Исследователи выявят критические проблемы LastPass в ноябре 2015 г.

Менеджеры паролей великолепны, поскольку они хранят практически неограниченное количество важной информации, учетных записей, паролей, номеров кредитных карт и других конфиденциальных данных. Они избавляют вас от необходимости запоминать уникальные надежные пароли или использовать другие средства для их запоминания, например, записывать их.

Все данные защищены одним мастер-паролем и, если поддерживается, дополнительными средствами защиты, такими как двухфакторная аутентификация.

Безопасность диспетчера паролей и его базы данных имеет первостепенное значение, учитывая, что злоумышленники получат доступ ко всем данным, хранящимся у пользователя, если им каким-то образом удастся получить доступ к учетной записи.

Этот единственный доступ предоставит злоумышленнику доступ к большинству учетных записей этого пользователя и даже к данным, которые не связаны напрямую с Интернетом, если они также были добавлены в хранилище.

Обновить : LastPass связался с нами и дал следующие пояснения:

  • Эти отчеты были переданы нашей команде более года назад.
  • Все отчеты были обработаны немедленно и не представляют постоянного риска для пользователей LastPass.
  • Пользователям не нужно ждать, чтобы понять, о чем были эти отчеты — все они описаны в прошлогоднем сообщении Мартина, за исключением отчета о восстановлении учетной записи, который был рассмотрен в то время, но не был освещен в его исходном сообщении в блоге.
  • Также стоит отметить, что мы явно предупреждаем пользователей не использовать опцию «Запомнить пароль».

Похоже, что демонстрация действительно связана с уязвимостью, обнаруженной исследователями в прошлом году.

черная шляпа европа

Исследователи безопасности Альберто Гарсия и Мартин Виго продемонстрируют атаки на популярный онлайн-сервис управления паролями LastPass на конференции Blackhat Europe 2015 в ноябре.

Вот что они продемонстрируют:

  1. Как украсть и расшифровать мастер-пароль LastPass.
  2. Как злоупотребить восстановлением пароля для получения ключа шифрования хранилища.
  3. Как обойти двухфакторную аутентификацию, используемую LastPass для повышения безопасности учетных записей.

Методы, которые они будут использовать для этого, не показал в брифинге, но исследователи упоминают, что они отменили плагины LastPass и при этом обнаружили несколько векторов атаки. Скорее всего, они подразумевают расширения браузера под плагинами, но из брифинга это не ясно.

Пока еще слишком рано говорить о том, насколько эффективны и применимы эти формы атак, но, безусловно, пользователи LastPass должны внимательно следить за ними.

Например, для атак может потребоваться модифицированное расширение браузера или другие компоненты, которые должны работать в компьютерной системе, чтобы быть эффективными. Это, очевидно, будет меньшей проблемой, чем что-то, что можно сразу же использовать в системах с официальными плагинами и расширениями.

Пользователям LastPass придется подождать почти два месяца, прежде чем атаки будут обнаружены на конференции. Осторожные пользователи могут тем временем отключить расширения, чтобы избежать вреда, поскольку неясно, как эти атаки проводятся. (через Caschy)

Теперь ваша очередь : Вы используете LastPass или другой онлайн-менеджер паролей?