Lesspass: Question : Recherche de clarté supplémentaire sur la FAQ de comparaison KeePass vs LessPass

Créé le 30 janv. 2021  ·  4Commentaires  ·  Source: lesspass/lesspass

Dans la FAQ, KeePass vs LessPass :

Stockez les comptes/mots de passe dans une base de données cryptée avec votre mot de passe principal

vs

Calculez un mot de passe unique pour chaque compte en fonction de votre mot de passe principal ; votre mot de passe généré n'est jamais enregistré

La base de données cryptée est de peu d'utilité sans le mot de passe maître pour la décrypter. Si l'attaquant avait le mot de passe principal, il a toujours besoin de la base de données chiffrée pour obtenir les mots de passe contenus car ils ne sont pas dérivés du mot de passe principal.

En revanche, même si LessPass ne stocke pas les mots de passe, le mot de passe principal lui-même est une forme de stockage. Une fois connus, les mots de passe des utilisateurs ne sont plus sécurisés. Les profils pour accueillir les services qui en ont besoin ne sont pas susceptibles de s'écarter beaucoup des exigences minimales des services, si l'utilisateur s'en est explicitement écarté, il bénéficie de la sécurité, les paramètres de profil tels que le compteur le sont moins.

Les profils sont cependant susceptibles d'être stockés, et donc similaires à la comparaison d'un fichier de base de données crypté. L'un des avantages de LessPass est que les services peuvent être déterministes dans la génération de mots de passe, mais ceux qui sont utilisés avec d'autres métadonnées de compte ne sont probablement pas aussi évidents. Si l'attaquant ne recherche pas un service spécifique ou probablement pour se connecter avec les informations d'identification de la cible, cela peut être moins susceptible d'être compromis.

La base de données peut être volée et forcée hors ligne, les mots de passe ne sont pas cryptés individuellement, donc toute la base de données est vulnérable

vs

Devrait forcer les sites Web à deviner les mots de passe principaux, la plupart des sites enregistrent et atténuent cela (reCAPTCHA, blocage de plusieurs tentatives, etc.)

En supposant qu'un mot de passe maître approprié ait été utilisé pour sécuriser la base de données cryptée, l'attaque hors ligne n'est pas si possible. Je crois que cela a été le cas avec LastPass lorsqu'il a été compromis, les attaquants avaient des données chiffrées mais c'était effectivement inutile sans les clés pour déchiffrer.

LessPass est décrit comme exigeant d'attaquer les sites Web... une attaque plus pratique serait contre un site Web ayant une violation où la base de données avec les hachages de mot de passe a été compromise. Cela permet également une attaque hors ligne.

LessPass est encore plus fort, dans le sens où non seulement l'attaquant doit effectuer 100 000 itérations de PBKDF2 pour deviner le mot de passe principal, mais le mot de passe généré pour le compte du site Web doit également passer par ce service slow-hash/KDF. Combiné, cela peut augmenter le calcul par supposition au-dessus de celui de KeePass.

TL ; DR :

  • Le mot de passe principal LessPass est presque équivalent au mot de passe principal KeePass + base de données cryptée. Le mot de passe principal KeePass n'est pas utile sans accès à la base de données cryptée également.
  • LessPass peut avoir des données de profil stockées, qui, associées à un mot de passe principal, permettent d'accéder à chaque service avec lequel
  • LessPass peut également faire attaquer le mot de passe principal hors ligne. Il nécessite uniquement l'accès à une base de données à partir d'un service avec lequel l'utilisateur dispose d'un mot de passe LessPass, qui, en cas de succès, permet à l'attaquant de générer des mots de passe pour d'autres services de manière déterministe.

Ai-je bien compris cette comparaison ?

Pour la plupart des utilisateurs et leurs mots de passe, un mot de passe principal LessPass équivaut à avoir tous les mots de passe qu'il dérive et est plus accessible aux attaquants que les fournisseurs de cloud ou KeePass (ou des applications similaires), dans la mesure où un seul service est violé et la fuite de hachages de mot de passe permet attaquer pour commencer ?

Ne demandant aucune modification au wiki, je pense qu'il peut être sûr de supposer que les comparaisons d'une partie peuvent être biaisées (par exemple, il n'y a aucune mention d' inconvénients comme le changement de mot de passe principal ).

help wanted
Source
picture polarathene

Tous les 4 commentaires

Le mot de passe principal LessPass est presque équivalent au mot de passe principal KeePass + base de données cryptée. Le mot de passe principal KeePass n'est pas utile sans accès à la base de données cryptée également.

Oui sauf qu'avec KeePass vous n'avez pas accès aux futurs mots de passe.

LessPass peut stocker des données de profil, qui, associées à un mot de passe principal, permettent d'accéder à chaque service avec lequel l'utilisateur a un compte. Cependant, le fait d'avoir le mot de passe principal ne révèle pas tous les services que l'utilisateur a enregistrés avec les mots de passe générés par LessPass.

Oui, mais gardez à l'esprit que l'enregistrement des profils de mot de passe sur la base de données LessPass est destiné aux sites Web qui n'acceptent pas les options par défaut.

LessPass peut également faire attaquer le mot de passe principal hors ligne. Il nécessite uniquement l'accès à une base de données à partir d'un service avec lequel l'utilisateur dispose d'un mot de passe LessPass, qui, en cas de succès, permet à l'attaquant de générer des mots de passe pour d'autres services de manière déterministe.

Oui, c'est l'une des faiblesses de LessPass. Si un attaquant obtient votre mot de passe brut à partir d'une base de données divulguée, il peut essayer de forcer votre mot de passe principal. Ceci est atténué si l'entropie de votre mot de passe principal est suffisante.

Donc je ne sais pas comment clarifier cela. Avez-vous une proposition ?

guillaumevincent picture guillaumevincent le 31 mars 2021
👍1

Je ferme.
N'hésitez pas à poster sur ce fil pour demander de l'aide supplémentaire.

guillaumevincent picture guillaumevincent le 2 avr. 2021

Oui sauf qu'avec KeePass vous n'avez pas accès aux futurs mots de passe.

Je ne comprends pas très bien ce que vous entendez ici par accès aux futurs mots de passe ? Faites-vous référence à l'attaquant disposant d'une copie de la base de données et au fait qu'aucun nouveau mot de passe n'aura été ajouté par l'utilisateur mettant à jour sa base de données de mots de passe ?

Ceci est atténué si l'entropie de votre mot de passe principal est suffisante.

D'accord.

Donc je ne sais pas comment clarifier cela. Avez-vous une proposition ?

Je crois que je ne faisais que soulever des inquiétudes concernant certains biais dans la comparaison, mais toute autre personne qui se sent similaire rencontrera ce problème lors de l'enquête, donc rien n'a vraiment besoin d'être fait :)

polarathene picture polarathene le 3 avr. 2021

Je ne comprends pas très bien ce que vous entendez ici par accès aux futurs mots de passe ? Faites-vous référence à l'attaquant disposant d'une copie de la base de données et au fait qu'aucun nouveau mot de passe n'aura été ajouté par l'utilisateur mettant à jour sa base de données de mots de passe ?

Si quelqu'un a volé votre mot de passe principal LessPass, il peut générer vos mots de passe actuels et vos futurs mots de passe.

Si quelqu'un vous a volé le mot de passe principal Keepass + votre base de données KeePass, il n'aura accès qu'à vos mots de passe réels

guillaumevincent picture guillaumevincent le 3 avr. 2021
👍1
Cette page vous a été utile?
0 / 5 - 0 notes

Questions connexes

FranzSkuffka picture FranzSkuffka  ·  4Commentaires
delphine-graeff picture delphine-graeff  ·  3Commentaires
pbaity picture pbaity  ·  3Commentaires
fulldecent picture fulldecent  ·  3Commentaires
panther2 picture panther2  ·  5Commentaires