Quote:
Originariamente inviato da ThEbEsT'89
Sarà che io sono uno diffidente di natura...
ma in pratica cosa cambia dall'usare lastpass (e quindi fidarsi di loro, ok che sono cifrate in AES ma sempre in mano loro sono) e usare il gestore di pass del browser (e sperare di conseguenza che nessuno ci dia una sbirciatina)?
I gestori di password dei browser faranno pure acqua da tutte le parti però le memorizzano sul tuo hd e non su un server di terzi...
Insomma c'è sempre la speranza di mezzo :P nel primo caso che quelli di lastpass siano onesti, nel secondo caso che nessuno sfrutti le vulnerabilità del proprio browser...
Ps: ovviamente parto dal presupposto che password "sensibili" come account bancari e carte di credito non vadano memorizzate nè in un modo nè nell'altro...
|
LastPass non ha accesso alle tue password, cito dal sito vari spezzoni presenti nelle FAQ:
E' anche molto più difficile per un hacker di ottenere la password principale di LastPass perché, a differenza della posta elettronica,
con LastPass la tua password di LastPass non lascia mai il PC che si sta utilizzando. Detto questo, se si sceglie una password povera o non sei attento con la tua password principale LastPass potrebbe essere più pericoloso. La nostra speranza è che se hai una sola password è probabile tu sia meglio protetto e la cambi più spesso.
Your sensitive data is encrypted with your key that LastPass doesn't have, so it can't be taken. The only pieces of sensitive information that we have, is your password hint (server side encrypted) and email address. We will notify users via the email address you provided at sign-up and post on our blog as a precautionary measure but we won't need to recommend that you change your passwords as all your sensitive data is encrypted. LastPass has two active data centers so the website and service will still be available. Even if all our data-centers went down, you still will be able to login to your accounts via the plug-ins while we recover.
AES-256 is accepted by the US Government for protecting TOP SECRET data. AES is implemented in JavaScript for the LastPass.com website, and in C++ for speed in the Internet Explorer and Firefox plug-ins. This is important because
your sensitive data is always encrypted and decrypted locally on your computer before being synchronized.
Your master password never leaves your computer and your key never leaves your computer. No one at LastPass (or anywhere else) can decrypt your data without you giving up your password (we will never ask you for it). Your key is created by taking a SHA-256 hash of your password. When you login, we make a hash of your username concatenated with your password, and that hash is what's sent to verify if you can download your encrypted data.
Se lasci le password sul browser per conoscerle ci riuscirebbe un bambino, sono in un file all'interno della cartella di installazione del browser, sono i primi dati che qualsiasi malware va a guardare
Poi come già detto io e anche tu, le password serie stanno in testa e basta, ma quelle di account a siti di forum ecc.. meglio metterle con lastpass che lasciarle al gestore password del browser che inoltre lavora pure peggio non riconoscendo spesso i campi di login