FAQから、 KeePassとLessPass :
マスターパスワードで暗号化されたデータベースにアカウント/パスワードを保存します
vs
マスターパスワードに基づいて、アカウントごとに一意のパスワードを計算します。 生成されたパスワードは保存されません
暗号化されたデータベースは、それを復号化するためのマスターパスワードがないとほとんど役に立ちません。 攻撃者がマスターパスワードを持っていた場合でも、マスターパスワードから派生したものではないため、含まれているパスワードを取得するために暗号化されたデータベースが必要です。
対照的に、LessPassはパスワードを保存しませんが、マスターパスワード自体はストレージの形式です。 認識されると、ユーザーのパスワードは保護されなくなります。 それらを必要とするサービスに対応するプロファイルは、サービスの最小要件から大きく逸脱する可能性は低く、ユーザーがこれから明示的に逸脱している場合は、セキュリティにメリットがあり、カウンターなどのプロファイルパラメータはそれほどメリットがありません。
ただし、プロファイルは保存される可能性が高いため、暗号化されたデータベースファイルの比較に似ています。 LessPassの利点の1つは、サービスがパスワード生成において決定論的である可能性があることですが、他のアカウントメタデータと一緒に使用されるサービスはそれほど明白ではない可能性があります。 攻撃者がターゲットの資格情報を使用してログインする特定のサービスまたはおそらくサービスを求めていない場合、これにより侵害されるリスクが少なくなる可能性があります。
データベースが盗まれたり、オフラインでブルートフォース攻撃を受けたりする可能性があります。パスワードは個別に暗号化されていないため、データベース全体が脆弱です。
vs
マスターパスワードを推測するためにウェブサイトをブルートフォースする必要があります。ほとんどのサイトはこれをログに記録して軽減します(reCAPTCHA、複数の試行のブロックなど)
暗号化されたデータベースを保護するために適切なマスターパスワードが使用されたと仮定すると、オフライン攻撃はそれほど実行可能ではありません。 これはLastPassが侵害されたときのケースであり、攻撃者はデータを暗号化していましたが、復号化するためのキーがないと事実上役に立たなかったと思います。
LessPassは、Webサイトを攻撃する必要があると説明されています...より実際的な攻撃は、パスワードハッシュを使用したデータベースが侵害されたWebサイトに対する攻撃です。 これにより、オフライン攻撃も可能になります。
攻撃者がマスターパスワードの推測のためにPBKDF2の100k回の反復を実行する必要があるだけでなく、Webサイトアカウント用に生成されたパスワードもそのサービスのスローハッシュ/ KDFを通過する必要があるという意味で、LessPassはさらに強力です。 これを組み合わせると、推測ごとの計算がKeePassの計算よりも高くなる可能性があります。
この比較を正しく理解しましたか?
ほとんどのユーザーとそのパスワードの場合、LessPassマスターパスワードは、派生したすべてのパスワードを持つことと同等であり、クラウドプロバイダーやKeePass(または同様のアプリ)よりも攻撃者がアクセスしやすく、単一のサービスが侵害され、パスワードハッシュが漏洩する可能性があります。攻撃を開始しますか?
ウィキへの変更を求めないので、一方の当事者からの比較にバイアスがかかる可能性があると考えるのが安全だと思います(たとえば、マスターパスワードの変更などの欠点については言及されていません)。
LessPassマスターパスワードは、KeePassマスターパスワード+暗号化されたデータベースとほぼ同等です。 KeePassのマスターパスワードは、暗号化されたデータベースにアクセスしないと役に立ちません。
はい。ただし、KeePassでは将来のパスワードにアクセスできません。
LessPassにはプロファイルデータを保存できます。これをマスターパスワードと組み合わせると、ユーザーがアカウントを持っている各サービスにアクセスできます。 ただし、マスターパスワードを持っていても、ユーザーがLessPassで生成されたパスワードで登録したすべてのサービスが表示されるわけではありません。
はい。ただし、LessPassデータベースにパスワードプロファイルを保存するのは、デフォルトのオプションを受け入れないWebサイト用であることに注意してください。
LessPassは、マスターパスワードをオフラインで攻撃することもできます。 ユーザーがLessPassパスワードを持っているサービスから1つのデータベースにアクセスするだけで済みます。これが成功すると、攻撃者は他のサービスのパスワードを決定論的に生成できます。
はい、これはLessPassの弱点の1つです。 攻撃者が漏洩したデータベースから生のパスワードを取得した場合、攻撃者はマスターパスワードをブルートフォース攻撃しようとする可能性があります。 これは、マスターパスワードのエントロピーが十分である場合に軽減されます。
だから私はこれを明確にする方法がわかりません。 提案はありますか?
閉める。
このスレッドに投稿して、追加のヘルプを求めてください。
はい。ただし、KeePassでは将来のパスワードにアクセスできません。
将来のパスワードへのアクセスがここで何を意味するのかよくわかりませんか? 攻撃者がデータベースのコピーを持っていて、ユーザーがパスワードデータベースを更新することによって新しいパスワードが追加されないことを示していますか?
これは、マスターパスワードのエントロピーが十分である場合に軽減されます。
同意しました。
だから私はこれを明確にする方法がわかりません。 提案はありますか?
比較の偏りについて懸念を表明しただけだと思いますが、同じように感じている人は誰でも調査時にこの問題に遭遇するので、実際に何もする必要はありません:)
将来のパスワードへのアクセスがここで何を意味するのかよくわかりませんか? 攻撃者がデータベースのコピーを持っていて、ユーザーがパスワードデータベースを更新することによって新しいパスワードが追加されないことを示していますか?
誰かがあなたのLessPassマスターパスワードを盗んだ場合、彼はあなたの実際のパスワードとあなたの将来のパスワードを生成することができます。
誰かがあなたにKeepassマスターパスワードとあなたのKeePassデータベースを盗んだ場合、彼はあなたの実際のパスワードにしかアクセスできなくなります