Principal Programari Algunes aplicacions de gestor de contrasenyes que emmagatzemen dades de manera centralitzada ho fan bé
Programari

Algunes aplicacions de gestor de contrasenyes que emmagatzemen dades de manera centralitzada ho fan bé

És possible que us preocupin els atacs recents que els secrets allotjats emmagatzemats per 1Password i LastPass estiguin en risc. Els detalls diuen que no ho són.PerGlenn Fleishman,Col·laborador sènior, 17 d'abril de 2017 20:00 PDTva descobrir com enganyar LastPass amb una operació d'emplenament automàtic (fix) i (també arreglat). Després, fa unes setmanes, se'n va trobar un altre vulnerabilitats de les extensions basades en el navegador (també s'ha solucionat, excepte un client més antic, que està jubilat).

Això sona malament, oi? Però només en el primer d'aquests problemes, el robatori de la base de dades, es va filtrar informació i un bon disseny el va mitigar de manera efectiva. Totes la resta de vulnerabilitats provenien d'investigadors que van informar a LastPass, i no hi ha evidència que aquests defectes s'utilitzin en estat salvatge, malgrat l'aparent gran base d'usuaris de LastPass.

De la mateixa manera, podríeu pensar que 1Password, fet per AgileBits, ha de ser substancialment més fort, perquè no ha aparegut cap investigació similar en els últims anys. Però aquest no és el cas, tampoc. LastPass i AgileBits han pres camins similars per a productes amb interfícies, interaccions i preus força diferents per protegir les dades que allotgen. (Un problema amb la xarxa de distribució de contingut Cloudflare el mes passat sembla que va filtrar algunes dades d'1Password.com, però només casualment, i es va embolicar en capes addicionals de protecció, tal com es va comentar a Quina filosofia voleu triar?

Aquesta columna sorgeix d'un correu electrònic de la lectora Ginny, que va preguntar sobre una línia d'entrada

LastPass és gratuït per als usuaris finals i té una opció premium d'1 $/mes que afegeix assistència i compartició de contrasenyes. També hi ha una versió empresarial de pagament. Totes les versions de LastPass sincronitzen les vostres dades a través dels seus servidors.

Tanmateix, he examinat les proteccions emprades concretament per 1Password.com i LastPass d'AgileBits i compleixen diverses barres per protegir les dades dels usuaris. (De fet, són similars als meus requisits per als serveis de còpia de seguretat allotjats! Podeu veure els meus criteris a Però, què passa amb el phishing i els connectors del navegador?

La segona meitat de la frase de Goodin és on divergeixen 1Password i LastPass: enganxar contrasenyes a pàgines web. El mètode d'interacció de LastPass amb un navegador l'ha permès ser més vulnerable a les proves dels investigadors, perquè es basa en JavaScript injectat a una pàgina carregada per gestionar l'ompliment de contrasenyes i altres comportaments. Això vol dir que el phishing (atreure algú a una pàgina maliciosa) o una pàgina que algú es troba configurada per atacar els usuaris de LastPass podria fer que les seves dades siguin vulnerables.

Els atacs descoberts en el passat permetrien a una pàgina web maliciosa investigar contrasenyes per a dominis concrets, descarregar tot el conjunt de contrasenyes o, en l'atac més recent amb un nombre reduït d'usuaris de LastPass, instal·lar programari maliciós al propi ordinador. (LastPass també solia confiar en alguns elements de la interfície que es podrien falsificar en una pàgina web maliciosa.)

AgileBits ha dissenyat les extensions d'escriptori d'1Password de manera diferent durant un temps, utilitzant una mena de servidor intermediari que comunica mitjançant un conducte a l'aplicació nativa autònoma 1Password. Aquest enfocament independent ha proporcionat menys superfícies per investigar els investigadors, i els atacs contra ell depenen de tenir accés a una màquina mitjançant programari maliciós o una contrasenya administrativa, cosa que, de nou, significa que el joc s'ha acabat. (LastPass i 1Password tenen navegadors incrustats a les seves versions d'iOS, on no hi ha cap risc de comportament d'extensió, i Apple controla les funcions del navegador Safari o WebKit.)

LastPass va dir en una entrada al bloc que confiava en una forma de sandboxing de JavaScript als navegadors per evitar que el codi maliciós s'inclinés i afectés el seu programari. S'ha demostrat que no és del tot efectiu i s'ha afegit una mena de proxy al seu enfocament que evita aquestes explotacions.

Tan segur com una caixa forta a casa teva

De què serveix tenir una caixa forta a casa que qualsevol pugui girar i obrir? És millor tenir una caixa forta que els lladres puguin robar, però resisteix a tots els intents d'entrar, per molt temps (i explosius) que tinguin.

Aquesta és la situació almenys amb aquests dos proveïdors, que són dues de les empreses més grans que ofereixen gestió de contrasenyes. Les opcions preses per a la seguretat central i el xifratge del punt final, si s'implementen bé, em semblen mitigar el risc gairebé per complet, deixant el problema a vosaltres per evitar que el programari maliciós s'executi a l'ordinador. LastPass ha d'invertir més perquè gent de seguretat externa prove els seus connectors, però sembla que han rebut aquest missatge.

El fet és que la major amenaça per a les vostres contrasenyes és la combinació d'utilitzar la mateixa contrasenya en dos o més llocs i Tots dos llocs tenen una seguretat feble que permet l'exfiltració de les bases de dades dels seus comptes i que utilitzen tècniques d'encriptació febles per evitar que atacs de força bruta trenquin les contrasenyes emmagatzemades. Un gestor de contrasenyes us permet establir una contrasenya forta, que és més resistent al trencament fins i tot quan les tècniques dolentes emmascaren la vostra contrasenya, i establir una contrasenya única per a cada lloc i compte, eliminant l'amenaça de l'enllaç més feble de la cadena.