LastPass: Er det passordbehandleren for deg?

Jeg går inn for å bruke passordledere. Men brukere skyver tilbake, og forklarer at de er tungvint å bruke. Frem til nå kunne jeg ikke argumentere for det poenget.

-------------------------------------------------- -------------------------------------------------- ----------

To ting fikk dette innlegget. Den siste artikkelen min, "Har brukere rett i å avvise sikkerhetsråd, " ga en mengde spørsmål om passord og kostnadene ved bruk av sikre. Den andre har vært min søken etter å finne en passordbehandling som brukere vil sette pris på. Det er ikke offisielt, men jeg har kanskje snublet over noe som vil hjelpe oss alle.

Lastpass

Drama til side, viser jeg til en app som heter LastPass. Vanlig og enkel, det er ikke din vanlige passordbehandling. For at det gjør det, men gjør det så mye mer, for eksempel:

  • Konfigurerbar skjemautfylling
  • Flere autentiseringsalternativer for flere faktorer
  • Synkroniserer på tvers av nettlesere / datamaskiner
  • Mulighet for å lagre informasjonsnotater sikkert
  • Frittstående applikasjoner for mobile enheter
Bli bedre kjent med LastPass

Funksjoner er viktige, men hvis du er som meg, forstår alt om et program som sikrer passordinformasjonen min på toppen. Derfor oversvømte jeg Joe Siegrist fra LastPass med følgende spørsmål. Her var hva han hadde å si:

TechRepublic : Hva førte til utviklingen av LastPass? Siegrist : LastPass har fire grunnleggere. Som de siste 10 årene jobbet sammen, og skapte en betydelig programvare som en tjenestevirksomhet for finansielle serviceselskaper. For to år siden var vi klare for en ny utfordring. LastPass er resultatet av et behov vi så og basert på vår akkumulerte erfaring.

Vi hadde også flaks: det hadde vært vanskelig for oss å samarbeide hvis Maryland fortsatt spilte Penn State i fotball hvert år. Lojalitet til alma-maters løper dypt.

TechRepublic : Kan du beskrive hvordan LastPass fungerer, nærmere bestemt samspillet mellom den lokale LastPass-klienten og LastPass.com? Siegrist : LastPass installerer et tillegg i nettleseren for å fange brukernavn og passord når du skriver dem inn. De innfangede dataene blir kryptert, lagret lokalt og sendt til LastPass-servere. På den måten er tilgang ikke bare begrenset til den ene datamaskinen. TechRepublic : Jeg forstår at Last Pass er basert på Host-Proof-hosting, kan du vennligst forklare hva det betyr og fordelen det gir? Siegrist : LastPass benytter vertssikre hostingteknikker for de mest sensitive dataene dine (brukernavn, passord, nettstednavn, gruppenavn, notater, feltverdier, alle skjemautfyllingsprofildata osv.). Kjernekonseptet bak vertssikker hosting er at bare klienten har tilgang til dataene fordi de sendes til LastPass-serverne i en kryptert form.

Den viktigste fordelen er en reduksjon i hvor mye du trenger å stole på LastPass. Du kan bekrefte at dataene dine blir kryptert lokalt, og fordi det er, ansatte i LastPass har ikke tilgang til dataene dine på serverne. Det var også viktig for oss fra et ansvarsperspektiv. Hvis vi aldri har klartekstdataene på serverne våre, kan de ikke hackes. En ansatt kan heller ikke være useriøs og se på disse dataene.

TechRepublic : LastPass bruker det som kalles saltet hasj, kan du forklare hva det er og hvorfor bruke det er viktig? Siegrist : Det er to problemer vi vurderte:
  • Et flertall av nettsteder lagrer passord som ren tekst.
  • Et flertall brukere bruker det samme passordet igjen og igjen.

Sikkerhetsbevisste nettsteder bruker enveis hasj (en matematisk funksjon som gjør input til et langt og uopprettelig nummer) for å lagre passorddata. Det er en god start, men mottakelig for databaser kjent som Rainbow Tables. For å unngå denne risikoen legges tilfeldige data (kjent som salt) til ren tekst før hashing. Å gjøre det gjør Rainbow Tables ubrukelige. LastPass tar dette et skritt videre:

  • Brukerens påloggings hash saltes med brukernavnet lokalt.
  • Den nye hasjen sendes til LastPass-servere.
  • Hashen saltes igjen med et tilfeldig 256-bits nummer før det lagres.
TechRepublic : Du nevner at LastPass er overlegen passordbehandlere som brukes av nettlesere. Hvorfor det? Siegrist : Den største risikoen med innebygde passordbehandlere er hvordan malware kan stjele passord direkte fra passordbehandleren din. For de som ikke tror at dette er mulig, kan du prøve vårt Windows-installasjonsprogram og se om det finner lagrede passord. Hvis LastPass kan finne passord, kan også skadelige applikasjoner. Under installasjonen importerer LastPass alle funnet passord, og renser deretter alle spor fra datamaskinen.

En annen fordel er hvis du har flere datamaskiner. Med LastPass trenger du ikke bekymre deg for å legge inn passorddataene på hver datamaskin på nytt. Du installerer ganske enkelt tillegget på den andre datamaskinen og logger inn.

TechRepublic : Jeg leste at du laget spesielle bestemmelser for folk som bruker offentlige datamaskiner. Vil du forklare hvilke sikkerhetstiltak du har lagt til? Siegrist : Offentlige datamaskiner kan være et fiendtlig miljø. Så vi har inkludert måter å redusere risiko på:
  • Engangspassord : Lar deg skrive ut en passordliste og bruke hver gang til å logge inn.
  • Skjermtastatur : Kan brukes til å beseire nøkkelloggere.
  • Alternativer for autentisering av flere faktorer : Hvis passordet er kompromittert, er det fortsatt en annen faktor som beskytter deg.
TechRepublic : LastPass er i stand til å bruke mer enn en type multifaktor-godkjenning. Hva er mulighetene? Siegrist : Vi har for øyeblikket tre tilgjengelige, med noen få som kommer snart:
  • Rutenett : Vårt gratis tilbud, lar deg skrive ut et sett med 260 koordinater og svar. LastPass vil utfordre deg til å oppgi verdien av fire koordinater for å bevise at du er den du sier du er.
  • Sesame : Inkludert i LastPass Premium lar Sesame deg gjøre en USB-tommelstasjon til en annen faktor.
  • Yubikey : En enhet som fungerer som et USB-tastatur som sender ut et passord på én gang når det er aktivert. LastPass verifiserer deretter passordet med Yubicos servere. Du må kjøpe dette separat og ha LastPass-premie for å kunne bruke den.
TechRepublic : Jeg la merke til at du tilbyr LastPass Premium. Hva er fordelene ved å bruke betalingsversjonen? Siegrist : Den største fordelen for folk flest har vært våre mobiltelefonapplikasjoner. Vi tilbyr for øyeblikket tilbud på iPhone / iPod Touch, Android, BlackBerry, Windows Mobile, Symbian og Palm webOS. Alternativer for autentisering av flere faktorer er også en del av LastPass Premium. Vi slår også av all annonsering og prioriterer støtte for våre Premium-medlemmer. TechRepublic : Det er en LastPass Enterprise, hva er annerledes med det, og hvordan kan det hjelpe selskaper? Siegrist : LastPass Enterprise inkluderer alt i LastPass Premium. Deretter utvides den til funksjoner som er nyttige i virksomheten, inkludert større kontroll, logging og deling:
  • Du kan konfigurere kontoer som skal deles (som "Roller"), og de blir automatisk akseptert av brukerne dine.
  • Når du gjør en endring i en delt konto, kan den skyves ut til brukerne dine og akseptert automatisk.
  • Endring av passord på kontoer som deles mellom teammedlemmer, går fra å være en oppgave til usynlig.
  • Logging lar deg se hvem som bruker hvilke kontoer, og gir mer revisjonsevne når du har å gjøre med en enkelt konto som er delt mellom flere personer.
  • Du kan også deaktivere og slette kontoer hvis ansatte forlater selskapet.
  • Det er også muligheter rundt automatisk tildeling av kontoer ved innlogging til et Active Directory-domene.
TechRepublic : Folk er opptatt av at deres personlige opplysninger skal være sikre, spesielt når det gjelder passord. Hvordan garanterer LastPass at brukernes data bare er tilgjengelig av dem? Siegrist : Den lokale krypteringen av data med en nøkkel vi ikke kjenner, er den viktigste beskyttelsen. Vi bruker AES-kryptering og støtter alle som ønsker å bekrefte at vi gjør det vi sier at vi gjør.

LastPass lager også sikkerhetsteknikker for å dempe risiko. For eksempel bruker vi SSL for dataoverføring, selv om dataene allerede er kryptert. Vi har automatisk gasspreging av falske påloggingsforsøk, og er nyskapende på multifaktorfronten.

Nyttig nettsted

Jeg fant nettstedet LastPass nyttig. De mange videoene forklarer hvordan individuelle komponenter i LastPass fungerer. De gjorde også installasjon og konfigurasjon raskt. Jeg vil foreslå å lese personvernerklæringen deres for å eliminere eventuelle problemer.

Siste tanker

LastPass har en viss konkurranse, men jeg har ikke funnet noen annen passordbehandler / skjemafyller som automatisk synkroniseres mellom datamaskiner og har så mange alternativer for multifaktorautentisering. Noen interessante funksjoner som er under utvikling er; synkronisering av LastPass og bokmerker / favoritter, erstatning for innlogging i Windows og biometrisk multifaktor-godkjenning.

Jeg er glad jeg spurte alle disse spørsmålene. Jeg er også takknemlig for Joe Siegrists hjelp til å svare på dem.

© Copyright 2021 | pepebotifarra.com