Skip to content


Lastpass – twoje ostatnie hasło

Nie wiem jak wy ale ja jestem lekkim paranoikiem jeżeli chodzi o hasła. Szczególnie te dotyczące bankowości. Dlatego też każda infekcja koniami trojańskimi przyprawia mnie o ból głowy – a bo może keyloggera zainstalowało, a może brało screenshoty ze strony logowania banku itp itd.

lastpass

Dlatego też staram się ograniczać wpisywanie haseł do minimum. Niestety nie zawsze da się tego uniknąć, a jeżeli nawet, to przecież gdzieś te hasła są przechowywane. Dodatkowo aby ułatwić sobie życie większość użytkowników posiada tylko kilka haseł – najczęściej jedno BARDZO WAŻNE, jedno ŚREDNIO WAŻNE oraz jedno do całej reszty. Dramat rozpoczyna się gdy zaczynamy te hasła zmieniać i po roku odwiedzamy jakąś stronę nie bardzo pamiętając jaki pass tam założyliśmy. Brzmi znajomo?

Znalazłem dzisiaj dość interesujący serwis – Lastpass. Autorzy chwalą się, że dzięki niemu będziemy musieli pamiętać tylko jedno hasło. Sposób działania portalu jest następujący:

  • z Lastpass ściągamy sobie plugin do Firefoxa (a jakże!)
  • rejestrujemy się na portalu poprzez plugin, ustawiając jedno hasło MASTER
  • oprogramowanie szuka haseł zapisanych na naszym komputerze (swoją drogą łatwość z jaką je odszyfrowywuje przeraża)
  • hasła są zapisywane na serwerze
  • za każdym razem gdy wejdziemy na stronę gdzie już poprzednio się logowaliśmy, oprogramowanie automatycznie poda nasze hasło i login, wszystkie nowe loginy zostaną automatycznie dodane do bazy

Ok, w tym momencie niektórzy z Was pewnie podrapali się w głowy, stwierdzając że co jak co ale naiwniak ze mnie – hasła trzymać na cudzym serwerze?

Otóż najciekawszą rzeczą jest to, że wszystkie kluczowe informacje przetwarzane są lokalnie za pomocą JavaScript’u. Na serwer trafiają dane uprzednio zaszyfrowane naszym kluczem MASTER (z wykorzystaniem algorytmu AES-256, klucz zostaje u nas, więc dane są niedostępne dla właścicieli serwisu), podobnie wygląda sytuacja z pobieraniem danych – po dotarciu na nasz komputer są one odszyfrowywane za pomocą MASTERA. Javascript brzmi tutaj dość groźnie, ale jeżeli się nad tym lepiej zastanowić to chyba mniejsze jest prawdopodobieństwo że ktoś “podkręci” nam js aby przechwytywał hasła z lastpass, niż to że w naszym systemie znajdziemy keyloggera, który będzie zwracał pilną uwagę na strony bankowe. Oczywiście analogiczna sytuacja dotyczy też pluginu (a w tym wypadku po skompromitowaniu głównego klucza atakujący ma dostęp do wszystkich haseł), ale… Po pierwsze nie musimy trzymać tam haseł bankowych, możemy trzymać tam tylko login, hasło za każdym razem podając ręcznie. Po drugie możemy zmienić mastera dużo łatwiej i szybciej niż 10 innych haseł. Po trzecie mamy jeszcze dodatkowe opcje takie jak Sesame czy RubiKey, dzięki którym całość stanie się trochę bardziej bezpieczna.

System funkcjonuje sprawnie, a co ważniejsze jest bardzo wygodny w użytkowaniu – szczególnie przydatną opcją są Secure Notes – zaszyfrowane notatki, do których mamy dostęp dopiero po podaniu hasła. Możemy tam trzymać wszystko co tylko chcemy. Lastpass radzi sobie też nieźle jeżeli chodzi o niestandardowe formularze – możemy zdefiniować co ma być gdzie umieszczone, a później wystarczy jedno kliknięcie i jesteśmy zalogowani. Kolejną bardzo przydatną funkcją jest generator silnych haseł – wreszcie będziemy mieli osobne hasła do każdej ze stron – lastpass przypilnuje abyśmy ich nie zapomnieli. Jeżeli martwicie się że pewnego dnia serwis upadnie, nic to: oprogramowanie trzyma także kopię lokalną zaszyfrowanych haseł, w najgorszym więc wypadku nię będziecie mogli dodawać nowych stron. Dodatkowo dostępne są funkcje eksportu i importu danych. Ostatnią ciekawostką jest możliwość wygenerowania listy haseł jednorazowych – będą one dezauktualizowane po każdorazowym użyciu – przydatna rzecz podczas korzystania z kafejek internetowych – podajemy hasło jednorazowe w serwisie lastpass, a następnie klikamy na interesującej nas stronie i javascript automatycznie nas przekierowuje i loguje. Keyloggery mogą mieć poważne problemy z przechwyceniem danych, ponieważ nic nie wpisujemy ;)

Lastpass zdobył uznanie wielu serwisów zajmujących się nowościami sieciowymi, więc warto się mu dokładnie przyjrzeć – zdecydowanie ułatwi Wam życie.

Posted in TechBlog.


0 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.



Some HTML is OK

or, reply to this post via trackback.