Lesspass: Frage: Mehr Klarheit über den Vergleich von KeePass und LessPass – FAQ

Erstellt am 30. Jan. 2021  ·  4Kommentare  ·  Quelle: lesspass/lesspass

Aus den FAQ, KeePass vs LessPass :

Speichern Sie Konten/Passwörter in einer Datenbank, die mit Ihrem Master-Passwort verschlüsselt ist

vs

Berechnen Sie ein eindeutiges Passwort für jedes Konto basierend auf Ihrem Master-Passwort; Ihr generiertes Passwort wird nie gespeichert

Die verschlüsselte Datenbank nützt ohne das Master-Passwort zum Entschlüsseln wenig. Wenn der Angreifer das Master-Passwort hatte, benötigt er immer noch die verschlüsselte Datenbank, um die enthaltenen Passwörter zu erhalten, da sie nicht vom Master-Passwort abgeleitet werden.

Im Gegensatz dazu, obwohl LessPass keine Passwörter speichert, ist das Master-Passwort selbst eine Form der Speicherung. Sobald es bekannt ist, sind die Benutzerpasswörter nicht mehr gesichert. Profile zur Aufnahme von Diensten, die sie benötigen, werden wahrscheinlich nicht viel von den Mindestanforderungen der Dienste abweichen, wenn der Benutzer ausdrücklich davon abgewichen ist, kommt dies der Sicherheit zugute, Profilparameter wie Zähler weniger.

Profile werden jedoch wahrscheinlich gespeichert und damit vergleichbar mit dem Vergleich einer verschlüsselten Datenbankdatei. Ein Vorteil für LessPass besteht darin, dass Dienste bei der Passwortgenerierung deterministisch sein können, aber welche zusammen mit anderen Kontometadaten verwendet werden, ist wahrscheinlich nicht so offensichtlich. Wenn der Angreifer nicht nach einem bestimmten oder wahrscheinlichen Dienst sucht, um sich mit den Anmeldeinformationen des Ziels anzumelden, kann dies ein geringeres Risiko darstellen, kompromittiert zu werden.

Die Datenbank kann gestohlen und offline brutal erzwungen werden, Passwörter werden nicht einzeln verschlüsselt, sodass die gesamte Datenbank angreifbar ist

vs

Müsste Brute-Force-Websites verwenden, um Master-Passwörter zu erraten, die meisten Websites protokollieren und mildern dies (reCAPTCHA, Blockieren mehrerer Versuche usw.).

Unter der Annahme, dass ein richtiges Master-Passwort verwendet wurde, um die verschlüsselte Datenbank zu sichern, ist der Offline-Angriff nicht ganz durchführbar. Ich glaube, dass dies bei LastPass der Fall war, als es kompromittiert wurde, Angreifer hatten verschlüsselte Daten, aber es war ohne die Schlüssel zum Entschlüsseln effektiv nutzlos.

LessPass wird so beschrieben, dass es einen Angriff auf die Websites erfordert. Dies ermöglicht auch einen Offline-Angriff.

LessPass ist noch stärker in dem Sinne, dass der Angreifer nicht nur 100.000 Iterationen von PBKDF2 für das Erraten des Master-Passworts ausführen muss, sondern auch das generierte Passwort für das Website-Konto muss auch Slow-Hash/KDF durchlaufen. Kombiniert kann es die Berechnung pro Schätzung über die von KeePass erhöhen.

TL; DR:

  • Das LessPass-Master-Passwort entspricht fast dem KeePass-Master-Passwort + verschlüsselter Datenbank. Das KeePass-Master-Passwort ist auch ohne Zugriff auf die verschlüsselte Datenbank nicht sinnvoll.
  • LessPass kann Profildaten speichern, die zusammen mit einem Master-Passwort den Zugriff auf jeden Dienst ermöglichen, bei dem der Benutzer ein Konto hat . Das Master-Passwort zeigt jedoch nicht alle Dienste an, die der Benutzer mit von LessPass generierten Passwörtern registriert hat.
  • LessPass kann das Master-Passwort auch offline angreifen lassen. Es erfordert nur den Zugriff auf eine Datenbank von einem Dienst, für den der Benutzer ein LessPass-Passwort hat, was es dem Angreifer im Erfolgsfall ermöglicht, Passwörter für andere Dienste deterministisch zu generieren.

Habe ich diesen Vergleich richtig verstanden?

Für die meisten Benutzer und ihre Passwörter entspricht ein LessPass-Master-Passwort allen abgeleiteten Passwörtern und ist für Angreifer leichter zugänglich als Cloud-Anbieter oder KeePass (oder ähnliche Apps), da ein einzelner Dienst verletzt wird und Passwort-Hashes preisgeben. Angriff zu beginnen?

Ich frage nicht nach Änderungen am Wiki, ich denke, es kann sicher sein, dass Vergleiche von einer Seite voreingenommen sein können (z. B. werden Nachteile wie das Ändern des Master-Passworts nicht erwähnt ).

help wanted
Quelle
picture polarathene

Alle 4 Kommentare

Das LessPass-Master-Passwort entspricht fast dem KeePass-Master-Passwort + verschlüsselter Datenbank. Das KeePass-Master-Passwort ist auch ohne Zugriff auf die verschlüsselte Datenbank nicht sinnvoll.

Ja, außer dass Sie mit KeePass keinen Zugriff auf die zukünftigen Passwörter haben.

LessPass kann Profildaten speichern, die zusammen mit einem Master-Passwort den Zugriff auf jeden Dienst ermöglichen, bei dem der Benutzer ein Konto hat. Das Master-Passwort zeigt jedoch nicht alle Dienste an, die der Benutzer mit von LessPass generierten Passwörtern registriert hat.

Ja, aber denken Sie daran, dass das Speichern von Passwortprofilen in der LessPass-Datenbank für Websites gedacht ist, die die Standardoptionen nicht akzeptieren.

LessPass kann das Master-Passwort auch offline angreifen lassen. Es erfordert nur den Zugriff auf eine Datenbank von einem Dienst, für den der Benutzer ein LessPass-Passwort hat, was es dem Angreifer im Erfolgsfall ermöglicht, Passwörter für andere Dienste deterministisch zu generieren.

Ja, das ist eine der Schwächen von LessPass. Wenn ein Angreifer Ihr Rohpasswort aus einer durchgesickerten Datenbank erhält, kann er versuchen, Ihr Master-Passwort mit Brute-Force zu erzwingen. Dies wird gemildert, wenn die Entropie Ihres Master-Passworts ausreicht.

Also ich weiß nicht, wie ich das klären soll. Haben Sie einen Vorschlag?

guillaumevincent picture guillaumevincent am 31. März 2021
👍1

Ich schließe.
Fühlen Sie sich frei, in diesem Thread zu posten, um zusätzliche Hilfe zu bitten.

guillaumevincent picture guillaumevincent am 2. Apr. 2021

Ja, außer dass Sie mit KeePass keinen Zugriff auf die zukünftigen Passwörter haben.

Ich verstehe nicht ganz, was Sie hier mit Zugriff auf zukünftige Passwörter meinen? Beziehen Sie sich darauf, dass der Angreifer eine Datenbankkopie hat und dass ihm keine neuen Passwörter hinzugefügt werden, wenn der Benutzer seine Passwortdatenbank aktualisiert?

Dies wird gemildert, wenn die Entropie Ihres Master-Passworts ausreicht.

Einverstanden.

Also ich weiß nicht, wie ich das klären soll. Haben Sie einen Vorschlag?

Ich glaube, ich habe nur Bedenken wegen einer Voreingenommenheit im Vergleich geäußert, aber jeder andere, der sich ähnlich fühlt, wird bei der Untersuchung auf dieses Problem stoßen, also muss nichts wirklich getan werden :)

polarathene picture polarathene am 3. Apr. 2021

Ich verstehe nicht ganz, was Sie hier mit Zugriff auf zukünftige Passwörter meinen? Beziehen Sie sich darauf, dass der Angreifer eine Datenbankkopie hat und dass ihm keine neuen Passwörter hinzugefügt werden, wenn der Benutzer seine Passwortdatenbank aktualisiert?

Wenn jemand Ihr LessPass-Master-Passwort gestohlen hat, kann er Ihre aktuellen Passwörter und Ihre zukünftigen Passwörter generieren.

Wenn jemand Ihr Keepass-Master-Passwort + Ihre KeePass-Datenbank gestohlen hat, hat er nur Zugriff auf Ihre tatsächlichen Passwörter

guillaumevincent picture guillaumevincent am 3. Apr. 2021
👍1
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

jtdoepke picture jtdoepke  ·  5Kommentare
guillaumevincent picture guillaumevincent  ·  3Kommentare
panther2 picture panther2  ·  5Kommentare
guillaumevincent picture guillaumevincent  ·  4Kommentare
Prinzhorn picture Prinzhorn  ·  5Kommentare