otp sesameotp gridresponse multifactorresponse outofbandsupported1 requesthashBfU + 7h76a9q + n7ggVy0bspgVPhObPoc1lKVPP5dFG0o = requestsrccrencuser hasplugin3.1.50

Det som er interessant med denne forespørselen er at brukernavnet er sendt både som ren tekst og kryptert tekst. Jeg er ikke sikker på hvorfor, men Lastpass må ha en grunn. Nok en gang kan du se at autentiserings hash sendes også, men passordet eller krypteringsnøkkelen blir ikke sendt til Lastpass.

På dette punktet har kontoen er opprettet og jeg har vært logget på Lastpass. Enhver forespørsel på dette punktet vil ikke ha noen kunnskap om min hovedpassord, som det er for sent å få den sendt til Lastpass. Hvis du ønsker bevis, fortsette å lese for å se hva som sendes i løpet av de neste par forespørsler som jeg skal teste

Test 2:. Legg et nettsted Pålogging

De største grunner for å bruke Lastpass er å administrere passord for de mange nettstedene du besøker. Det er der sikkerheten til Lastpass må være så sterk som mulig. For denne testen bruker jeg følgende informasjon for et nettsted (jeg har lagt inn manuelt nettsiden til Lastpass)

URL:. Http://www.example.com/login.php
< li> Navn: Eksempel

Brukernavn: tester

Passord: password1

Merknader:. Dette er en test innlogging

Her er en forespørsel sendt til LastPass:
Name
Value
sentms1408154348369ajax1extjs1name!Ak8TxfXbwkCpOsIZNW3MeQ==|yjy/G/U1//l4ycn9C6hhCg==url687474703a2f2f7777772e6578616d706c652e636f6d2f6c6f67696e2e706870grouping username!dyT5dybkq0HbgCYbvsd5cQ==|fgzNv6uOk//371iOtbuFGA==password!lEIb6jJY/3k1a8/1oPhibQ==|KFWn8nfmYsYCmIbLcYer0w==extra!kEjFSalzcun+n4C87UUd3g==|U2iIvu6FI4GvKjQm19sk1Gu7EFPyfsxNS721Ui9Hi+4=aid0openid_url isbookmark0iid requid52344236wxsessid6RVkMSsfr7pEwbmVgSZsI-JfjK9sessonly0tokenMTQwODE1MzQyNC4yOS1WqfhJCcJoiVK8rAzVazfsigO9bXw8CA4y9/V+1tRPow==requesthashBfU+7h76a9q+n7ggVy0bspgVPhObPoc1lKVPP5dFG0o=requestsrccrencuser hasplugin3.1.50

Som du ser i ovennevnte avtale, mottar Lastpass kryptert informasjon om det nye nettstedet. Ingenting om nettstedet sendes i ren tekst. Verdiene er kryptert med krypteringsnøkkel som er generert ved hjelp av e-post, passord og antall gjentakelser du har angitt i kontoen din. Siden krypteringsnøkkelen ikke er sendt til Lastpass - som påvist i forrige avsnitt -. Lastpass kan ikke dekryptere dataene

Foruten å spare website legitimasjon, Lastpass kan også lagre sikre notater, som jeg skal se på neste.

Test 3: Legg en Secure Note

Sikre notater er en annen viktig funksjon i Lastpass som jeg bruker ganske ofte. Jeg pleier å bruke den til å lagre informasjon som jeg trenger for å få tilgang til med jevne mellomrom, men er ikke relatert til et nettsted. På grunn av dette, testet jeg ut å legge en sikker notat for å se hva som sendes til Lastpass

Først, her er data jeg lagret for notatet.

Navn: TestNote

Folder: Secure Merknader

Merk Type: Generic

Notater.
Dette er en test notat

Dette er det andre linje av testen notatet.

Dette er enda en annen linje.

Jeg håper dette er kryptert.

Her er en forespørsel når du legger til et sikkert note:
Name
Value
sentms1408153957654ajax1extjs1name!MDdDJ2eLmqv1oa+mFMzcmQ==|pEMJnS3jzrGYaQiF2FhHVw==url687474703a2f2f736egrouping!ZIdYxUKi2OOJRsrQTO1zOQ==|xiJ4rdAUTEeGSjVj+6K10A==username passord extra!Mq06kTvT7qP5E+sIg8KRVw==|06obw+3+Nbx0kkMDak22aK6+joe34reQUkpFbaF05LUSk7aqGrfIZ9BSFCMVmWStzIWH0AG5Vvc3xI2WHQ+u1JJ+wgsBVVrXf041n1sRfpgNHyxewdVbm/BsjBCP32JNAE2VQW33kMnKrvFhcklIE1kBwVoxopnDyUNg49k5xqo=aid0openid_url isbookmark0iid requid52344236wxsessid6RVkMSsfr7pEwbmVgSZsI-JfjK9sessonly0tokenMTQwODE1MzQyNC4yOS1WqfhJCcJoiVK8rAzVazfsigO9bXw8CA4y9/V+1tRPow==requesthashBfU+7h76a9q+n7ggVy0bspgVPhObPoc1lKVPP5dFG0o=requestsrccrencuser hasplugin3.1.50
Akkurat som Lastpass gjør med nettstedet informasjon, krypterer det verdiene, ved hjelp av krypteringsnøkkelen, for sikker informasjon. Du kan merke at sikre notater ha brukernavn og passord verdier, som er blank. Grunnen til dette er at en sikker notat sender samme forespørsel til Lastpass-serveren som et nettsted tillegg, men siden det ikke er et brukernavn og passord tildelt et notat, er disse feltene bare tomt.

En annen funksjon jeg bruker ofte fordi det sparer meg tid, er evnen til å automatisk ha Lastpass fylle ut skjemaer. La oss se på den funksjonen neste.

Legge til en profil

Hvis du er som meg, får du lei å måtte fylle ut skjemaer som trenger personlig informasjon. Lastpass gir muligheten til å lagre dine personlige opplysninger i ulike profiler, som du deretter kan bruke til å automatisk ha Lastpass fylle på en Web-skjemaet. Selvfølgelig, akkurat som alt annet som du lagrer i Lastpass, må profilinformasjon for å være sikker - spesielt siden det kan inneholde finansiell informasjon

For denne testen, kan se på dataene jeg skal bruke: <. .no>
Profilnavn: Testing

Personlig informasjon

fornavn: Paul

etternavn: Laks
< li> Brukernavn: TechnicallyEasy

Kredittkortinformasjon

Navn på kort: Paul Salmon

Kredittkortnummer: 9999999999999999

Utløps Dato: august 2014

Sikkerhetskode: 999

Forespørselen sendes til Lastpass serveren fra min datamaskin kan sees below:
Name
Value
sentms1408238380403ffid0profiletype0profilename!jgETje+aOXsWl4V+xL+aeA==|VE6as6ydWnZ3Ph3AtYcPEg==profilelanguage!78URLBm/sr+jGrIJyiFDbA==|c0zvRiWWU0c0ERYkrxeQaw==firstname!wdwkZK7F1L2AKj6WF7SVjg==|aF4aAbenFmrTOggxIFRUFg==middlename etternavn 8 /cJ0j8z87OcTJcg1EiByA == |! Ahx5TthD4ZOsPtlZVvhpqw == lastname2 firstname2 firstname3 lastname3 epost mobileemail selskap SSN bursdag kjønn tittelen Adresse 1 Address2 address3 by fylke state_name tilstand zip country!palH/g7LShVer319Hwu47Q==|SnsIPRliQksoFiVV2Voo4g==country_cc3l!f+9sdzrY0maeU17LNAP4uw==|0YcKjmHEDQX979/bDg6HVQ==country_name!B0xxqYuFYAfdUSk3Th6wVA==|/W6iFMz9fKb35Gu8Q3g7vA==phone3lcc evephone3lcc fax3lcc mobilephone3lcc telefon evephone faks mobiltelefon phoneext eveext faxext mobileext ccname!UsUa3+4CDFNRNJFunjeowg==|jlgOqtFhYzXKvxdFgA27IQ==ccnum!hxYY9X5tcfTr7m8tUZ8CqQ==|4cvtvCMh4Uovdgl/Ni2rhyMdeFiO3XUdKhVobkJ4Jbc=ccstart ccexp!hD3ybkU5QotaDK3z/meMpQ==|7k0Pe8b/X6BYDLElzYdIWg==cccsc!ss+APFgus+LpMMFuvTrIuA==|gQ8dndrv1rJ6ynmw05pH+g==ccissuenum username!dTqlKzFD22WUs9PsRDNpxw==|w1qvEtkQCsL6QL3P2fvY2A==timezone!mh1a8jVcn6dOGsJSB+xUEA==|7GlcCa9ZL//iRGmL4e1tfQ==bankname bankacctnum bankroutingnum customfield1cfid0customfield1text customfield1value customfield1alttext customfield2cfid0customfield2text customfield2value customfield2alttext customfield3cfid0customfield3text customfield3value customfield3alttext bemerker IID requid52344236wxsessidm8PIodTsIw8qge6wGEGURoWtvYdsessonly0requesthashBfU+7h76a9q+n7ggVy0bspgVPhObPoc1lKVPP5dFG0o=requestsrccrencuser hasplugin3.1.50
Som du kan se forespørsel om å legge til en ny profil er større enn for å legge til en nettside eller sikker informasjon. Dette er fordi det er mange flere felt som du kan fylle ut for en profil. Mens det er mange flere felt, er en ting det samme: Lastpass krypterer alle verdiene (inkludert de verdiene som ble fylt i som standard) før du sender forespørsel til Lastpass server. Dette betyr at selv din kredittkortinformasjon er kryptert, slik at du ikke trenger å bekymre deg for å lagre slik informasjon med Lastpass.

Før jeg konkludert med sikkerheten til Lastpass, var det enda en test som jeg ønsket å prøve. Alle tidligere testene ble utført mot Lastpass browser plugin, som er det jeg bruker 99% av tiden. Den siste testen jeg ønsket å kjøre skulle logge inn på min konto fra Lastpass nettstedet

Test 5:. Innlogging på Lastpass Nettstedet

Mens mesteparten av tiden jeg logger inn Lastpass fra nettleseren plugin, det er tider jeg trenger å logge inn i selve Lastpass nettside. Jeg hovedsakelig logge inn på nettsiden når jeg trenger å endre en sikkerhetsinnstilling, som det er det eneste stedet hvor det kan gjøres. Siden jeg bruker nettstedet, ønsket jeg å kontrollere at innlogging er like sikker som nettleseren plugin

data jeg bruker er det samme som tidligere forespørsler -. Med min testing konto. Etter å ha klikket på "Logg inn" -knappen på Lastpass nettstedet, som bruker SSL, min datamaskin sendt flere forespørsler til Lastpass-serveren:

1. Få gjentakelser Antall

Selv om jeg ikke er helt sikker på hva alle forespørsler gjøre, jeg har utført en gjetning basert på analyse av forespørsler. Den første forespørselen synes å hente køyring teller for brukernavnet. Forespørselen sendes var:
Navn
Verdi
epost [email protected]
svar på denne forespørselen var rett og slett antall gjentakelser - i mitt tilfelle "5000" <. br>
2. Utfør Logg inn

Deretter vises Lastpass å utføre loggen, da det er en lignende forespørsel til forrige innlogging forespørsel som jeg har sett. Her er den request:
Name
Value
methodwebhashef6513d537ecd4d328d87e1e7760bcd447022779444bc3e0950b0941e393493axml1adlogin brukernavn [email protected] fullusername encrypted_usernameBfU + 7h76a9q + n7ggVy0bspgVPhObPoc1lKVPP5dFG0o = otp gridresponse multifactorresponse trustlabel uuidYZ # USjxD ^ A5K &cs6k &bCDY @ 4ZewrRa! ^ sesameotp lcid lcidhash domene iterations5000origusername outofbandsupported1outofbandrequest0outofbandretry0outofbandretryid epost [email protected] password
Igjen, e-postadressen er sendt som både en ren tekst og kryptert tekst, men hovedpassordet, eller kryptering, ikke blir sendt til Lastpass. Godkjennings hash som vi har sett tidligere, er beregnet og sendt i løpet av denne forespørselen

3.. Vise Vault Mal

Følgende forespørsel var rart for meg, hovedsakelig på grunn av svaret jeg fikk. For det første er det her request:
Name
Value
fromindex1ac1lpnorefresh1fromwebsite1newvault1xmlerr1hasplugin3.1.50hasplugin1wxsessidlMuaygznLKy0OToiRvZSve59vE6username[email protected] _dc1408232242995
Grunnen til denne forespørselen er rart er fordi responsen som ble returnert var selve HTML for hvelvet nettsiden. Det var ingen kontoinformasjon på nettsiden, så det så mer ut som malen. Den neste forespørsel, men fikk meg til å tenke at Lastpass sendt malen av hvelvet webside, og deretter den siden sendte følgende forespørsel til serveren.

4. Utfør Logg inn Sjekk

Det virker som en gang hvelvet siden er sendt fra Lastpass, det gjør en forespørsel til serveren for å utføre en logg i sjakk, fordi responsen var lik det jeg har fått fra tidligere innlogginger. Uansett, her er det request:
Name
Value
sentms1408232243105version3.1.50methodffhp0uuidYZ#USjxD^a5k&cs6k&bCDY@4ZewrRa!^wxsessidlMuaygznLKy0OToiRvZSve59vE6requesthashcrunknown1requestsrccrencuser hasplugin3.1.50
Nok en gang, anmodningen ikke inkluderer enten hovedpassordet eller krypteringsnøkkelen for å gjøre sjekk.

Oversikt

Sikkerheten implementert av Lastpass har blitt avhørt mange ganger online, hovedsakelig på grunn av den lukkede-utvikling tilnærming for tjenesten. Som jeg nevnte tidligere, det meste av det som Lastpass genererer er gjort av Javascript, slik at det kan bli anmeldt av alle med Javascript kunnskap.

Men siden jeg ikke er veldig kjent med Javascript, tok jeg en annen tilnærming ved å overvåke og gjennomgå forespørsler sendt av Lastpass fra min datamaskin til Lastpass server. Med at jeg kan konkludere med noen ting:..