Lesspass: سؤال: السعي لمزيد من الوضوح حول الأسئلة الشائعة حول مقارنة KeePass و LessPass

من الأسئلة الشائعة ، KeePass vs LessPass :

قم بتخزين الحسابات / كلمات المرور في قاعدة بيانات مشفرة بكلمة مرورك الرئيسية

ضد

احسب كلمة مرور فريدة لكل حساب بناءً على كلمة مرورك الرئيسية ؛ لا يتم حفظ كلمة المرور التي تم إنشاؤها

قاعدة البيانات المشفرة ذات فائدة قليلة بدون كلمة المرور الرئيسية لفك تشفيرها. إذا كان المهاجم يمتلك كلمة المرور الرئيسية ، فلا يزالون بحاجة إلى قاعدة البيانات المشفرة للحصول على كلمات المرور المضمنة لأنها غير مشتقة من كلمة المرور الرئيسية.

على النقيض من ذلك ، على الرغم من أن LessPass لا يخزن كلمات المرور ، فإن كلمة المرور الرئيسية نفسها هي شكل من أشكال التخزين. بمجرد معرفة ذلك ، لم تعد كلمات مرور المستخدمين مؤمنة. من غير المحتمل أن تنحرف الملفات الشخصية لاستيعاب الخدمات التي تحتاج إليها كثيرًا عن الحد الأدنى من متطلبات الخدمات ، إذا كان المستخدم قد انحرف صراحةً عن ذلك ، فإنه يستفيد من الأمان ، ومعلمات الملف الشخصي مثل العداد أقل من ذلك.

ومع ذلك ، من المحتمل أن يتم تخزين الملفات الشخصية ، وبالتالي فهي مشابهة لمقارنة ملف قاعدة بيانات مشفر. تتمثل إحدى مزايا LessPass في أن الخدمات قد تكون حاسمة في إنشاء كلمات المرور ، ولكن من غير المحتمل أن تكون الخدمات المستخدمة مع أي بيانات وصفية أخرى للحساب واضحة. إذا لم يكن المهاجم يسعى وراء خدمة معينة أو ربما خدمة لتسجيل الدخول باستخدام بيانات اعتماد الأهداف ، فقد يكون هذا أقل خطورة من التعرض للخطر.

يمكن سرقة قاعدة البيانات وإجبارها على عدم الاتصال بالإنترنت ، ولا يتم تشفير كلمات المرور بشكل فردي ، لذا فإن قاعدة البيانات بأكملها معرضة للخطر

ضد

قد تضطر إلى إجبار مواقع الويب على تخمين كلمات المرور الرئيسية ، وتقوم معظم المواقع بتسجيل هذا الأمر والتخفيف من حدته (reCAPTCHA ، وحظر المحاولات المتعددة ، وما إلى ذلك)

بافتراض استخدام كلمة مرور رئيسية مناسبة لتأمين قاعدة البيانات المشفرة ، فإن الهجوم دون اتصال بالإنترنت ليس بالأمر الممكن. أعتقد أن هذا هو الحال مع LastPass عندما تم اختراقه ، حيث قام المهاجمون بتشفير البيانات ولكنها كانت عديمة الفائدة فعليًا بدون مفاتيح فك التشفير.

يوصف LessPass بأنه يتطلب مهاجمة مواقع الويب ... قد يكون الهجوم العملي أكثر ضد موقع الويب الذي تم اختراقه حيث تم اختراق قاعدة البيانات التي تحتوي على تجزئة كلمة المرور. هذا يسمح لهجوم دون اتصال كذلك.

لا يزال LessPass أقوى ، بمعنى أن المهاجم لا يحتاج فقط إلى إجراء 100 ألف تكرار لـ PBKDF2 لتخمين كلمة المرور الرئيسية ، ولكن يجب أيضًا أن تمر كلمة المرور التي تم إنشاؤها لحساب موقع الويب من خلال تلك الخدمات ذات التجزئة البطيئة / KDF أيضًا. قد يؤدي دمجها إلى رفع الحساب لكل تخمين أعلى من حساب KeePass.

TL ؛ DR:

• كلمة مرور LessPass الرئيسية تكافئ تقريبًا كلمة مرور KeePass الرئيسية + قاعدة بيانات مشفرة. كلمة مرور KeePass الرئيسية ليست مفيدة بدون الوصول إلى قاعدة البيانات المشفرة أيضًا.
• يمكن أن يحتوي LessPass على بيانات ملف تعريف مخزنة ، إلى جانب كلمة مرور رئيسية تتيح الوصول إلى كل خدمة يمتلك المستخدم حسابًا بها . ومع ذلك ، فإن الحصول على كلمة المرور الرئيسية لا يكشف عن جميع الخدمات التي قام المستخدم بتسجيلها باستخدام كلمات المرور التي تم إنشاؤها بواسطة LessPass.
• يمكن أن يتعرض LessPass أيضًا للهجوم على كلمة المرور الرئيسية في وضع عدم الاتصال. لا يتطلب الأمر سوى الوصول إلى قاعدة بيانات واحدة من خدمة يمتلك المستخدم كلمة مرور LessPass بها ، والتي إذا نجحت في تمكين المهاجم من إنشاء كلمات مرور للخدمات الأخرى بشكل حاسم.

هل فهمت هذه المقارنة بشكل صحيح؟

بالنسبة لمعظم المستخدمين وكلمات المرور الخاصة بهم ، فإن كلمة مرور LessPass الرئيسية تعادل وجود جميع كلمات المرور التي تشتقها ، ويمكن الوصول إليها للمهاجمين أكثر من موفري السحابة أو KeePass (أو التطبيقات المماثلة) ، حيث يتم اختراق خدمة واحدة وتسريب تجزئة كلمة المرور. مهاجمة لتبدأ؟

لا أطلب أي تغييرات على الويكي ، أعتقد أنه من الآمن افتراض أن المقارنات من طرف واحد يمكن أن تكون متحيزة (على سبيل المثال ، لا يوجد ذكر للجوانب السلبية مثل تغيير كلمة المرور الرئيسية ).