像LastPass这样的密码管理器有多安全？

#1 楼

我们应该区分离线密码管理器（如Password Safe）和在线密码管理器（如LastPass）。

离线密码管理器承担的风险相对较小。确实，保存的密码是单点故障。但是，您的计算机也是单点故障。破坏的最可能原因是计算机上感染了恶意软件。没有密码管理器，恶意软件可以安静地坐下并捕获您使用的所有密码。使用密码管理器，情况会稍差一些，因为一旦恶意软件捕获了主密码，它就会获取您的所有密码。但是，谁在乎您从未使用过的产品呢？从理论上讲，密码管理器可能被特洛伊木马或有后门-但这对于任何软件都是如此。我相信像Password Safe这样的广泛使用的密码管理器感到很自在。

在线密码管理器的显着优点是您的密码可以在任何人的计算机上使用，但同时也带来了更多的风险。部分原因是在线数据库可能被破坏（无论是通过黑客攻击，法院命令，内部恶意软件等），而且由于LastPass与浏览器集成，因此攻击面更大，因此可能存在技术漏洞（在独立应用程序中不太可能发生）例如密码安全）。

现在，对于大多数人来说，这些风险是可以接受的，我建议为大多数密码使用像LastPass这样的密码管理器的方法要比在各处使用相同的密码更好。 -这似乎是主要的选择。但是我不会在其中存储每个密码。努力记住最重要的密码，例如网上银行。

我知道有人不会使用Password Safe，而是拥有一个带有混淆密码的物理笔记本。这款笔记本显然可以更安全地防御恶意软件……是否存在更大的丢失/被盗风险是一个有趣的问题。

#2 楼

[披露：我为1Password的制造商AgileBits工作。因为我不宜对竞争对手的安全体系结构发表评论，所以我将在总体上解决问题，并且只谈论1Password。]

是的。密码管理器会造成单点故障。您将所有鸡蛋都放在一个篮子里。我显然认为，设计良好的密码管理器是正确的选择。但最终，这是每个人都需要自己做出的选择。

看一下如何保护该篮子非常重要。使用1Password，您可以读取有关数据存储方式的详细信息。尽管我们大量使用PBKDF2，但是人们选择一个好的主密码非常重要。我看到的唯一确认过的1Password数据泄露案例是某人使用与未加密的POP3 / HTTP Road Runner电子邮件相同的主密码。她的Dropbox帐户也使用了相同的密码，该密码也已被接管，这是我们假定攻击者获取1Password数据的方式。

对于信任密码管理器背后的人来说，这很棘手题。我确实认为可以肯定地说，从事密码管理业务已有一段时间的任何人都不会冒险尝试从银行凭证或信用卡中获得额外收益。即使我们一心一意，这也将是不好的生意，因为仅仅怀疑这种方案会使供应商破产。在黑市上批量购买时，被盗的信用卡详细信息每张售价不超过1美元。银行凭证大约是其五倍。数学对于那些靠销售密码管理工具为生的人不起作用。

如前所述，在某些方案中，数据永远不会以任何格式发送给供应商。 1Password确实如此。我们从未见过有人使用1Password。但是，为了跨系统同步数据，我们确实依赖第三方同步系统。因此，如果您使用Dropbox同步数据，则加密的数据可能会从Dropbox以及从您自己的计算机上被盗。您应始终假定捕获加密数据的可能性极小。然后回到您的数据加密程度，这是需要仔细研究的问题。

关于信任密码管理系统的供应商的其他问题归结为信任我们的能力和信任我们没有被强迫/贿赂/“说服”以允许后门进入系统。这要复杂得多。供应商如何处理发现的安全漏洞？产品的行为和设计中有多少是可以独立验证的？创建者是否了解他们正在使用的加密货币？

对于像1Password这样的系统，该系统没有来自用户的任何数据，政府机构几乎没有理由与我们联系（同时我们还没有。）同时，您应该假设政府确实有权访问您存储在同步系统上的数据。因此，再次回到如何加密数据的问题。

#3 楼

免责声明：我创建了PfP：无痛密码作为一种爱好，可以将其视为LastPass的竞争对手。

我已经多次调查了多个密码管理器的安全性问题。特别是，到目前为止，我已向LastPass报告了十二个安全问题，并分析了导致这些问题的设计决策。因此，尽管paj28给出了关于密码管理器的很好的一般回答，但我可以提供一些细节。

当人们谈论在线密码管理器的安全性时，他们通常将重点放在服务器安全性上。重点在于危害服务器的难易程度以及随后将发生的情况。但是，这只是一种攻击手段，因为攻击本地密码管理器实例可能会导致相同的结果。实际上，攻击浏览器扩展可能是一个更有前途的行动，因为数据已经在那里解密了，并且您不会在任何日志中留下痕迹。

让我分别看一下这两个方面。

攻击浏览器扩展

LastPass浏览器扩展中有很多有关漏洞的历史数据。所有这些漏洞都可以被任意网页利用。至少，它们是：



自动填充功能存在缺陷（Mathias Karlsson）

公开的内部API（Tavis Ormandy）

三个LastPass扩展漏洞（确实是您）


AutoFill的另一个缺陷（LastPass认为无法利用，后来被Tavis Ormandy证明是错误的）
另一个公开的内部API
远程执行代码，完全扩展折衷



AutoFill（Tavis Ormandy）仍然存在缺陷

再次公开内部API（Tavis Ormandy）

，再一次公开内部API，导致远程执行代码（Tavis Ormandy）

您注意到这里的模式了吗？ LastPass多年来一直在努力确保其自动填充功能的安全并限制对其内部API的访问。每次有新报告证明其先前的修补程序不完整时。

现在密码管理器无法安全地实施AutoFill并不稀奇，当我检查时，大多数密码管理器在此方面都存在问题。尽管完全可以避免，但这些问题很常见，以至于我什至编制了一份清单，并附有建议，以免陷入陷阱。

但是内部API问题非常明显。 LastPass以多种不同方式将此API公开给网站。本来应该限制在lastpass.com上，但是逻辑是如此复杂，以至于过去曾多次绕过这些限制。尽管LastPass尽其最大努力在官方公告中轻描淡写了严重性，但每一个这些问题都使网站可以一次读出所有密码。更糟糕的是，Tavis Ormandy的最新报告证明了内部API可用于使二进制LastPass组件在用户计算机上执行任意代码。暴露内部API的所有先前缺陷可能也可以做同样的事情。

当然可以问为什么LastPass未能正确限制对内部API的访问。但是更好的问题是，为什么此API完全公开给网站。这是因为LastPass功能的重要部分未包含在扩展中，而是依赖LastPass网站来工作。这是一个非常有问题的设计决策，但到目前为止，LastPass似乎对修复它不感兴趣。

攻击服务器端数据

让我们清楚地说明一下：我们不信任服务器。这并不是说我们特别不信任LogMeIn，Inc.-至少不超过任何其他公司。但是我们的密码是非常敏感的数据，即使是最道德的公司也可能会有流氓员工。此外，美国当局要求他们提供您的数据的可能性，甚至与刑事调查无关。不必担心服务器被黑客入侵的可能性，就像已经发生过一次一样。

因此，对服务器上的数据进行加密并且对任何掌握它的人来说都是无用的，这一点非常重要。但是，有什么可能阻止攻击者解密它呢？恰好一件事：他们不知道您用于导出加密密钥的主密码。因此，关键问题是：LastPass是否足以保护您的主密码和加密密钥？

在这一方面，我不知道任何公开的研究，但我自己研究的大部分都写在了这篇博文中。我在这里的结论是：LastPass在这里存在许多设计缺陷，有些缺陷现在已经解决，而其他一些缺陷仍处于活动状态。

强行强制使用主密码

如果攻击者获得了密码，掌握一堆加密数据后，最直接的解密方法是：猜测用于导出加密密钥的主密码。您可以在任何可以买得起的硬件上在本地尝试无限数量的猜测，因此此过程将相对较快。

LastPass使用PBKDF2算法从主密码中导出加密密钥。虽然不如bcrypt，scrypt或Argon2等较新的算法，但该算法具有使密钥派生速度变慢的重要特性，因此，在本地进行猜测的攻击者将变慢。所需的时间与迭代次数成正比，这意味着：迭代次数越多，猜测主密码的难度就越大。

长期以来，LastPass的默认值为5,000次迭代。这是一个极低的值，几乎没有提供保护。我计算出单个GeForce GTX 1080 Ti显卡可用于每秒测试346,000个猜测。这足以在不到一个小时的时间内通过各种网站泄漏已知的十亿多个密码访问数据库。

在我的报告之后，LastPass将默认值增加到2018年中的100,000次迭代，这远远超过了充足。当然，如果您是一个重要的目标，可以期望在猜测主密码时抛出状态级别的资源，那么您仍然应该选择一个非常强大的主密码。

将数据保存到bruteforce

我在2018年初的发现之一是脚本https://lastpass.com/newvault/websiteBackgroundScript.php可以由任何网站加载。该脚本同时包含您的LastPass用户名和一条加密数据（RSA专用密钥）。由于您的LastPass用户名也是密码派生盐，因此所有人都需要在本地对您的主密码进行暴力破解。

当然，此问题已得到快速解决。但是，该缺陷非常明显，以至于我不知道自己是否是第一个发现它的人。虽然我敦促LastPass检查他们的日志，以查看是否存在该漏洞在野外被利用的迹象，但据我所知，这项调查从未发生过。

作为无效保护的“服务器端回合”

继2011年发生安全性事件之后，LastPass实施了附加的安全性机制：除了客户端上的PBKDF2迭代外，它们还将在服务器上添加100,000次迭代。因此，从理论上讲，如果有人可以从服务器上获取数据，则这将增加猜测您的主密码所需的工作。

在实践中，我可以最终证明这些额外的100,000次迭代仅应用于密码哈希。其他所有用户数据（密码，RSA密钥，OTP等）仅使用从您的主密码本地派生的加密密钥进行加密，此处无附加保护。结论：这种额外的“保护”是对服务器资源的完全浪费，并且不会提供任何价值。

进入后门

无论防护多么弱，暴力攻击对于最强的主密码始终无效。但是，LastPass的设计包含大量后门，这些后门可让您无需花费任何精力即可解密数据。

Web界面

LastPass方便地为您提供了访问Web界面您的密码而无需浏览器扩展程序的帮助。但是，此功能是一个陷阱：每当您在Web上的登录表单中输入主密码时，都无法知道在将主密码发送到服务器之前是否会用PBKDF2对主密码进行散列或是否将其以明文形式传输文字。

还记得我们不信任服务器吗？然而，对服务器提供的JavaScript代码进行简单修改就足以破坏您的所有密码。即使您检查了该JavaScript代码，也有太多内容使您无法注意到任何内容。并且可能只向特定用户提供修改后的代码。

帐户设置

即使您始终使用浏览器扩展程序，无论何时转到帐户设置它将加载lastpass.com网站。再次重申，您将无法得知该网站不会遭到破坏，也不会在后台窃取您的数据。

扩展功能的其他几部分也通过回退来实现到lastpass.com网站，而LastPass在这里看不到该问题。

恢复OTP

LastPass具有一次性密码（OTP）的概念，如果您忘记了主密码，则可以使用该密码从帐户中恢复数据。这些OTP可以解密您的数据，但通常服务器不知道。

为使恢复更加可靠，LastPass默认情况下会自动创建恢复OTP并将其存储在扩展数据中。这里的问题是：恢复过程的设计方式是，扩展名将立即为lastpass.com提供按需恢复OTP的功能，甚至无需通知您。因此，受到感染的LastPass服务器可能会要求扩展程序要求您进行恢复OTP并使用它来解密您的数据。

根据LastPass，此问题已在2018年8月得到解决。我不知道他们如何解决的但是，至少我在他们的代码中看不到任何明显的解决方案。

暴露加密密钥

在很多情况下，扩展会将您的本地加密密钥直接公开给LastPass服务器。这旨在帮助基于Web的LastPass功能与浏览器扩展更好地集成，但是可以消除在本地加密数据的影响。以下操作都是有问题的：


打开帐户设置，安全挑战，历史记录，书签，信用监控
链接到个人帐户
添加身份
/>如果未安装二进制组件则导入数据
打印所有站点
单击违规通知

最后一个尤为严重，因为LastPass服务器可以向您发送违规信息随意通知。因此，这使LastPass可以随时访问您的数据，而不必等待您自己使用有问题的功能。

更多设计缺陷


正如您在登录时打开https://lastpass.com/getaccts.php所看到的那样，LastPass保管库绝不是加密的数据块。相反，它到处都是加密数据，而其他字段（例如与帐户对应的URL）仅使用十六进制编码。此问题在2015年的演讲中指出，此后更多字段被加密-但是到目前为止，并非所有字段都被加密。特别是，我提交的一份报告指出，未加密的等效域允许LastPass服务器修改该列表并以这种方式提取您的密码。根据LastPass的要求，此特定问题已于2018年8月得到解决。
相同的演讲也谴责LastPass使用AES-ECB进行加密。除其他外，它会泄露您的密码相同。从那时起，LastPass一直在过渡到AES-CBC，但是当我查看“保险库”时，我在那里看到了一堆AES-ECB加密的凭据（您可以知道，因为AES-ECB只是base64编码的Blob，而LastPass AES-CBC的变体以感叹号开头）。
自动创建恢复OTP并将其存储在扩展数据中，这意味着任何有权访问您的设备和电子邮件地址的人都可以访问您的LastPass帐户。这实际上是有据可查的，被认为是低风险的。也许您的一位同事以您的名字发送电子邮件对您进行了恶作剧，因为您忘记锁定计算机了-即使您退出了LastPass，下一次他们也可能会接管您的LastPass帐户。
说退出后，默认的会话到期时间为两周。尽管肯定很方便，但是有一个原因，为什么大多数处理敏感数据的产品的会话有效期间隔要短得多，通常远低于一天。
为了将值与秘密（例如，作为签名）组合，通常将使用SHA256-HMAC。 LastPass改用自定义方法，两次应用SHA256哈希。虽然HMAC旨在解决的攻击在这里似乎没有发挥作用，但我不会押注某个拥有更好的加密知识的人，而不是我毕竟在这里找不到漏洞。另外，服务器端偶尔也会产生一些SHA256令牌-我想知道在我看不见的地方发生了什么样的Humbug，以及它是否真的安全。

#4 楼

杰弗里（Jeffery）的答案特别有见地-主要风险在于经济学。最大的威胁之一可能是密码管理器失败（密码管理者没有为其作者赚到足够的钱）。恶意行为者可以通过购买产品并更改程序以向自己发送数据（可能以难以检测的方式）来“拯救”开发人员。因此，重要的是要确保您使用的密码管理器对其作者来说在财务上看起来很成功。

最近，我对使用了很长时间的密码管理器应用感到不安（以前已付款）对于）。开发似乎已基本停止，该应用已免费（在我看来，这是一个大信号），而且所有权可能已经易手。我已切换到另一个应用程序，但是很难知道我的数据是否受到破坏。

#5 楼

您的密码真的安全吗？

我使用过Lastpass，我一直想知道我们如何确定它们不会将主密码与数据库一起发送到其服务器。他们甚至可以将客户端设置为轮询服务器，并且仅针对特定用户执行此操作，以防止发现。当然，这涉及到《国家安全局和爱国者法案》，或其他可能迫使公司采取此类行动并将其保密的机构。

忘了NSA

对我来说，确保一切安全不受代理机构的影响与对我的登录信息保密是不同的。我想对他们保密，但是他们只是拥有太多不同的资源和人力，我只能付出努力。如果他们专门针对我，我可能迷路了。他们可以入侵我的家庭路由器，我的电话，我的笔记本电脑，安装按键记录器等，而我却一无所知。具有法律权力的代理商（即使我们不同意或它们来自其他国家）也将难以制止。

因此，只需忘掉NSA和GCHQ等-因为它不会在任何地方使我们成为普通人。好吧...在这种情况下，就算了吧。

Lastpass或Keepass或...？

如果默认情况下Lastpass会上载我们的密码，并且如果被发现的话，将会带来很大麻烦。我已经使用Lastpass大约一年了，但是由于它与浏览器的交互方式而停止了使用。我不喜欢将下拉菜单插入Web表单的侵入性方法，这减慢了我的浏览器的速度。当我使用Lastpass时，我将其用于所有琐碎的论坛，在这些论坛中，丢失密码或登录并没有多大关系。对于更严重的密码，我使用Keepass。

我使用Keepass已有多年了。 Keepass安全吗？离线！但是您确定它永远不会发送数据吗？我用它登录到亚马逊，苹果，ISP，贝宝，大商店等网站-简而言之：那些拥有我的信用卡号的网站。

我会记住一些密码，除了我的脑海，别无他法。

#6 楼

像这样的某些服务提供了云“便利”，而其他服务则没有。如果您允许将密码存储到云中，那么您将对应用程序更加信任，因为检索代表所有用户存储的密码的数据的攻击来源单一。假设这些密码是为每个用户唯一加密的，则可以减轻风险，但是无论减轻多少风险，这仍然是一个攻击点。

与仅在本地存储密码的应用程序形成对比（或使您能够手动迁移数据库）。在这里，您的努力程度可能会更高，但是攻击点可能位于您可能拥有更多控制权的计算机上，并且由于只包含密码，因此攻击点就没那么有趣了。当然，这并不能完全免疫您。当然，可以写出特洛伊木马来寻找这些东西并将其发送到其他地方。

最重要的是，为了方便起见，您必须决定在哪里权衡安全性，但是在大多数情况下，这当然是一个权衡（如果不是全部）情况。我个人对此的看法是，如果我不编写应用程序，那么我将不知道它在做什么，而我不太可能信任它。

#7 楼

以下是一些您可能会感兴趣的论文：

“密码管理器：风险，陷阱和改进”（2014年）



摘要：
我们研究了流行的密码管理器的安全性及其在网页上自动填写密码的策略。我们检查浏览器内置的密码管理器，移动密码管理器和第三者管理器。我们表明，密码管理器之间的自动填充策略存在显着差异。许多自动填充策略可能会导致灾难性的后果，其中远程网络攻击者可以从用户的密码管理器中提取多个密码，而无需与用户进行任何交互。我们尝试使用这些攻击以及增强密码管理器安全性的技术。我们展示了我们的增强功能可以被现有的管理人员采用。


“两个商业浏览器和基于云的密码管理器的漏洞和风险分析”（2013年）


摘要：
Web用户面临着管理越来越多的密码以保护他们在不同的在线服务上的宝贵资产的艰巨挑战。密码管理器是最流行的解决方案之一，旨在通过保存用户密码并随后代表用户自动填写登录表单来解决此类挑战。所有主要的浏览器供应商都提供了密码管理器作为内置功能。第三方供应商还提供了许多密码管理器。在本文中，我们分析了两种非常流行的商业密码管理器的安全性：LastPass和RoboForm。它们都是基于浏览器和基于云的密码管理器（BCPM），并且它们在全球都有数百万的活动用户。我们研究这两个BCPM的安全性设计和实现，重点是它们的基本加密机制。我们确定了几个严重，高和中风险级别的漏洞，不同类型的攻击者可能会利用这些漏洞来破坏这两个BCPM的安全性。此外，我们提供一些一般性建议，以帮助改善这些和类似BCPM的安全性设计。我们希望我们的分析和建议对其他基于云的数据安全产品和研究也有帮助。

https://www.wilderssecurity.com/上详细介绍了纸的下载位置和其他一些相关论文。 threads / password-manager-security-papers.365724 /，这是我创建的论坛线程。

#8 楼

要求是对凭据的脱机访问。例如，一个小型笔记本，上面写有您希望从世界任何地方访问的所有银行，商店，网站，甚至密码锁，地址以及所有其他详细信息的所有安全详细信息。

可以在线访问凭据，但这并不完美，因为在访问任何详细信息之前，您需要靠近连接互联网的PC。

在线系统还会给黑客，政府和网守公司的个人员工带来风险，使他们窃取数据或在需要时不可用。在“丝路”上阅读有关反复出现且持续丢失个人信息的示例。

更好的解决方案是随身携带的硬件设备，例如微型USB记忆棒，其中包含一些简单的软件在您将信息插入PC或Mac时可以对其进行存储和加密以及检索。理想情况下，它将具有蓝牙功能，以便可以在您的手机上进行访问。为此，可能需要一些小电池。而且，如果您不在任何计算机/移动电话附近，并且仍然需要访问存储的数据，那么它可能会带有一个小的LCD屏幕，例如那些RSA安​​全密钥卡-可用于访问信息的小显示屏。整个东西不必大于信用卡或Zippo打火机。它也可以有一个可移动的micro SD卡，其中可以包含所有信息的备份（当然是加密的），这样，如果丢失了物理设备，就不会遭受完全的数据丢失。

我认为这是最好的解决方案。 （1）可以在有或没有PC和Internet访问的任何地方访问（2）完全本地存储的数据，而没有第三方在任何地方构成安全风险和依赖性。

另一种方法是电子邮件。我们大多数人都有yahoo或google电子邮件或其他一些在线电子邮件。而且，我们在Yahoo服务器上存储了数千封电子邮件，其中包含大量的个人信息，包括地址，电话号码，帐户详细信息甚至密码。这项权利是一个巨大的个人信息存储库，它在线存储，可以通过简单的浏览器在任何人的PC上使用，甚至可以在智能手机上使用。对于最敏感的数据，您可以设计一种个人加密方法，因此尽管电子邮件是明文，但数据还是以某种方式加密，只有您自己知道。

#9 楼

我发现OSX钥匙串是保存密码和相关信息的理想场所。新的IOS和iCloud集成则更是如此。对我来说，便利性，可用性和安全性之间的平衡是可以接受的。

我希望苹果公司在内部运作方面更加透明，因此我不必完全基于第三方逆向工程来进行评估;但是话又说回来，如果唯一可用的信息也来自苹果，我也会有同样的感觉。

#10 楼

我认为，有比尝试破坏LastPass的加密更简单的方法来窃取密码。例如键盘记录。如果您确实认为自己的凭据有危险或被黑客入侵，则应使用干净的Linux计算机。选择一个真正的硬密码（24个字符？）。