it-swarm-eu.dev

Quanto sono sicuri i gestori di password come LastPass?

Uso LastPass per archiviare e utilizzare le mie password, quindi non ho password duplicate anche se devo registrare da quattro a cinque account diversi al giorno e le password sono lunghe.

Quanto sono sicuri i servizi di gestione password come LastPass? Non creano un singolo punto di errore? Sono servizi molto interessanti per gli hacker. Come posso fidarmi delle persone dietro questi servizi e i loro meccanismi di sicurezza? Immagino che un terzo (governo, società, ecc.) Sarebbe molto facile "corrompere" e ottenere tutte le mie password.

Esistono altre soluzioni che offrono servizi simili con simile facilità d'uso?

184
blended

Dovremmo distinguere tra gestori password offline (come Password Safe ) e gestori password online (come LastPass ).

I gestori di password offline comportano un rischio relativamente basso. È vero che le password salvate sono un singolo punto di errore. Ma poi, anche il tuo computer è un singolo punto di errore. La causa più probabile di una violazione è ottenere malware sul tuo computer. Senza un gestore di password, il malware può tranquillamente sedersi e catturare tutte le password che usi. Con un gestore di password, è leggermente peggio, perché una volta che il malware ha catturato la password principale, ottiene tutte le password. Ma poi, a chi importa di quelli che non usi mai? È teoricamente possibile che il gestore delle password possa essere trojan o avere una backdoor - ma questo è vero con qualsiasi software. Mi sento a mio agio nel fidarmi dei gestori di password ampiamente utilizzati, come Password Safe.

I gestori di password online hanno il vantaggio significativo che le password sono disponibili sul computer di chiunque, ma comportano anche un rischio leggermente maggiore. In parte il fatto che il database online potrebbe essere violato (sia tramite hacking, ordinanza del tribunale, insider dannoso, ecc.) Anche perché LastPass si integra con i browser, ha una superficie di attacco più ampia, quindi potrebbero esserci vulnerabilità tecniche (che sono improbabili con un'app standalone come password sicura).

Ora, per la maggior parte delle persone questi rischi sono accettabili e suggerirei che l'approccio dell'utilizzo di un gestore di password come LastPass per la maggior parte delle password è migliore rispetto all'utilizzo della stessa password ovunque - che sembra essere l'alternativa principale. Ma non memorizzerei tutte le password lì dentro; fare uno sforzo per memorizzare quelli più importanti, come l'online banking.

Conosco qualcuno che non utilizzerà Password Safe e invece ha un blocco appunti fisico con le sue password in forma offuscata. Questo notebook è ovviamente molto più sicuro contro il malware ... se è a maggior rischio di perdita/furto è una domanda interessante.

138
paj28

[Informativa: lavoro per AgileBits, i creatori di 1Password. Poiché sarebbe inappropriato per me commentare l'architettura di sicurezza dei concorrenti, affronterò le cose in generale e parlerò specificamente solo di 1Password.]

Sì. I gestori di password creano un singolo punto di errore. Tieni tutte le uova nello stesso paniere. Ovviamente, penso che un gestore di password ben progettato sia la scelta giusta. Ma alla fine è una scelta che ogni individuo deve fare da solo.

È estremamente importante guardare come quel cestino è protetto. Con 1Password puoi leggi i dettagli di come sono memorizzati i dati. Sebbene utilizziamo molto PBKDF2, è molto importante che le persone scelga una buona password principale . L'unico caso confermato di violazione dei dati 1Password che ho visto è quando qualcuno ha usato la stessa password principale utilizzata per la sua e-mail POP3/HTTP Road Runner non crittografata. La stessa password è stata utilizzata anche per il suo account Dropbox, anch'esso acquisito ed è il modo in cui presumiamo che l'attaccante abbia ottenuto i dati 1Password.

Per quanto riguarda la fiducia delle persone dietro un gestore di password, questa è una domanda più complicata. Penso che sia sicuro affermare che chiunque sia stato nel settore della gestione delle password per un po 'non rischierebbe di provare a fare un ulteriore soldo di credenziali bancarie o carte di credito. Anche se fossimo un imbroglione, questo sarebbe solo un brutto affare, dato che il semplice sospetto di un tale schema metterebbe in crisi il venditore. I dettagli delle carte di credito rubate vengono venduti a poco più di un dollaro ciascuno se acquistati all'ingrosso sui mercati neri. Le credenziali bancarie sono circa cinque volte superiori. La matematica non funziona per nessuno il cui sostentamento deriva dalla vendita di strumenti di gestione delle password.

Come già accennato, in alcuni schemi i dati non vanno mai al fornitore in nessun formato. Questo vale per 1Password. Non vediamo mai come qualcuno sta usando 1Password. Tuttavia, per sincronizzare i dati tra sistemi, facciamo affidamento su sistemi di sincronizzazione di terze parti. Pertanto, i dati crittografati potrebbero essere rubati da Dropbox o rubati dal proprio computer se si utilizza Dropbox per sincronizzare i dati. Si dovrebbe sempre presumere che vi sia una possibilità non trascurabile che i dati crittografati vengano acquisiti. Questo poi torna a quanto bene i tuoi dati sono crittografati, il che è qualcosa da guardare attentamente.

Le altre domande sulla fiducia dei fornitori del sistema di gestione delle password si riducono alla fiducia nelle nostre competenze e alla fiducia che non siamo stati costretti/corrotti/"persuasi" a consentire una backdoor nel sistema. Questo è molto più complicato. In che modo i fornitori gestiscono i bug di sicurezza quando vengono scoperti? Quanto del comportamento e del design del prodotto è verificabile in modo indipendente? I creatori comprendono la crittografia che stanno utilizzando?

Per i sistemi, come 1Password, che non hanno dati dagli utenti, ci sono pochissime ragioni per cui ci avviciniamo persino alle agenzie governative (e non siamo stati .) Allo stesso tempo , dovresti presumere che i governi abbiano accesso ai tuoi dati archiviati su sistemi di sincronizzazione. Quindi, questo torna alla domanda su come quei dati sono crittografati.

88

Disclaimer : Ho creato PfP: password indolore come hobby, potrebbe essere considerato un concorrente LastPass.

Ho esaminato i problemi di sicurezza di diversi gestori di password in diverse occasioni. In particolare, finora ho segnalato dodici problemi di sicurezza a LastPass e analizzato le decisioni di progettazione che hanno portato a questi. Quindi, mentre paj28 ha dato un'ottima risposta generale sui gestori di password, posso fornire alcuni dettagli.

Quando le persone parlano della sicurezza dei gestori di password online, di solito si concentrano sulla sicurezza del server. L'attenzione si concentra su quanto sia facile compromettere il server e cosa accadrà allora. Questo è solo un vettore di attacco, poiché attaccare l'istanza del gestore password locale potrebbe portare agli stessi risultati. In effetti, attaccare l'estensione del browser potrebbe essere un corso d'azione più promettente, poiché i dati sono già decodificati lì e non lascerai tracce in alcun registro.

Vorrei esaminare questi due aspetti separatamente.

Attaccando l'estensione del browser

Esistono molti dati storici sulle vulnerabilità nell'estensione del browser LastPass. Tutte queste vulnerabilità potrebbero essere sfruttate da pagine Web arbitrarie. Per lo meno, questi sono:

Hai notato uno schema qui? LastPass ha lottato per anni per garantire la funzionalità di Compilazione automatica e limitare l'accesso all'API interna. Ogni volta che un nuovo rapporto ha dimostrato che la correzione precedente era incompleta.

Ora non è insolito che i gestori di password non riescano a implementare AutoFill in modo sicuro, la maggior parte di loro ha avuto problemi in quest'area quando ho controllato. Sebbene totalmente evitabili, questi problemi sono abbastanza comuni che ho persino compilato n elenco con raccomandazioni per evitare le trappole.

Ma i problemi dell'API interna sono piuttosto notevoli. LastPass espone questa API ai siti Web in diversi modi. Dovrebbe essere limitato a lastpass.com ma la logica è così complessa che le restrizioni sono state eluse più volte in passato. E mentre LastPass ha fatto del suo meglio per minimizzare la severità nei suoi annunci ufficiali, ognuno di questi problemi ha permesso ai siti Web di leggere tutte le password contemporaneamente. Peggio ancora, l'ultimo rapporto di Tavis Ormandy ha dimostrato che l'API interna poteva essere utilizzata per fare in modo che il componente binario LastPass eseguisse codice arbitrario sul computer dell'utente. Lo stesso potrebbe probabilmente essere fatto con tutti i precedenti difetti che hanno esposto l'API interna.

Naturalmente si potrebbe chiedere perché LastPass non è riuscito a limitare correttamente l'accesso all'API interna. Ma la domanda migliore è perché questa API è esposta ai siti web. Questo perché una parte significativa della funzionalità LastPass non è contenuta nell'estensione ma si basa piuttosto sul sito Web LastPass per funzionare. È una decisione di progettazione molto problematica, ma finora LastPass non sembrava interessato a risolverlo.

Attacco di dati lato server

Diciamolo chiaramente: non ci fidiamo del server. Non è che diffidiamo particolarmente di LogMeIn, Inc. - almeno non più di qualsiasi altra azienda. Ma le nostre password sono dati molto sensibili e persino la società più etica potrebbe avere un dipendente disonesto. Aggiungi a questo la possibilità che le autorità statunitensi chiedano loro di produrre i tuoi dati, cosa che non è nemmeno necessariamente associata a un'indagine criminale. Non importa la possibilità che i loro server vengano hackerati, già così è successo una volta .

Quindi è molto importante che i tuoi dati sul server siano crittografati e inutili per chiunque possa ottenerli. Ma cosa può eventualmente impedire agli aggressori di decifrarlo? Esattamente una cosa: non conoscono la password principale utilizzata per derivare la chiave di crittografia. Quindi la domanda essenziale è: LastPass protegge sufficientemente la password principale e la chiave di crittografia?

In questo settore, non sono a conoscenza di alcuna ricerca pubblicizzata, ma la mia, la maggior parte della quale è scritta in questo post del blog . La mia conclusione qui: LastPass soffre di una serie di difetti di progettazione qui, alcuni sono stati risolti ormai mentre altri sono ancora attivi.

Esecuzione forzata della password principale

Se gli aggressori hanno messo le mani su un mucchio di dati crittografati, l'approccio più semplice alla decrittazione è: indovina la password principale utilizzata per derivare la chiave di crittografia. Puoi provare un numero illimitato di ipotesi a livello locale, su qualsiasi hardware ti permetta, quindi questo processo sarà comparativamente veloce.

LastPass utilizza l'algoritmo PBKDF2 per derivare la chiave di crittografia dalla password principale. Pur essendo inferiore agli algoritmi più recenti come bcrypt, scrypt o Argon2, questo algoritmo ha l'importante proprietà di rallentare la derivazione delle chiavi, quindi gli aggressori che fanno ipotesi a livello locale verranno rallentati. Il tempo richiesto è proporzionale al numero di iterazioni, ovvero: maggiore è il numero di iterazioni, più difficile sarà indovinare una password principale.

Per molto tempo, l'impostazione predefinita di LastPass era 5.000 iterazioni. Questo è un valore estremamente basso che fornisce una protezione molto ridotta. Ho calcolato che una singola scheda grafica GeForce GTX 1080 Ti potrebbe essere utilizzata per testare 346.000 ipotesi al secondo. È sufficiente passare attraverso database con oltre un miliardo di password conosciute da varie perdite di siti Web in poco più di un'ora.

A seguito dei miei rapporti, LastPass ha aumentato il valore predefinito a 100.000 iterazioni a metà 2018, il che è molto più adeguato. Naturalmente, se sei un obiettivo importante che potrebbe aspettarsi che le risorse a livello statale vengano lanciate nell'indovinare la tua password principale, dovresti comunque scegliere una password principale estremamente forte.

Ottenere i dati su bruteforce

Una delle mie scoperte all'inizio del 2018 è stata che la sceneggiatura https://lastpass.com/newvault/websiteBackgroundScript.php potrebbe essere caricato da qualsiasi sito Web. Lo script conteneva sia il tuo nome utente LastPass sia un pezzo di dati crittografati (chiave RSA privata). Con il tuo nome utente LastPass che è anche il sale derivazione password, questo è tutto ciò che qualcuno ha bisogno di forzare localmente la tua password principale.

Questo problema è stato risolto rapidamente, ovviamente. Tuttavia, il difetto era abbastanza ovvio che mi sono lasciato chiedendo se sono stato il primo a scoprirlo. Mentre ho esortato LastPass a controllare i loro registri per rilevare eventuali segni di sfruttamento di questa vulnerabilità in natura, per quanto ne so questa indagine non è mai avvenuta.

"Round sul lato server" come protezione inutile

A seguito di un incidente di sicurezza nel 2011, LastPass implementato un meccanismo di sicurezza aggiuntivo : oltre alle iterazioni PBKDF2 sul lato client, aggiungerebbero altre 100.000 iterazioni sul server. Quindi, in teoria, se qualcuno potesse ottenere dati dal server, ciò aumenterebbe lo sforzo richiesto per indovinare la tua password principale.

In pratica, potrei dimostrare in modo conclusivo che queste 100.000 iterazioni aggiuntive vengono applicate solo all'hash della password. Tutti gli altri dati utente (password, chiavi RSA, OTP e altro) vengono crittografati solo utilizzando la chiave di crittografia derivata localmente dalla password principale, nessuna protezione aggiuntiva qui. Conclusione: questa "protezione" aggiuntiva è uno spreco completo di risorse del server e non fornisce alcun valore.

Entrando dalla porta sul retro

Indipendentemente dalla debolezza della protezione, gli attacchi di forza bruta saranno sempre inefficaci contro le password principali più potenti. Tuttavia, il design di LastPass contiene molte backdoor che consentirebbero di decrittografare i dati senza spendere alcuno sforzo.

L'interfaccia web

LastPass ti fornisce comodamente un'interfaccia web per accedere alle tue password senza l'aiuto di un'estensione del browser. Questa funzione è comunque una trappola: ogni volta che inserisci la tua password principale in un modulo di accesso sul web, non c'è modo di sapere se avrà la tua password principale con PBKDF2 prima di inviarla al server o se la trasmetterà come chiara testo.

Ricorda che non ci fidiamo del server? Tuttavia, una banale modifica del codice JavaScript offerto dal server è sufficiente per compromettere tutte le password. Anche se controlli quel codice JavaScript, ce n'è troppo per farti notare qualcosa. E sarebbe possibile fornire il codice modificato solo a utenti specifici.

Impostazioni dell 'account

Anche se usi costantemente l'estensione del browser, ogni volta che vai alle impostazioni dell'account caricherà il sito Web lastpass.com. Anche in questo caso, non è possibile sapere che questo sito Web non è compromesso e non ruba i dati in background.

Numerose altre funzionalità dell'estensione sono implementate anche tornando al sito Web lastpass.com e LastPass non vede il problema qui.

OTP di recupero

LastPass ha il concetto di One-Time Passwords (OTP) che puoi usare per recuperare i dati dal tuo account se dimentichi mai la password principale. Questi OTP consentono di decrittografare i tuoi dati ma normalmente non sono noti al server.

Per rendere il recupero ancora più affidabile, LastPass creerà automaticamente un OTP di ripristino per impostazione predefinita e lo memorizzerà nei dati dell'estensione. Il problema qui: il processo di recupero è stato progettato in modo tale che l'estensione consenta immediatamente a lastpass.com di recuperare OTP su richiesta, senza nemmeno avvisarti. Quindi un server LastPass compromesso potrebbe richiedere l'estensione per il tuo OTP di recupero e utilizzarlo per decrittografare i tuoi dati.

Secondo LastPass, questo problema è stato risolto nell'agosto 2018. Tuttavia, non so come lo abbiano risolto, almeno non ho visto nessuna delle ovvie soluzioni nel loro codice.

Esposizione della chiave di crittografia

Esistono anche diverse occasioni in cui l'estensione espone direttamente la chiave di crittografia locale ai server LastPass. Questo ha lo scopo di aiutare la funzionalità LastPass basata sul web a integrarsi meglio con l'estensione del browser, ma annulla gli effetti della crittografia dei dati a livello locale. Le seguenti azioni sono tutte problematiche:

  • Apertura impostazioni account, sfida sicurezza, cronologia, bookmarklet, monitoraggio crediti
  • Collegamento a un account personale
  • Aggiungere un'identità
  • Importazione di dati se il componente binario non è installato
  • Stampa di tutti i siti
  • Facendo clic su una notifica di violazione

L'ultimo è particolarmente grave perché il server LastPass può inviarti notifiche di violazione a piacimento. Ciò consente a LastPass di ottenere l'accesso ai tuoi dati ogni volta che lo desiderano, anziché aspettare che tu utilizzi la funzionalità problematica da solo.

Più difetti di progettazione

  • Come puoi vedere da solo aprendo https://lastpass.com/getaccts.php mentre sei loggato, il vault LastPass non è affatto un blob di dati crittografato. Piuttosto ha dati crittografati qua e là, mentre altri campi come l'URL corrispondente all'account usano semplicemente la codifica esadecimale. Questo problema è stato messo in evidenza in questa presentazione del 2015 e da allora molti campi sono stati crittografati, ma non tutti comunque. In particolare, un rapporto che ho presentato ha sottolineato che i domini equivalenti non crittografati hanno consentito al server LastPass di modificare tale elenco ed estrarre le password in quel modo. Questo particolare problema è stato risolto nell'agosto 2018 secondo LastPass.
  • La stessa presentazione rimprovera LastPass per l'uso di AES-ECB per la crittografia. Tra le altre cose, dà via quali password sono identiche. LastPass è passato a AES-CBC da allora, ma quando ho guardato il mio "caveau" ho visto lì un mucchio di credenziali crittografate con AES-ECB (si può dire perché AES-ECB è semplicemente un BLOB con codifica base64 mentre LastPass variante di AES-CBC inizia con un punto esclamativo).
  • OTP di ripristino creato automaticamente e archiviato nei dati dell'estensione significa che chiunque abbia accesso al tuo dispositivo e indirizzo e-mail può accedere al tuo account LastPass. Questo è in realtà documentato e considerato a basso rischio. Forse uno dei tuoi colleghi ti ha fatto uno scherzo inviando un'email a tuo nome perché ti sei dimenticato di bloccare il computer - la prossima volta potrebbero assumere il tuo account LastPass anche se sei disconnesso da LastPass.
  • A proposito di essere disconnesso, il tempo di scadenza della sessione predefinito è di due settimane. Sebbene sia sicuramente conveniente, c'è un motivo per cui la maggior parte dei prodotti che gestiscono dati sensibili hanno intervalli di scadenza della sessione molto più brevi, in genere ben al di sotto di un giorno.
  • Per combinare un valore con un segreto (ad es. Come firma) si userebbe di solito SHA256-HMAC. LastPass utilizza invece un approccio personalizzato, applicando due volte l'hashing SHA256. Mentre gli attacchi che HMAC dovrebbe affrontare non sembrano avere un ruolo qui, non scommetterei su qualcuno con una migliore conoscenza della crittografia di me che non trovo qui una vulnerabilità. Inoltre, il lato server occasionalmente produrrà anche alcuni token SHA256 - mi chiedo che tipo di humbug sta accadendo dove non riesco a vederlo e se è davvero sicuro.
38
Wladimir Palant

La risposta di Jeffery è particolarmente approfondita: il rischio principale è tutto intorno all'economia. Una delle maggiori minacce potrebbe essere la mancanza di gestori di password (quelli che non fanno abbastanza soldi per il loro autore). Un attore malintenzionato può "salvare" lo sviluppatore acquistando il prodotto e modificando il programma per inviare i dati a se stessi (forse in modo difficile da rilevare). Quindi è probabilmente importante assicurarsi che il gestore di password che usi abbia successo finanziario per il suo autore.

Di recente mi sono sentito a disagio per l'app di gestione delle password che utilizzavo da molto tempo (e precedentemente pagata). Lo sviluppo sembrava essersi fermato in gran parte, l'app è diventata gratuita (una grande bandiera rossa secondo me) e la proprietà potrebbe aver cambiato le mani. Sono passato a un'altra app, ma è difficile sapere se i miei dati sono stati compromessi.

12
Rick Byers

Le tue password sono davvero sicure?

Ho usato Lastpass e mi chiedo sempre come possiamo essere sicuri che non inviino la nostra password principale insieme al database ai loro server. Potrebbero persino impostare il client affinché esegua il polling del server e lo faccia solo per utenti specifici, per impedire il rilevamento. Ciò riguarda il NSA e Patriot Act ovviamente, o altre agenzie che possono costringere le aziende a fare qualcosa del genere e mantenerlo segreto.

Dimentica la NSA

Per me, mantenere tutto al sicuro dalle agenzie è qualcosa di diverso dal mantenere segreti i miei accessi. Vorrei mantenere tutto segreto da loro, ma hanno semplicemente così tante e diverse risorse e forza lavoro che posso solo fare uno sforzo. Se mi prendono di mira in modo specifico, probabilmente mi sono perso. Possono hackerare il mio router di casa, il mio telefono, il mio laptop, installare keylogger ecc. E non ne avrei idea. Le agenzie che hanno potere legale (anche se non siamo d'accordo con loro o se provengono da altri paesi) sarà difficile da fermare.

Quindi dimentica semplicemente il NSA e GCHQ ecc. - perché non ci porterà persone normali da nessuna parte. Beh ... dimenticalo in questo contesto.

Lastpass o Keepass o ...?

Se Lastpass carica le nostre password per impostazione predefinita e se questo dovesse essere scoperto, sarebbero in grossi guai. Ho usato Lastpass per circa un anno, ma mi sono fermato a causa del modo in cui interagisce con il browser. Non mi piacciono i metodi intrusivi per inserire i menu a discesa nei moduli Web e questo ha rallentato il mio browser. Quando ho usato Lastpass l'ho usato per tutti quei banali forum in cui non importava molto se avessi perso la password o il login. Per le password più serie che uso Keepass.

Uso Keepass e lo faccio da anni. Keepass è sicuro? È offline! Ma sai per certo che non invia mai dati? Lo uso per accedere a siti Web come Amazon, Apple, ISP, Paypal, grandi negozi - in breve: quei siti Web che hanno il mio numero di carta di credito.

Alcune password che memorizzo e che non conservo da nessuna parte se non nella mia mente.

12
SPRBRN

Alcuni servizi come questo offrono "convenienza" nel cloud e altri no. Se stai permettendo che le tue password vengano archiviate nel cloud, stai affidando maggiore fiducia all'applicazione, poiché esiste un'unica fonte di attacco per il recupero dei dati che rappresentano le password archiviate di tutti gli utenti. Supponendo che queste password siano crittografate in modo univoco per ciascun utente, il rischio potrebbe essere mitigato, ma indipendentemente da quanta mitigazione ci sia, questo rimane un singolo punto di attacco.

In contrasto con le applicazioni che memorizzano solo password localmente (o consentono di migrare manualmente il database). Qui, il tuo livello di sforzo potrebbe essere maggiore, ma il punto di attacco è su una macchina su cui presumibilmente hai più controllo ed è un punto di attacco molto meno interessante poiché ha solo le tue password. Questo non ti immunizza completamente, ovviamente; un cavallo di Troia potrebbe certamente essere scritto per cercarli e inviarli altrove.

La linea di fondo è che devi decidere dove vuoi scambiare la sicurezza per comodità, ma è certamente un compromesso nella maggior parte (se non in tutti) i casi. La mia opinione sulla situazione è che se non avessi scritto l'applicazione, non sapevo cosa stesse facendo e ho molte meno probabilità di fidarmi di essa.

8
mah

Ecco alcuni articoli che potrebbero interessarti:

  • "Gestori di password: rischi, insidie ​​e miglioramenti" (2014)

Astratto:

Studiamo la sicurezza dei popolari gestori di password e le loro politiche sulla compilazione automatica delle password nelle pagine Web. Esaminiamo i gestori di password integrati nel browser, i gestori di password mobili e i gestori di terze parti. Mostriamo che ci sono differenze significative nelle politiche di compilazione automatica tra i gestori di password. Molte politiche di compilazione automatica possono portare a conseguenze disastrose in cui un attaccante di rete remoto può estrarre più password dal gestore password dell'utente senza alcuna interazione con l'utente. Sperimentiamo questi attacchi e tecniche per migliorare la sicurezza dei gestori di password. Mostriamo che i nostri miglioramenti possono essere adottati dai gestori esistenti.

  • "Analisi della vulnerabilità e del rischio di due browser commerciali e gestori di password basati su cloud" (2013)

Astratto:

Gli utenti Web devono affrontare le sfide scoraggianti della gestione di sempre più password per proteggere le loro preziose risorse su diversi servizi online. Password Manager è una delle soluzioni più popolari progettate per affrontare tali sfide salvando le password degli utenti e successivamente compilando automaticamente i moduli di accesso per conto degli utenti. Tutti i principali fornitori di browser hanno fornito la gestione delle password come funzionalità integrata; i fornitori di terze parti hanno anche fornito molti gestori di password. In questo documento, analizziamo la sicurezza di due gestori di password commerciali molto popolari: LastPass e RoboForm. Entrambi sono gestori di password (BCPM) basati su browser e cloud ed entrambi hanno milioni di utenti attivi in ​​tutto il mondo. Indaghiamo la progettazione e l'implementazione della sicurezza di questi due BCPM focalizzandoci sui meccanismi di crittografia sottostanti. Identifichiamo diverse vulnerabilità a livello di rischio critico, alto e medio che potrebbero essere sfruttate da diversi tipi di aggressori per violare la sicurezza di questi due BCPM. Inoltre, forniamo alcuni suggerimenti generali per aiutare a migliorare la progettazione della sicurezza di questi e BCPM simili. Speriamo che le nostre analisi e suggerimenti possano essere utili anche per altri prodotti e ricerche sulla sicurezza dei dati basati su cloud.

I percorsi di download della carta e altri documenti correlati sono dettagliati su https://www.wilderssecurity.com/threads/password-manager-security-papers.365724/ , un thread del forum che ho creato.

7
MrBrian

Il requisito è per un accesso offline delle credenziali. Ad esempio un piccolo taccuino su cui scrivi tutti i dettagli di sicurezza per tutte le banche, i negozi, i siti Web, anche i lucchetti a combinazione, gli indirizzi e tutti gli altri dettagli a cui potresti voler accedere da qualsiasi luogo del mondo.

L'accesso online delle credenziali è OK ma non perfetto, dal momento che dovrai essere vicino a un PC connesso a Internet prima di poter accedere a tutti i tuoi dati.

I sistemi online comportano anche il rischio che hacker, governi e singoli dipendenti delle società di gatekeeper rubino i dati o li rendano non disponibili quando ne hai bisogno. Leggi "via della seta" per esempi di perdita ripetuta e persistente di informazioni personali.

Una soluzione migliore sarebbe un dispositivo hardware che porti con te, come una piccola chiavetta USB, che ha un software semplice per archiviare e crittografare le tue informazioni e recuperarle quando le colleghi a un PC o Mac. Idealmente avrebbe bluetooth per poter accedere sul tuo cellulare. Potrebbe aver bisogno di una piccola batteria per questo. E se non sei vicino a nessun computer/telefono cellulare e hai ancora bisogno di accedere ai dati memorizzati, allora forse verrebbe con un piccolo LCD, come quei portachiavi di sicurezza RSA - un piccolo display che potrebbe essere utilizzato per accedere alle informazioni. Il tutto non deve essere più grande di una carta di credito o di un accendino Zippo. Potrebbe anche avere una scheda micro SD rimovibile che potrebbe contenere un backup di tutte le tue informazioni (ovviamente crittografate), quindi che non si subirebbe una perdita completa dei dati se si perde il dispositivo fisico.

Questa è secondo me la soluzione migliore. (1) accessibile ovunque con o senza PC e accesso a Internet (2) dati archiviati completamente localmente senza terze parti ovunque per rappresentare un rischio per la sicurezza e la dipendenza.

Un altro approccio è l'e-mail. Molti di noi hanno e-mail yahoo o google o qualche altra e-mail online. E abbiamo migliaia di e-mail archiviate sui server Yahoo che contengono tonnellate di informazioni personali, inclusi indirizzi, numeri di telefono, dettagli dell'account e persino password. Proprio qui c'è un enorme archivio di informazioni personali, è online, è disponibile sul PC di chiunque attraverso un semplice browser, anche sul tuo smartphone. E per i dati più sensibili potresti escogitare un metodo personale di crittografia, quindi sebbene l'e-mail sia in chiaro, i dati sono in qualche modo crittografati, conosciuti solo da te.

1
andy green

Ho trovato il portachiavi OSX un posto ideale per conservare password e informazioni correlate. Ancora di più con il nuovo IOS e integrazione iCloud. Per me è un equilibrio accettabile di convenienza, disponibilità e sicurezza.

Vorrei Apple era più trasparente sul funzionamento interno, quindi non avrei dovuto basare completamente le mie valutazioni sul reverse engineering di terze parti; ma poi, mi sentirei allo stesso modo se le uniche informazioni disponibili erano da Apple.

0
bizzyunderscore

Penso che ci siano metodi più semplici per hackerare le tue password che provare a violare la crittografia di LastPass. Ad esempio la registrazione da tastiera. Se pensi davvero che le tue credenziali siano in pericolo o siano state violate, dovresti usare un computer Linux pulito. Scegli una password davvero difficile (24 caratteri?).

0
Johnny