«Jeg angrer», sier mannen som gjorde at du må lage slike passord

[AR85]

 

 

I følge 1Password har jeg 409 kontoer diverse steder på internett. Alle disse har hvert sitt unike passord på alt fra 20-30 tegn. Hvis én konto blir hacket, så gjør det ingenting, for kun den kontoen har akkurat det passordet. Mitt masterpassword, som er det eneste jeg trenger å huske, er et langt sitat fra en TV-serie jeg elsker.

 

Hva gjør du når 1pass blir hacket? Da lekker vel alle 409 kontoene? Eller misforstår jeg noe her. 

1password og Lastpass lagrer passordet og informasjonen knyttet til passordet i kryptert form. For å dekryptere passordet/informasjon kreves den private nøkkelen - og den lagres ikke på 1password eller Lastpass. Den har du kun på egen maskin og kun tilgjengelig ved hjelp av masterpassord og/eller to-faktor/biometri.

 

Passordene/informasjonen blir kryptert før de forlater egen maskin - altså ende til ende. For kryptering brukes 256 bit AES-kryptering med PBKDF2 nøkkel.

 

Så om 1password eller Lastpass sin server skulle bli hacket - ja da får de tilgang til mye krypterte data - som i realiteten ikke lar seg dekryptere.

 

Derfor er det også slik at skulle du glemme masterpassordet ditt - ja da sitter du i baret. Du kan ha passordhint, men det finnes ingen måte for å resette masterpassord.

Dette har jeg aldri helt forstått. For om privat nøkkel er lagret på maskin. Hvordan får jeg da tilgang til alle mine passord fra mobilen, og fra en hvilket som helst annen maskin ved å gå inn på lastpass.com og logge inn?

[henrikwl]

Dette har jeg aldri helt forstått. For om privat nøkkel er lagret på maskin. Hvordan får jeg da tilgang til alle mine passord fra mobilen, og fra en hvilket som helst annen maskin ved å gå inn på lastpass.com og logge inn?

Jeg vet ikke med sikkerhet hvordan LastPass gjør det, men jeg vil tro de gjør det omtrent på samme måte som 1Password.

 

Når du først setter opp 1Password på maskinen din, genereres det en privatnøkkel for å låse opp passordhvelvet (dette er kontoens "master password"). Denne privatnøkkelen krypteres så med enda en privatnøkkel - denne nøkkelen er i form av en lang, lang kode som du må ta vare på, da du risikerer å miste dataene dine hvis du mister denne koden.

 

Denne krypterte privatnøkkelen lastes så opp til 1Password sine servere. Når du da skal sette opp 1Password på en ny enhet, må du første gang både inn med bruker/passord på websiden (hvis du bruker browser), så den genererte, lange koden du måtte skrive ned helt i begynnelsen, og så til slutt master passordet for hvelvet. 1Password kjenner ikke til den lange, genererte koden, og uten den er dataene dine umulige å lese.

 

Jeg kjenner som sagt ikke til hvordan LastPass gjør det, men hopper de over noen av disse trinnene ville jeg byttet til 1Password.

Endret 15. august 2017 av henrikwl