Vad är LastPass?
LastPass är världens mest populära lösenordsmanager. Det är en gratis app. Du kan ladda ner den från www.lastpass.com. Många använder den med en chrome extension som innebär att du inte längre behöver komma ihåg alla lösenord och du får enklare inloggningar.
Andra liknande lösenordshanterare är Dashlane och 1Password. Läs jämförelse av lösenordsprogrammen här.
Programmet är mycket populärt bland privatkunder och också en Enterprise lösning som använd av mer än 10 000 corporate kunder från Fortune 500 anväder det.
Masterlösenordet måste vara långt och mycket unikt lösenord. Om det går att bryta sig in på masterlösenordet går det att nå alla andra lösenord som ligger där.
Lastpass hanterar SSH nycklar, kreditkort, privata anteckningar mm
Krypteringen är lokal och säker med nycklar och säker lagring. De har inte tillgång till din data och inte heller ditt master lösenord.
Finns det säkerhetsbrister med LastPass – är den säker?
De flesta program går at hacka. Programmet fungerar som ett valv där du skriver ner alla dina lösenord så var försiktigt kring att hantera all data där.
- På BlackHat 2019 testade man LastPass säkerhetsfunktioner med Siesta.py, SQL Lite och prefs.js för att extrahera masterlösenordet
- Med clientside attacker går det att komma åt master lösenordet som finns lokalt.
Tekniskt sett används AES-256 kryptering och PBKDF2. Hur användarprofilen lagras lokalt beror på plugin exempelvis om man använder Firefox, Chrome, Internet Explorer, Safari eller Opera samt om det är Mac, PC eller Windows.,
Med SQL lite gick det att nå enkrypterade data som fanns sparat under LastPassSavedLogins2.
Läs mer
Föreläsning på Blackhat 2019 med Martin Vigo och Alberto Garcia Illera
Even the LastPass Will Be Stolen – deal with it
Ladda ner pdf
