Lesspass: Вопрос: Требуется дополнительная ясность в вопросах сравнения KeePass и LessPass.

Из FAQ, KeePass против LessPass :

Храните учетные записи / пароли в базе данных, зашифрованной вашим мастер-паролем.

против

Вычислить уникальный пароль для каждой учетной записи на основе вашего мастер-пароля; ваш сгенерированный пароль никогда не сохраняется

Зашифрованная база данных бесполезна без главного пароля для ее расшифровки. Если у злоумышленника был мастер-пароль, ему все равно нужна зашифрованная база данных для получения содержащихся паролей, поскольку они не являются производными от мастер-пароля.

Напротив, хотя LessPass не хранит пароли, сам мастер-пароль является формой хранения. Как только это станет известно, пароли пользователей больше не защищены. Профили для размещения сервисов, которые в них нуждаются, вряд ли будут сильно отклоняться от минимальных требований сервисов, если пользователь явно отклонился от этого, это приносит пользу безопасности, а параметры профиля, такие как счетчик, в меньшей степени.

Однако профили, скорее всего, будут сохранены, и, таким образом, это похоже на сравнение зашифрованного файла базы данных. Одним из преимуществ LessPass является то, что службы могут быть детерминированными при генерации паролей, но то, какие из них используются вместе с любыми другими метаданными учетной записи, не так очевидно. Если злоумышленнику не нужна конкретная или, вероятно, услуга для входа с целевыми учетными данными, это может снизить риск взлома.

База данных может быть украдена или взломана в автономном режиме, пароли не шифруются по отдельности, поэтому вся база данных уязвима.

против

Придется подбирать веб-сайты с помощью грубой силы, чтобы угадывать мастер-пароли, большинство сайтов регистрируют и смягчают это (reCAPTCHA, блокировка нескольких попыток и т. Д.)

Если предположить, что для защиты зашифрованной базы данных был использован правильный мастер-пароль, автономная атака не так уж и возможна. Я считаю, что это было в случае с LastPass, когда он был взломан, злоумышленники имели зашифрованные данные, но они были бесполезны без ключей для расшифровки.

LessPass описывается как требующий атаки на веб-сайты ... более практичная атака была бы против веб-сайта, на котором была взломана база данных с хешами паролей. Это также позволяет проводить атаку в автономном режиме.

LessPass еще сильнее в том смысле, что злоумышленнику нужно не только выполнить 100 тысяч итераций PBKDF2 для угадывания главного пароля, но и сгенерированный пароль для учетной записи веб-сайта также должен пройти через медленное хеширование / KDF этих служб. В совокупности это может повысить вычисление на одно предположение по сравнению с KeePass.

TL; DR:

• Мастер-пароль LessPass почти эквивалентен мастер-паролю KeePass + зашифрованной базе данных. Мастер-пароль KeePass также бесполезен без доступа к зашифрованной базе данных.
• LessPass может хранить данные профиля, которые в сочетании с мастер-паролем позволяют получить доступ к каждой службе, в которой есть учетная запись пользователя . Однако наличие мастер-пароля не раскрывает все услуги, которые пользователь зарегистрировал с помощью паролей, сгенерированных LessPass.
• LessPass также может атаковать мастер-пароль в автономном режиме. Для этого требуется только доступ к одной базе данных от службы, с которой у пользователя есть пароль LessPass, который в случае успеха позволяет злоумышленнику детерминированно генерировать пароли для других служб.

Правильно ли я понял это сравнение?

Для большинства пользователей и их паролей мастер-пароль LessPass эквивалентен наличию всех паролей, которые он получает, и более доступен для злоумышленников, чем облачные провайдеры или KeePass (или аналогичные приложения), поскольку взломанная единственная служба и утечка хэшей паролей позволяют атаковать, чтобы начать?

Не запрашивая никаких изменений в вики, я думаю, что можно с уверенностью предположить, что сравнения с одной стороны могут быть предвзятыми (например, нет упоминания о недостатках, таких как изменение мастер-пароля ).