Fallos de seguridad críticos en LastPass y otros

Un estudio descubre fallos de seguridad críticos en LastPass y otros gestores de contraseñas



Un análisis de seguridad, realizado por la Universidad de California (Berkeley) ha revelado una serie de importantes vulnerabilidades en algunos de los servicios de gestión de contraseñas más populares como son LastPass, RoboForm, PasswordBox, My1Login y NeedMyPassword, que permitirían a un atacante obtener las credenciales de un usuario en sitios web, en al menos cuatro de los cinco servicios estudiados.

Todos estos servicios se caracterizan por no ejecutarse de forma local, sino en el navegador, y proporcionan una gran comodidad al permitir gestionar un gran número de contraseñas y cuentas de usuario desde un único sitio, utilizando una contraseña maestra, independiente del dispositivo que utilicemos: tablet, ordenador, movil, etc?

Esto es una gran ventaja ahora que todos tenemos un montón de cuentas online, estamos en montón de redes sociales y utilizamos servicios online de todo tipo ligados al comercio (Ebay, PayPal) o la banca electrónica, pero tiene el posible inconveniente de que una vulnerabilidad en el gestor de contraseñas, podría permitir a un atacante robar todas las contraseñas de un usuario de una sola tacada.

En ?The Emperor?s New Password Manager: Security Analysis of Web-based Password Managers?  que es como se llama este estudio han encontrado vulnerabilidades críticas en varios factores y que dependiendo del servicio analizado podría afectar a: las contraseñas de un solo uso; los típicos exploits CSRF y XSS muy comunes en las aplicaciones web, en las contraseñas compartidas, y también en los los bookmarklets que son unos marcadores web con código JavaScript, que permite a los usuarios acceder a sus credenciales, las cuales podrían ser robadas si los usuarios acceden a una web ?maliciosa?.

Aunque este artículo, acaba de ser publicado hace unos días, los servicios analizados fueron informados de estos fallos a finales de agosto de 2013, y todos los errores mencionados fueron subsanados (a excepción de NeedMyPassword que según los autores del informe no respondieron al mismo) por las diferentes compañías a los pocos días.
Los autores destacan el hecho (bastante negativo diría yo?) de que ninguno de estos servicios tenga un programa de recompensas para los cazadores de bugs.

Según comentan en LastPass, no existe ninguna evidencia de que estas vulnerabilidades fueron explotadas por cualquier persona más allá del equipo de investigación, en todo caso caso los problemas reportados fueron atendidos inmediatamente, tal como confirma el propio informe de la Universidad de Berkeley.







En concreto del tema de los bookmarklets, LastPass dice que apenas los usa un 1%, y que:
"Si a usted le preocupa haber utilizado bookmarklets antes de septiembre de 2013 en los sitios no confiables, puede considerar cambiar su contraseña maestra y la generación de nuevas contraseñas, aunque no creemos que sea necesario."

Aunque puedan ser  muy cómodos, para estas cosas siempre es bueno desconfiar de la nube.
 
Es más seguro guardar las contraseñas en volúmenes o archivos cifrados en local con GnuPG, el controvertido TrueCrypt o cualquier otro programa de criptografía, incluso en algún equipo, combinándolo con cifrado total de disco/home con LUKS.

Si buscáis una alternativa libre a alguna de los programas mencionados en el estudio, en el que el código pueda ser examinado y auditado fácilmente, KeePass, puede ser una muy buena opción.


< fuente >
Fallos de seguridad críticos en LastPass y otros
0 Puntos Score: 0/10
Visitas: 717 Favoritos: 0
4 Comentarios Fallos de seguridad críticos en LastPass y otros
La verdad es que siempre desconfie de guardar las contrase?
Justo estaba leyendo sobre KeePass,  
Tambi?
@superlogic usalo con precaucion que yo perdi varias cuentas de mail personal por meterles pass de 40 caracteres y no guardarlas bien =)
@illukki  
Trato de tener resguardado ese tema porque suelo meter contrase?
Para dejar un comentario Registrate! o.. eres ya usuario? Accede!