Názory k článku
Správce hesel LastPass nově synchronizuje hesla zdarma
-
Možná nechápu jak LastPass funguje, ale tvrdí, že nezná vůbec hesla a šifrování/dešifrování provádí pouze na straně klienta, ale když se přihlásím z jiného zařízení tak po mě chce jen heslo a ne klíč. Takže sice šifrování/dešifrování provádí na straně klienta, ale privátní klíč je uložen na serveru LastPass :D
-
Roman BořánekZlatý podporovatel"When you login to LastPass, two things are generated from your Master Password using our code discussed previously before anything is sent to the server: the password hash and the decryption key. This is all done locally.
The password hash is sent to our servers to verify you. Once verified, we send back your encrypted Vault. We are only sent your hash, not your Master Password. The decryption key, which NEVER leaves your computer, is then used to decrypt your Vault once it comes back."
-
Podle všeho je z hesla vždycky vygenerovaný stejný klíč, který je použit k odemčení "trezoru".
V requestech na LastPass je vždycky skutečně jen hash hesla.
Takže otazník už spíš jen je, jak pak funguje sdílení mezi uživateli, protože tam se reálně přenáší údaje mezi dvěma účty takže musí dojít k přenesení údajů, které LastPass musí dešifrovat z jednoho účtu a zašifrovat na druhém. -
Vas klic neni nikde ulozen, dost mozna ani lokalne, vygeneruje se z vaseho hesla:
Lokalne:
Klic = hash(login + heslo)
authToken = hash(Klic + heslo)Na serveru v DB:
salt = nahodne (pro zaznam)
komparacniBlob = hash(authToken+salt)if (komparacniBlob == hash(authToken+salt)) -> dostane trezor, ke kteremu pasuje Klic.
Sdilena hesla funguji jinak. Kazdy uzivatel vygeneruje public/private par klicu, na server nahrava svuj public. (Private ma nejspis ve svem trezoru, kde jinde).
Kdyz chci s nekym sdilet heslo, musim ho zakryptovat jeho verejnym klicem. Jen on si jej tedy dokaze precist, a private nikdy neopustil jeho trezor. -
David1234 (neregistrovaný)
Před nějakým časem jsem LastPass používal, bylo to úžasně návykové - automatické přihlášení fungovalo skvěle a všude.
Bohužel po dvou opravdu z mého pohledu neakceptovatelnych chybách za cca půl roku jsem se zaklekl a podívám keepass bez rozšíření pro browser.
Jaký password manager používáte vy?
-
David1234 (neregistrovaný)
https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/
Myslel jsem hlavne tuto chybu.
-
_ Tonda (neregistrovaný)
Používám password manager ve Firefoxu včetně synchronizace. zkoušel sem i lastpass a prostě mi nějak nesedlo jak se to chová a jak se to integruje do stránky.
Jediná nevýhoda ve Firefoxu je poměrně velká citlivost na změnu formuláře, stačí i malá změna na webu a už to formulář nerozpozná a nevyplní, pak je potřeba lovit heslo v password manageru.
-
Ondra Satai NekolaZlatý podporovatelNemusis rovnou otvirat password manager, v kontextovem menu (pravy klik) password inputu muzes typicky vybrat jake heslo vyplnit.
-
Používám k velké spokojenosti https://www.enpass.io/
Data mám na svém serveru, synchronizuje se napříč zařízeními i platformami, plugin pro FF a nativní program pro linux. Jediná bolest je Android PRO aplikace, která synchronizuje všechna hesla (bez placení jen 20), která stojí asi 250 Kč.
-
Encryptr (neregistrovaný)
Já docela spokojeně používám Encryptr: https://spideroak.com/solutions/encryptr . Open-source, simple stupid a synchronizuje mezi smartphonem a desktop app.
-
happy (neregistrovaný)
Ja pouzivam na hesla aj pin kody a kadeco, co chcem chranit http://safenotes.org Tam je bezpecnost jasna a pre mna bezkonkurencne najlepsia. Je k volnemu pouzitiu iba kratko, takze zatial nie je velmi znamy. A sposob pouzitia je genialne jednoduchy. Je okrem anglictiny aj v slovencine a myslim, ze coskoro pribudne aj cestina. Zrejme zatial nik neprelozil lokalizacny subor do cz ale snad je aj sk v pohode.
