LastPass 是否容易受到 FireSheep 攻击?

LastPass 是否容易受到 FireSheep 攻击?

假设我在星巴克,想使用最后通行证... 会火羊用户能够窃取密码/cookie/会话吗?

答案1

一般来说,不会。除了他们的服务器之外,您的密码还以加密状态存储在您的本地计算机上,当您将密码发送到他们的服务器时,它会在离开您的计算机之前使用 256 位 AES(即非常好)加密进行加密。同样,当您从他们的服务器获取密码时,它处于加密状态,只有您的主密码才能解密它。如果您登录没有 SSL(即 HTTPS)的网站,那么该特定密码很容易受到攻击,但您的主密码将是安全的。您确实使用了不同的密码作为主密码,对吗?

此外,当登录他们的网站时,您将处于安全会话中,这意味着您和 LastPass 之间传递的任何信息(理论上)都是安全的。

由于 LastPass 不会以明文形式存储任何密码(尤其是主密码,我认为他们根本不会存储),因此唯一的漏洞是如果有人设法获得他们的加密盐和至少一个主密码。这将破解另一个主密码(请记住,他们可能还没有登录)所需的时间从宇宙年龄的平方减少到几百万年,假设加密密钥仅由主密码和盐生成,而对于 LastPass,我不认为情况如此,我相当肯定这更难。

总而言之,如果您登录的网站本来就不安全,而您的主密码仍然安全,那么您就不必担心。如果没有 LastPass,您可能会使用与其他所有网站相同的蹩脚密码,这意味着如果没有它,您的整体安全性会降低。

答案2

来自 LastPass 的技术概述,所有数据都在本地加密和解密,并且其数据传输采用AES-256加密。火羊使用中间人攻击,这使得未加密的连接变得脆弱。

解决此问题的唯一有效方法是完整的端到端加密,在网络上称为 HTTPS 或 SSL。

所以回答你的问题,FireSheep 用户将能够窃取你的凭证如果你登录的网站不使用 HTTPS. LastPass 本身并不存在漏洞。

相关内容