與公眾和企業一起廣播,LastPass無疑是當下最受歡迎的密碼管理器之一。但是真的安全嗎? Saleforce.com出版商的安全團隊的黑客Alberto Garcia和Martin Vigo-Both成員通過復古工程設計了這項服務,並剛剛在2015年Black Hat Europe會議之際介紹了他們的研究結果。他們發現了一系列缺陷,這些缺陷允許在某些特定情況下訪問聖杯:密碼基礎。
在第一種情況下,他們假設攻擊者在第一次感染後設法在目標人的計算機上設置。兩位研究人員(此後已經修補)提出的漏洞之一是使用帳戶恢復過程。對於具有內存的內存的用戶而言,這是一個非常有用的功能,但基於一個非常奇怪的元素:一個otp密碼(一次時間密碼),默認情況下生成並存儲在機器上。通過將其集成到HTTP請求的錯誤恢復請求中,兩個黑客設法打開了最後一個通信會話並恢復密碼庫的加密版本。
用類固醇加強的密碼
但這還不是全部:他們還收到了密鑰的加密版本,該版本允許您破譯基地。但是芝麻破譯該鍵的速度不是很遠:它是Hash(SHA-256)的OTP的衍生物。賓果遊戲,基地是開放的。在這種情況下,最好的是,此短路恢復過程用戶可以設置的其他保護,例如雙因子身份驗證或訪問限制,具體取決於IP地址。“從某種意義上說,OTP是用類固醇增強的主密碼”,強調了兩位研究人員,他們在LastPass中報告了他們的發現。
從那時起,發布者已經部署了一種更正,以阻止創建錯誤的恢復查詢。此外,幾週前,他通過SMS發送的代碼引入了第二個身份驗證因素,以驗證該過程。強烈建議激活此選項«SMS恢復»在帳戶設置中。黑客還回憶起他們的演示文稿,您切勿在LastPass插件中檢查“記憶密碼”框。 2014年9月,他們確實顯示了一旦您可以訪問機器,就可以很容易地恢復它。
JavaScript攻擊
MM想像的其他情況。加西亞(Garcia)和維戈(Vigo)是設法訪問LastPass服務器的攻擊者。從理論上講,這樣的攻擊不應允許訪問用戶密碼,因為它們是以量化的方式存儲的。但是兩個研究人員發現了一種轉移的方式。在線服務使用JavaScript代碼自動在網頁中輸入身份驗證字段 - 這是非常實用的。該代碼可以在用戶的計算機上本地執行,可以訪問在線帳戶的標識符。通過將自己的JavaScript代碼插入LastPass服務器,攻擊者可以輕鬆恢復此秘密數據。因此,我們可以想知道,這種服務是否真的是NSA等組織的解決方案,這可能會迫使發布者將自己的代碼集成到服務器上...
但是,無需用沐浴水扔嬰兒。“面對這些缺陷,LastPass非常反應性,並在72小時的時間內修復了它們的大部分時間”,強調繼續使用此服務的研究人員。因為儘管密碼管理器可能存在潛在的缺陷,但它總是比在電子表格中註意密碼更好!
