Question:
L'enregistrement des mots de passe dans Chrome est-il aussi sûr que d'utiliser LastPass si vous le laissez connecté?
brentonstrine
2013-08-20 04:05:55 UTC
view on stackexchange narkive permalink

Justin Schuh a défendu le raisonnement de Google à la suite de ce message détaillant la " découverte" (sic) des mots de passe enregistrés dans le mot de passe Chrome manager peut être visualisé en texte brut. Permettez-moi de le citer directement:

Je suis le responsable technique de la sécurité du navigateur Chrome. Cela pourrait donc aider si j'explique notre raisonnement ici. La seule limite d'autorisation forte pour le stockage de votre mot de passe est le compte d'utilisateur du système d'exploitation. Ainsi, Chrome utilise tout le stockage crypté fourni par le système pour protéger vos mots de passe pour un compte verrouillé. Au-delà de cela, cependant, nous avons constaté que les limites du compte utilisateur du système d'exploitation ne sont tout simplement pas fiables, et ne sont pour la plupart que du théâtre.

Prenons le cas d'une personne malveillante qui accède à votre compte. Ce méchant peut vider tous vos cookies de session, récupérer votre historique, installer une extension malveillante pour intercepter toute votre activité de navigation ou installer un logiciel de surveillance au niveau du compte utilisateur du système d'exploitation. Ce que je veux dire, c'est qu'une fois que le méchant a eu accès à votre compte, le jeu a été perdu, car il y a trop de vecteurs pour qu'il obtienne ce qu'il veut.

On nous a également demandé à plusieurs reprises pourquoi nous ne ne supporte pas seulement un mot de passe principal ou quelque chose de similaire, même si nous ne pensons pas que cela fonctionne. Nous en avons débattu maintes et maintes fois, mais la conclusion à laquelle nous arrivons toujours est que nous ne voulons pas donner aux utilisateurs un faux sentiment de sécurité et encourager les comportements à risque. Nous voulons être très clairs sur le fait que lorsque vous accordez à quelqu'un l'accès à votre compte utilisateur OS, il peut accéder à tout. Parce qu'en fait, c'est vraiment ce qu'ils obtiennent.

J'utilise LastPass en supposant qu'il est meilleur et plus sûr que d'utiliser le gestionnaire de mots de passe intégré à Chrome. Deux faits supplémentaires sont pertinents ici:

  1. LastPass a la possibilité de rester connecté sur un ordinateur de confiance. Supposons que je l'utilise.
  2. Chrome vous permet de créer un mot de passe distinct pour les données synchronisées de Google (lire: mots de passe stockés). Supposons que je fasse cela aussi.

Avec ces données, toutes choses égales par ailleurs, LastPass est-il plus sûr que Chrome? Il semble qu'une fois qu'un logiciel malveillant est installé sur mon système ou qu'un méchant a accès, cela n'a pas d'importance d'un point de vue théorique, je suis compromis à 100%. Est-ce vrai?

De plus, d'un point de vue pratique, l'un ou l'autre est-il plus susceptible d'être piraté dans la vraie vie? Existe-t-il certains vecteurs d'attaque plus courants ou plus efficaces qui fonctionneraient l'un ou l'autre?

PS: Je me fiche des amis, de la famille ou des novices qui accèdent à mon compte. Je pose des questions sur les pirates malveillants intelligents.

Voici un [article utile] (http://raidersec.blogspot.com/2013/06/how-browsers-store-your-passwords-and.html) que j'ai trouvé, mais il ne considère pas Chrome avec le mot de passe de synchronisation vs LastPass avec paramètre "Remember me".
Sept réponses:
tylerl
2013-08-20 06:52:35 UTC
view on stackexchange narkive permalink

REMARQUE Cette réponse peut être obsolète en raison des améliorations apportées à Chrome depuis la rédaction de cette réponse.

Tout d'abord, Chrome le fait cryptez vos mots de passe et autres données secrètes. Mais il y a différents aspects à cela en fonction du paramètre, plus quelques détails que vous devez garder à l'esprit.

Sur votre ordinateur, dans votre système d'exploitation

Lorsque les mots de passe sont enregistrés localement sur votre ordinateur, Google tentera d'utiliser le coffre-fort de mots de passe local. Par exemple, si vous êtes sur OSX, c'est le trousseau du système. Si vous êtes sous Windows, il s'agit de l ' API de protection des données Windows (Microsoft a une compétence particulière pour nommer les produits), si vous êtes sur KDE, c'est le Wallet, dans GNOME c'est Gnome Keyring.

Chacun de ces produits a ses propres implications qui méritent d'être notées. Par exemple, si jamais vous synchronisez vos mots de passe sur un appareil OSX, ces mots de passe vont dans le trousseau (comme mentionné) qui a été renommé le trousseau iCloud - dont les implications sont exactement ce qu'elles sonne comme: maintenant, Apple connaît également vos mots de passe enregistrés et les synchronisera avec votre iPhone, votre iPad et tout autre appareil Apple. C'est peut-être précisément ce que vous vouliez. Et peut-être pas. Soyez juste conscient.

L'édition professionnelle de Windows Exciting Names and Data Protection API Professional Edition ne possède pas de telles fonctionnalités. Vos mots de passe se trouvent sur votre ordinateur et y restent jusqu'à nouvel ordre. Appelez cela démodé ou appelez-le sûr. Mais gardez à l'esprit que Microsoft a l'habitude de chasser Apple et peut décider de le faire ici également.

Dans le cloud

En plus de toute synchronisation iCloud involontaire comme mentionné ci-dessus , Chrome synchronisera également vos mots de passe entre les instances Chrome. Cela signifie envoyer vos données à Google. Oui, c'est chiffré.

Comment est-il chiffré? C'est à toi de voir. Vous pouvez soit utiliser votre compte Google (par défaut), soit définir une «phrase secrète de synchronisation» spéciale. Bien que je n'ai aucune connaissance particulière des éléments internes de ces deux options, les implications semblent assez simples.

Si vous utilisez le mot de passe de votre compte Google, les mots de passe sont déchiffrés sans aucune autre intervention de votre part. Notez que le mot de passe réel est en fait requis; l'accès au compte Google seul n'est pas suffisant. J'ai vu des situations dans lesquelles Chrome avait réussi à se connecter et à récupérer ses données de synchronisation via une autorisation externe, mais n'était pas en mesure de les déchiffrer tant que je n'avais pas saisi le mot de passe Gmail d'origine. L’avantage, par conséquent, d’utiliser une «phrase de passe de synchronisation» distincte est de s’assurer que quiconque possède votre mot de passe Gmail (vraisemblablement Google pourrait, par exemple) n’aura pas votre mot de passe de synchronisation.

Remembering autocomplete = off Mots de passe

L ' article geek.com mentionné soulève un point intéressant, mais ce point est traditionnellement argumenté à partir d'une position de ... C'est une position commune des «défenseurs de la vie privée» (en particulier ceux pour qui je mettrais ce terme entre guillemets), mais les implications en matière de sécurité sont très, très, très claires, et très certainement, carrément du côté de Google.

J'ai déjà écrit à ce sujet. Allez lire cette autre réponse, puis revenez. J'attendrai.

Continue.

OK, de retour? OK, voici les points critiques alors qu'ils sont frais dans votre esprit: autocomplete = off a été une intervention ajoutée pour désactiver une fonctionnalité très dangereuse. Cette fonctionnalité n'est pas la sauvegarde du mot de passe dont nous avons parlé.

La fonctionnalité dont nous avons parlé aide les utilisateurs. Cet autre était une tentative malavisée d'être utile en remplissant des formulaires en utilisant des éléments que vous avez tapés sur d'autres sites Web. Alors imaginez un assistant de saisie semi-automatique comme Clippy, mais avec de pires compétences sociales: "Je vois que vous essayez de vous connecter à Ebay; je vais juste remplir votre login depuis Yahoo et nous verrons si cela fonctionne." Ouais, nous avions des idées amusantes sur la sécurité dans les années 90. Vous pouvez voir pourquoi mettre autocomplete = off dans tout ce qui concerne la sécurité, même à distance, est rapidement devenu une puce dans les audits de site.

En comparaison, la saisie semi-automatique dont nous parlons about est une solution de renforcement de la sécurité très soigneusement contrôlée. Et si vous l'utilisez pour quoi que ce soit , vous voudrez l'utiliser pour vos mots de passe les plus sécurisés? Pourquoi? Phishing.

Le phishing est littéralement l'attaque en ligne la plus dangereuse à laquelle vous êtes confronté. C'est super efficace et super dévastateur. Cela n'attire pas l'attention qu'il devrait, car nous pointons toujours du doigt l'utilisateur stupide qui a donné son mot de passe à l'armée électronique syrienne. Mais se défendre contre le phishing est vraiment, vraiment difficile, et l'exploiter est donc vraiment, vraiment facile. De plus, un exploit de phishing réussi a un potentiel de dommages illimité, jusqu'à l'arrêt complet. - une sorte de catastrophe en entreprise.

Et pour vous protéger contre le phishing, votre meilleure arme est un gestionnaire de mots de passe intégré au navigateur. Il sait où vos mots de passe doivent être utilisés et vous empêche de les utiliser à moins que vous ne regardiez réellement le bon site. Il n'est pas dupé par les domaines qui se ressemblent ou les graphiques «sceau de site», il sait vérifier le certificat SSL et sait comment vérifier le certificat SSL. Il garde vos mots de passe verrouillés jusqu'à ce que vous soyez prêt à les utiliser et à regarder l'invite de connexion correcte .

Le gestionnaire de mots de passe Chrome doit-il ignorer le message autocomplete = off ? VRAIMENT OUI.

Devez-vous l'utiliser? Si vous utilisez LastPass, vous vous en tenez bien. Mais cela devrait être considéré comme une alternative raisonnable si les mises en garde mentionnées ci-dessus ne vous dérangent pas.

Si vous n'utilisez aucun gestionnaire de mots de passe, commencez à utiliser celui-ci maintenant . Il est sûr par toute mesure raisonnable, et en particulier, beaucoup plus sûr que ne pas l’utiliser.

Vous avez dit que LastPass ne stockait pas mon mot de passe ni n'accordait implicitement l'accès lorsque je suis connecté. Mais lorsque je le configure pour qu'il se souvienne de mon ordinateur, je peux démarrer et accéder directement à LastPass et afficher mes mots de passe sans entrer mon mot de passe LastPass. De plus, j'ai eu l'impression que si vous utilisez la phrase secrète de synchronisation Google à laquelle j'ai lié, elle crypte vos données avec elle et ils ne connaissent pas votre mot de passe.Je ne sais toujours pas comment tout cela se passe en termes de mon les mots de passe sont effectivement volés par des personnes / programmes malveillants.
@brentonstrine ah. Je ne savais pas que vous parliez de l'option qui persiste entre les redémarrages. Oui, cela enregistre votre mot de passe. Google Sync a maintenant la possibilité de crypter les données synchronisées avec votre mot de passe de connexion. Ce que vous pourriez dire est mieux que rien, bien que le fait qu'ils aient votre mot de passe signifie qu'ils peuvent déchiffrer vos données. Alors de qui vous protégez-vous?
Pour être honnête, si la NSA veut mes données, elle peut les assigner directement à partir de Gmail ou Facebook ou autre. Je suis plus inquiet de ce que les médias qualifient de façon inquiétante de «pirates».
Et @brentonstrine « Les pirates informatiques » ne pas seulement obtenir des données en transit. Je serai à jamais en colère contre LinkedIn pour avoir donné par inadvertance mon adresse e-mail, le nom de ma société et la position de ma société à tous les spammeurs du monde.
Je pense que vous vous trompez légèrement sur la façon dont Chrome crypte les mots de passe sur Windows. On dirait qu'il utilise l'API OS "CryptProtectData" qui n'utilise pas le nom d'utilisateur comme clé mais utilise un mot de passe dérivé du mot de passe Windows de l'utilisateur (c'est un peu plus complexe que cela, mais c'est l'idée). Cela signifie que le mot de passe est protégé contre les autres utilisateurs mais que tout processus dans le même contexte de connexion y aura accès. À peu près exactement comme avec Keychain, en fait.
@Stephane Il semble que Chrome ait remanié son mécanisme de protection des mots de passe enregistrés, donc cela peut être obsolète.
Oui, mais votre description de ce que Google fait (a fait) pour protéger les mots de passe sur Windows est toujours incorrecte.
@Stephane réécrit la réponse à partir de zéro dès maintenant. Calmez-vous!
Windows DPAPI prend en charge une entropie supplémentaire (c'est-à-dire le mot de passe principal) par application afin que les données ne soient pas visibles par tous les processus exécutés en tant que compte d'utilisateur. Chrome doit cependant utiliser spécifiquement ce mécanisme. Le trousseau d'OS X par défaut permet uniquement à l'application qui a créé les mots de passe d'y accéder. D'autres applications nécessitent une confirmation de l'utilisateur. Un trousseau séparé avec un mot de passe différent peut également être utilisé.
Hé, vous vous trompez sur iCloud. Chrome stocke ses mots de passe dans le trousseau de «connexion», qui est distinct du trousseau iCloud et n'est envoyé nulle part.
John Deters
2013-08-21 03:13:25 UTC
view on stackexchange narkive permalink

En fin de compte, le point de Justin était le même que votre observation selon laquelle même les mots de passe LastPass seraient à 100% vulnérables aux logiciels malveillants présents sur votre machine. Votre machine est l'endroit où réside la sécurité ultime.

Le message d'Elliot Kember affirme que votre sécurité globale est augmentée si vous avez besoin d'un mot de passe principal pour afficher d'autres mots de passe. Et il a un argument valable. Il y a certainement un avantage à réduire votre surface d'attaque, et il prétend que Google n'essaye même pas à cet égard. Elliot affirme que le "faux sentiment de sécurité" de Justin ignore l'élément humain, c'est-à-dire que 95% des personnes à qui vous pourriez prêter votre machine sont incapables de l'exploiter. Cependant, si vous prêtez votre machine à votre beau-frère sans valeur, il pourrait faire quelque chose d'idiot qui vous expose à un virus - votre beau-frère ne vous exploite pas délibérément, mais il est un vecteur potentiel d'infection.

Dans l'ensemble, l'argument de Justin exploite également le comportement humain. Si Chrome permet à d'autres personnes de voir facilement vos mots de passe, vous seriez stupide de laisser quelqu'un d'autre l'utiliser sans surveillance étroite. Les deux côtés ont des points valides.

Le problème tacite avec Chrome est qu'à moins que vous ne cliquiez sur une option de synchronisation avancée obscure, votre mot de passe de synchronisation est le même que votre mot de passe Google. Par défaut, Google a donc la possibilité de déchiffrer votre fichier de synchronisation et d'accéder à vos mots de passe. Vous avez maintenant étendu votre surface d'attaque pour inclure une confiance totale en Google pour protéger tous vos mots de passe. Google est-il digne de confiance? La réponse simple est de se demander pourquoi Google espionnerait jamais vos mots de passe et risquerait de nuire à la confiance que les gens ont pour eux. Mais les remettent-ils aux autorités lorsqu'ils sont présentés avec un mandat et une lettre de sécurité nationale? Ces questions ont des réponses inconnaissables, mais elles concernent votre sécurité personnelle.

Vous pouvez cependant aller plus loin et améliorer votre sécurité grâce à un matériel fiable. Vous pouvez associer votre compte LastPass pour utiliser une YubiKey pour l ' authentification à deux facteurs. C'est une clé USB qui agit comme un clavier, mais vous la gardez sur votre trousseau de clés à côté de la clé de votre maison. Il fournit une chaîne apparemment aléatoire à Lastpass que Lastpass peut ensuite utiliser un algorithme pour vérifier, vous accordant l'accès à votre compte. Même sur une machine totalement connectée où les logiciels malveillants peuvent intercepter les mots de passe en cours d'utilisation, tant qu'ils n'ont pas accès au presse-papiers ou que vous utilisez le plugin de navigateur Lastpass, vos mots de passe sont en sécurité.

Est-ce que Google stocke mon mot de passe là où ils pourraient déchiffrer mes mots de passe enregistrés s'ils recevaient une assignation?En théorie, ne pourraient-ils pas stocker uniquement un hachage salé de mon mot de passe et ne pas pouvoir déchiffrer ma liste de mots de passe?Ils peuvent partager librement des listes de mots de passe cryptés avec tous les navigateurs Chrome connectés, puis demander au navigateur Chrome de conserver votre mot de passe Google dans la RAM et de le conserver avec le trousseau du système d'exploitation.Google connaît mon mot de passe lorsque je me connecte, mais leurs serveurs de connexion peuvent immédiatement oublier mon mot de passe une fois authentifié.Leurs serveurs de connexion et leurs serveurs de mots de passe Chrome n'ont pas besoin de communiquer.
allquixotic
2014-04-11 02:54:39 UTC
view on stackexchange narkive permalink

You are asking about how to be secure under the assumption that a malicious actor has started a process on your system (or hijacked another process with their own code) running with "user trust".

On Windows, you could trigger this action yourself by -- for example -- downloading http://example.com/virus.exe and then running it voluntarily. Even if you are never asked for a UAC prompt, your system is still effectively compromised.

On Linux, you could trigger this action by downloading a binary (or even a shell script, Ruby script, Python script, Java jar, etc), making it executable, and running it.

The security model of most OSes -- especially those which have not been very specifically configured with a strict Mandatory Access Control policy, which they almost never are out of the box for convenience -- is unable to mitigate a compromise at this level.

The following potential attack vectors immediately present themselves on Windows, Mac OS X, desktop GNU/Linux, desktop BSD, Android, iOS, etc., assuming a malicious actor is able to run some form of code with user trust on the system/device:

  • Mouse/Keyboard capture or injection: capturing keystrokes, mouse movements/clicks, or injecting the attacker's own keyboard/mouse actions.
  • Screen scraping or injection: capturing screenshots or video of the display output, or injecting the attacker's own arbitrary data to the screen to make you think you're doing one thing while actually doing another.
  • Web browser hijacking: stealing session cookies and uploading them to a remote server.
  • Arbitrary reads of any data on your filesystem that you can access manually as a user, and sending that data to the attacker's server.
  • Using published or unpublished exploits at the system API layer (C library, security libraries, authentication libraries, kernel interface, etc.) to elevate permissions from user to administrator level, and then perform more advanced compromise techniques (rootkits, etc.) that aren't typically possible as a regular user, to further exfiltrate data or confuse the user into typing their passwords or personal information, which is then keylogged and exfiltrated

Given this list of possible attack vectors, and probably others I'm missing, it is impossible for any "password manager" to actively prevent any/all of these methods from being exploited to either steal your data, or make you think you're at a legitimate website where you then unwittingly submit your credentials or personally-identifiable info to the attacker.

Let's put it this way: if Cross-Site Request Forgery and Cross-Site Scripting or Heartbleed are comparable to having your front door wide open, trying to have any meaningful security within a password manager under a scenario of malicious program(s) running under user trust is like trying to sleep peacefully when you can see a robber in your bedroom who's rifling through your personal valuables and putting interesting ones in a big bag.

Vous répondez donc à la première partie de ma question ("LastPass est-il plus sûr que Chrome d'un point de vue théorique étant donné un système compromis?") Par un "non" définitif. Qu'en est-il d'un point de vue pratique? L'un ou l'autre est-il plus susceptible d'être la proie d'attaques courantes?
D'un point de vue pratique, le moyen le plus courant d'exfiltrer les données d'un programme malveillant côté client fonctionnant avec la confiance de l'utilisateur consiste à (1) capturer les frappes au clavier et (2) les envoyer à un serveur distant. LastPass et Chrome (et tout autre système impliquant des mots de passe * que ce soit *) sont totalement et complètement vulnérables à cette technique. Vous tapez votre mot de passe et vous êtes propriétaire.
-1
codebeard
2014-04-11 05:31:38 UTC
view on stackexchange narkive permalink

Pour moi, c'est comme dire que vous n'avez pas besoin de vous soucier de verrouiller votre voiture, car si quelqu'un voulait vraiment entrer, il ne ferait que briser une fenêtre.

Même si vous quittez votre session LastPass connecté (ce qui n'est pas conseillé si quelqu'un d'autre a accès à votre ordinateur), il est toujours plus efficace à plusieurs égards que d'utiliser un système où les clés sont stockées sur le disque (Chrome).

Les clés LastPass ne sont accessibles (en mémoire) que lorsque la session est connectée, tandis que les clés Chrome sont accessibles à tout moment si vous avez accès aux fichiers. Cela signifie que ce dernier est sensible à un plus grand nombre de vecteurs d'attaque:

  • Même si vous gardez votre ordinateur physiquement sécurisé, si quelqu'un a accès à un disque de sauvegarde non chiffré, une sauvegarde dans le cloud ou une sauvegarde du réseau local, ils peuvent récupérer vos clés. Par exemple, les ordinateurs de mon travail sauvegardent les fichiers de profil utilisateur sur des partages réseau SMB - le transfert de fichiers n'est pas chiffré, donc toute personne ayant accès au réseau ou aux disques du serveur de sauvegarde, ou aux disques de sauvegarde, ou même un accès futur à ces disques , obtiendrait tous mes mots de passe si je les enregistrais dans Chrome.
  • Une fois votre ordinateur verrouillé ou éteint, il n'est pas possible d'accéder aux clés dans LastPass, mais les clés dans Chrome sont toujours sur le disque ( en supposant que votre disque dur n'est pas chiffré.) Un attaquant motivé peut simplement retirer le disque dur ou prendre tout l'ordinateur.
  • S'il s'agit d'un attaquant distant, il est beaucoup plus simple de faire copier un programme malveillant par un peu de fichiers Chrome de votre compte utilisateur que pour obtenir un programme malveillant pour accéder à la session LastPass actuellement ouverte. LastPass peut empêcher d'autres logiciels de niveau utilisateur d'accéder à sa mémoire et de manipuler ses entrées de fenêtre, et les logiciels qui tentent de prendre le contrôle de l'écran ou du clavier peuvent alerter les antivirus. [Notez qu'il est probablement encore facile de remplacer les raccourcis du programme et d'intercepter une future exécution de LastPass, mais cela vous oblige à ne pas remarquer l'intrusion.]

Bien sûr, si vous laissez votre ordinateur déverrouillé et que quelqu'un s'approche et récupère tous les mots de passe, c'est de votre faute, mais au moins avec LastPass, vous avez la possibilité de verrouiller la session et de la rendre beaucoup plus impliquée.

user29761
2013-08-21 01:04:24 UTC
view on stackexchange narkive permalink

Vous supposez que des "pirates malveillants intelligents" ont installé des logiciels malveillants sur votre système. Toute différence entre deux gestionnaires de mots de passe est marginale et purement une question de chance à ce stade, pas une garantie de sécurité conçue.

Hein, alors la seule chose qui ferait une différence est une sorte d'authentification en deux étapes? (Par exemple, [Google Authenticator] (https://support.google.com/accounts/answer/1066447))
Mike Stanley
2015-11-19 23:24:11 UTC
view on stackexchange narkive permalink

Si vous êtes préoccupé par la sécurité, passez à l'authentification à deux facteurs pour l'ensemble de la pile Google ET utilisez un Chromebook. Pas un Mac ni un PC Windows. Commencez par Gmail, Drive, Agenda, etc.

Les Chromebooks sont limités à certains égards, mais beaucoup, beaucoup, beaucoup plus résistants aux menaces persistantes avancées. S'ils obtiennent une porte dérobée sur le réseau, ils peuvent intercepter le trafic de votre Chromebook, mais ils ne peuvent pas prendre pied de façon persistante ou une porte dérobée sur votre appareil. C'est extrêmement difficile.

Je travaille pour une entreprise de cybersécurité. Tous nos employés sont constamment attaqués. J'ai fait un vidage de la mémoire sur mon appareil Windows environ une fois par mois, puis une reconstruction. sans blague. très fatigant.

Le Chromebook était une excellente alternative. Plus sûr. Vous vous habituez à travailler dans des feuilles, doc, puis utilisez excel, word, pdf-adobe comme archive pour le document à cet instant. Une façon de penser différente et meilleure. La collaboration est intégrée. Le calendrier fonctionne très bien. Une fois que vous vous serez habitué à l'approche différente pour commencer avec des documents collaboratifs, si vous le souhaitez, au lieu de versions constantes dans ms office, vous l'aimerez beaucoup. mais il faut s'y habituer et c'est différent. différent n'est pas meilleur, différent est différent! alors soyez patient.

Simon
2016-02-26 17:56:55 UTC
view on stackexchange narkive permalink

En tant que défenseur de LastPass au travail - la sécurité est largement équivalente entre Chrome et Lastpass en tant que gestionnaires de mots de passe.

LastPass maintient une clé de récupération dans les navigateurs par défaut (elle peut être désactivée), même si vous ne restez pas connecté, une personne ayant accès à votre compte peut réinitialiser l'accès si elle a accès à votre e-mail / SMS.

LastPass a de nombreux arguments de vente, une assistance multi-navigateurs, des fonctionnalités d'entreprise, etc., mais je ne pensez pas que tout cela le rend plus sûr.

Le point de vente pour nous est qu'il offre des rapports d'entreprise de base. Je peux donc dire si mes utilisateurs utilisent LastPass, qu'ils ont 2FA et utilisent des mots de passe aléatoires (ou au moins tout aussi forts).

Vous pouvez désactiver le jeton de récupération, restreindre l'accès par pays, liste blanche appareils et activez 2FA, mais il s'agit toujours d'un plugin de navigateur avec divers accès locaux complexes.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...