1Password는 모든 금고를 고급 비밀 키로 암호화하는 선택으로 충분한 인정을 받지 못함. 이는 사용자 경험과 지원 부담에 비용이 들지만, 이로 인해 데이터 유출이 발생해도 큰 문제가 되지 않음
LastPass는 데이터 유출을 과소평가했고, 노트 섹션과 같은 데이터를 제대로 암호화하지 않음. 책임을 회피했지만, 소송을 당했어야 함
LastPass는 사용자 마스터 비밀번호가 충분히 안전하지 않다는 것을 알면서도 적극적으로 대처하지 않음. 이는 용서할 수 없는 일임
LastPass를 사용하는 사람들은 1Password, Bitwarden, Keepass와 같은 더 신뢰할 수 있는 옵션으로 이동하고, 중요한 모든 비밀번호를 변경해야 함
LastPass 해킹이 어떻게 비밀번호 손실을 초래했는지 혼란스러움. 1Password와 같은 방식으로 작동한다고 생각했는데, 그렇다면 여전히 매우 어렵거나 불가능해야 함. 비밀번호 관리자나 LastPass가 어떻게 다른지 설명해줄 수 있는 사람 있음?
1Password는 복호화 키가 두 부분으로 나뉘어 있음: 사용자의 단일 비밀번호 + 비밀 키. 두 가지 모두 필요함. 비밀 키는 무작위로 생성되며 128비트 정도임. 1Password가 생성하고 사용자에게 보내지만, 다시는 보지 않음. 금고가 도난당해도 비밀번호와 128비트 비밀 키를 해독해야 하므로 최소 128비트 보안이 보장됨
LastPass는 어떻게 다른가? 비밀 키도 도난당했나? 도난당한 금고의 대상이 추가 공격을 받아 비밀 키를 추출했나? LastPass는 1Password와 유사한 구조를 사용하지 않나? 아니면 1Password를 사용하면서도 안전하지 않다고 생각해야 하나?
2013년 두 번째 주요 보안 침해 이후 LastPass를 사용하지 않음. Wikipedia에는 총 3건의 사건만 나와 있지만, 2010년부터 오늘까지 최소 5건의 보고를 본 적이 있음. 그동안 회사에서 LastPass를 사용하는 것을 계속 보았고, 매번 놀라움
LastPass는 두 사건을 연결하는 증거가 없다고 주장함. 하지만 수백만 달러의 "수집품"을 저장하는 사람들이 최소한 매년 비밀번호를 변경하지 않는다는 것은 믿기 어려움
비밀번호 회전이 더 이상 최선의 관행이 아니지만, 이 경우에는 여전히 신중한 선택임
로컬 KeepassXC를 보며 차분하게 유지함
클라우드에 비밀번호를 저장하라고 했지만, 아무 문제도 없을 것이라고 했음
모든 사람의 자격 증명을 중앙 집중화하는 것은 여전히 가장 위험한 아이디어임. 해커에게 더 매력적인 것은 무료 성과 약물일 수 있지만, 잠시뿐이고 다시 모든 사람의 자격 증명을 훔치려고 할 것임
다른 목표: 모든 사람의 개인 식별 정보, 친구, 가족, 애완동물에 대한 정보, 보안 질문에 대한 답변, 모바일 ID, PIN 번호, 계좌 번호, 서명, 사진, 지문, 음성 패턴, 얼굴 및 망막 스캔, 걸음걸이, DNA, 미토콘드리아 RNA
LastPass가 처음 등장했을 때 모두가 약하고 신뢰할 수 없다고 생각했던 것을 기억함. Pepperidge Farm도 기억함
보안에 민감한 사람들은 비밀번호에 대해 무엇을 하나? 모든 것에 동일한 비밀번호를 사용하거나 비밀번호 관리자를 사용해야 하는 것 같음. 하지만 모든 비밀번호가 한 곳에 모이면 하나만 손상되는 것이 아니라 모두 손상될까 봐 항상 걱정됨
많은 솔루션에서 편리함과의 거래가 있는 것처럼 느껴짐. 집무실에 비밀번호가 가득한 물리적 바인더를 보관할 수 있지만, 매번 찾아보고 입력하는 것이 번거롭고, 물리적 접근이 가능한 사람에게 큰 위험임
Hacker News 의견