パスワード

YubiKeyと一緒にLastPassのセキュリティ



Security Lastpass Together With Yubikey



解決:

誰もが嫌う答え:それはあなたの脅威モデルとリスク食欲に依存します。

  • Lastpassで保護しているパスワードは何ですか?
  • パスワード全体をそこに保存していますか、それともパスフレーズを追加する一意の値を保存していますか?
  • 誰があなたのパスワードを欲しがるのか心配ですか?日和見攻撃者または標的政府/組織犯罪?
  • マスターパスワードはどのくらい強力ですか?

ソフトウェアの脆弱性が存在する可能性があります。 Lastpassには、最近XSSの脆弱性があり、侵入の疑いがあります。したがって、すべてのソフトウェアに脆弱性が存在する可能性があります。



@ this.joshが述べているように、Yubikeyも脆弱である可能性があります。結局のところ、RSAがハッキングされ、攻撃者がこれを使用して軍事請負業者に侵入できた場合、2要素メカニズムは無敵ではありません。

2つの要素を打ち負かすには、サンプルの攻撃ツリーを参照してください。



より広範なセットは次のとおりです[PDF]:http://www.redforcelabs.com/Documents/AnalyzingInternetSecurity.pdf

問題は、リスクはあなたに受け入れられるかということです。

パスワードマネージャーを使用する方が、パスワードマネージャーを使用しないよりも優れており、パスワードが必要なほぼすべてのアプリケーション/サービスのセキュリティを向上させるためのシンプルで安価なソリューションです。



Yubikeyと強力なマスターパスワードを使用すると、Lastpassに保存するものすべてのセキュリティが大幅に向上します。 2つの要素の要点は、一方の要素が損なわれたとしても、もう一方の要素が必要になるということです。あなたまたはサービスが侵害を発見した場合、これはあなたに最小限の時間を与えます。

迅速な脅威モデルを実行し、リスクの食欲を理解します。脆弱なシステムはありませんが、Lastpass + Yubikeyを使用することの利点がリスクを上回っていることに気付くかもしれません。


私の最初の答えは誤解を招くものでした。私の最初の答えに対するYubiKeyの研究は浅かった。彼らのウェブサイトで、セキュリティ分析に関連するより詳細な情報を提供するドキュメントを見つけることができませんでした。セキュリティ評価とキーライフサイクル管理を確認したところ、私の当初の懸念は根拠がないようです。安全な製品を提供するための彼らの全体的なプロセスは健全です。私の最初の答えによって引き起こされた問題をお詫び申し上げます。

簡単な概要(ドキュメントに基づく)

  • AES 128ビットキーは、「高品質の疑似乱数ジェネレータ」を使用して生成されます。
  • 鍵の生成に使用されるコンピューターシステムは、強力な物理的および論理的アクセス制御を備えたスタンドアロンシステムです。
  • システムオペレータは「特別に許可されている」
  • 鍵の生成は「安全性の高い施設」で行われます。
  • キーレコードはOpenPGPで保護され、SDメディアに転送されます
  • 物理的なYubiKeyデバイスは、初期構成システムを使用してキーでプロビジョニングされます
  • 初期構成機能は「盗難と操作の両方に敏感」です(これは、盗難防止策があり、セキュリティ上重要なコンポーネントの完全性を監視していることを意味すると思います)
  • オペレーターは「特別に認可され、訓練されている」
  • 初期構成システムのコンピューターは、物理的および論理的に保護されています。
  • 初期構成システムは、SDメディアからキーレコードを受信します
  • 物理的なYubiKeyを提供した後、キーレコードはコンピューターとSDメディアから「安全に削除」されます
  • オンライン検証はYubicoのサーバーによって実行されます。 (他のサービスプロバイダーはYubicoのサーバーに要求を行い、合格または不合格の応答のみを受け取ります)。

弱点はありますか?

あるかもしれません。キーレコードが暗号化されているがデジタル署名が含まれていない場合、攻撃者はキー生成機能と初期構成機能の間でSDメディアを傍受し、SDメディアを攻撃者が認識し、初期の公開キーで暗号化されたキーに置き換える可能性があります。構成機能。ドキュメントには保護されており、「暗号化およびデジタル署名されていない」と記載されているため、暗号化されているだけである可能性があります。

ドキュメントには、使用前に機器とハードウェアを検証する方法が記載されていません。または、オペレーターがシステムのセキュリティを意図的に低下させないようにするためにどのような対策が講じられているか。私の分析は、提供されたドキュメントに基づいています。全体的なセキュリティは、重要な価値のあるリソースを保護するのに適切であるように思われます。


YubiKeyはカリフォルニアにオフィスを構えています。 LastPassはワシントンに1つあります。つまり、NSAが国家安全保障書簡を提出した場合、両社はNSAにデータを提供することが法的に義務付けられています。

KeePassのようなオープンソースソリューションよりも米国企業を信頼しなければならないLastPassのようなクローズドソースシステムを使用する本当の理由はわかりません。