Diskuze: Ukládáme hesla do cloudu

molearnik

Level

21. 3. 2013 18:49

Komentáře tohoto uživatele máš zablokované.

@Pavel Matějka Nefunguje to tak, že by sa človek prihlasoval napr. do LastPassu pomocou master hesla. Článok je v tomto zbytočne zavádzajúci i keď to vlastne presne takto ani netvrdí.
Na https://lastpass.com/whylastpass_technology.php je to ale explicitne napisane.
Our policy of never receiving private data that you haven't already locked down with your LastPass master password (which we never receive and will never ask for) radically reduces attack vectors.

V cloude v podstate nemusí byť žiadna logika. Len sa tam synchronizujú na vašom zariadení kryptované data, pričom tieto data sú spárované iba pomocou emailu a zrejme one-way hashu, ktorý klientská LastPass aplikácia vie zgenerovať z vašeho emailu pomocou lokálne zadaného master passwordu. Ten hash sa dá použit len na to, aby sa nikto iný nevedel tváriť ako vy, ale pomocou neho sa nič nedá dešifrovať.
Pokiaľ výrobca úmyselne nenaprogramuje do aplikácie backdoor, ktorý by hesla posielal niekam von, tak LastPass prakticky nema šancu sa k samotným heslám dostať (jedine, že by uhádol slabý master password).
Keby sa tam ale objavil backdoor, tak by sa na to veľmi rýchlo prišlo a rozmázlo by sa to na nete.

Backdoor by sa do LastPassu mohol teoreteticky dostať aj z vonku nejakým vírusom, ale to už je o zabezpečení PC resp. vašeho zariadenia.

P.S. Tuto a ani žiadnu podobnú službu nepoužívam