V populárnej službe pre centrálne uchovávanie prihlasovacích údajov vypĺňaných na webových stránkach v cloude LastPass sa nachádzali dve vážne bezpečnostné zraniteľnosti, ktoré s niektorými obmedzeniami umožňovali útočníkom získať buď dešifrované alebo zašifrované prihlasovacie údaje užívateľov.
Služba na to upozornila v piatok zároveň so zverejnením práce bezpečnostných expertov z Kalifornskej univerzity v Berkeley, ktorí zraniteľnosti identifikovali.
Služba LastPass má pre zaistenie bezpečnosti prihlasovacích údajov na svojich serveroch tieto údaje uložené len zašifrované a dešifruje ich len klientská aplikácia, rozšírenie alebo bookmarklet.
Prvá zraniteľnosť sa nachádzala v bookmarklete používanom vo webových prehliadačoch bez podpory rozšírení, napríklad na mobilných platformách. Ak užívateľ klikol na bookmarklet na stránke pod kontrolou útočníka, táto dokázala získať od serveru všetky prihlasovacie údaje užívateľa pre ľubovoľné stránky a zároveň ich dokázala dešifrovať.
Druhá zraniteľnosť typu CSRF sa nachádzala vo funkčnosti vytvárania jednorazových prihlasovacích hesiel OTP. Ak užívateľ prihlásený k LastPass stránke navštívil ľubovoľnú webovú stránku pod kontrolou útočníka a útočník poznal prihlasovacie meno užívateľa na LastPass, mohol si vytvoriť falošné OTP platné pre daného užívateľa. Pomocou neho následne mohol získať všetky prihlasovacie údaje užívateľa v zašifrovanej podobe a snažiť sa ich získať útokom hrubou silou hľadaním hlavného hesla užívateľa.
Schéma komplikovaného fungovania bookmarkletu LastPass (obrázok: autori práce)
Zraniteľnosti boli nahlásené ešte v auguste 2013 a opravené v septembri. Prevádzkovateľ podľa svojich tvrdení nemá žiadne dôkazy o tom, že zraniteľnosti boli niekým reálne využívané.
Bookmarklet aktívne podľa prevádzkovateľa LastPass používalo menej ako 1% užívateľov. Ak ho užívatelia používali pred septembrom 2013 na stránkach potenciálne pod kontrolou útočníkov, užívatelia podľa prevádzkovateľa môžu zvážiť zmenu hlavného hesla aj jednotlivých uložených hesiel, nie je to podľa neho ale potrebné.
Vytvorenie falošného OTP zase vyžadoval cielený útok so znalosťou prihlasovacieho mena. Skontrolovať si zoznam vytvorených OTP je možné na lastpass.com/otp.php, či útočníci ale nevedeli vytvorené falošné OTP po použití následne aj zmazať nie je jasné.
Okrem LastPass experti identifikovali aj väčšinou menšie zraniteľnosti v RoboForm, My1login, PasswordBox a NeedMyPassword, ich prácu (PDF) je možné sťahovať zo stránky jedného z nich, Devdatta Akhaweho.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
knedlik
Od: zolik
|
Pridané:
15.7.2014 12:03
fiha, vdaka bohu ze mam hesla na papieriku
|
| |
Re: knedlik
Od: cyxv
|
Pridané:
15.7.2014 12:28
jj aj upratovacka si pochvaluje :)
|
| |
Re: knedlik
Od: @@@
|
Pridané:
15.7.2014 13:19
#2edgy4me
|
| |
hesla v cloude? wtf
Od: mif
|
Pridané:
15.7.2014 12:04
asi iba debil by mal hesla ulozne v cloude. keepass s heslom na dropoxe este ano ale hento..
|
| |
Re: hesla v cloude? wtf
Od: rtttd
|
Pridané:
15.7.2014 12:12
hlasim sa kamo. Som jeden z debilov ktory tuto uzasnu funkciu vyuzivaju :)
|
| |
Re: hesla v cloude? wtf
Od reg.: Fresco
|
Pridané:
15.7.2014 20:14
a my ti gratulujeme
|
| |
knedlik
Od: zolik
|
Pridané:
15.7.2014 12:07
mat heslo ine ako login je prezitok. ja mam napriklad taky isty login aj na juraj.preszi@gmail.com ako heslo a som v poho. ved kto by vedel ake mam prihlasovanie meno.
|
| |
Re: knedlik
Od reg.: gandor
|
Pridané:
15.7.2014 12:50
Suhlasim, ze na webe nejak extra silne heslo vecsinou netreba (musia sa zdlhavo zasielat, uz 2000 poziadaviek/sekunda vzbudzuju pozornost minimalne kvoli dos utoku (nevraviac o par spravnych sluzbach, ktore limituju pocet pokusov o prihlasenie) a podobne).
Ale hesla typu rovnaky login/password, rok narodenia, "1234", "password"/"heslo" (+ zdrobneniny), a specialne "janka" su veci, ktore by som kludne bruteforce-om skusil ak by som chcel pozriet niekoho ucet...
|
| |
Re: knedlik
Od: Lentilka
|
Pridané:
15.7.2014 17:25
Práve kvôli tomu nie je ani tak problém hádanie hesiel online, ale "ukradnutie" databázy hashovaných hesiel. Potom ich môžeš lámať offline bez toho, aby si vzbudil pozornosť a keď niečo získaš, skúsiš tie heslá na nejakej inej službe.
|
| |
LastPass
Od: S1anley_next
|
Pridané:
15.7.2014 12:43
Používam ho už asi päť rokov a neviem si predstaviť, že by som si mal pamätať svoje hesla :-D neviem ani jedno heslo okrem toho do lastpass :-)
Hesla do služieb si nechávam generovať a tak to považujem za najbezpečnejšie :-)
Čo ak budem potrebovať heslo k službe, ked nebudem mať pri sebe svoj MAC?, lastpass mam aj v iPhone ...
Hesla v cloudu považujem za bezpečné.
|
| |
Re: LastPass
Od: yxcvbnm
|
Pridané:
15.7.2014 12:46
a cital si ty vobec ten clanok? mozno aspon nadpis... kde uz nie cely...
|
| |
Re: LastPass
Od: 3453453
|
Pridané:
15.7.2014 13:47
Asi cital nie? To, ze ty to nepovazujes za bezpecne neznamena ze on to musi taktiez tak brat. Aj podla mna je to bezpecne aj ked tam boli nejake chyby. Ale kde nie su chyby?
|
| |
Re: LastPass
Od: __fuxo
|
Pridané:
16.7.2014 7:06
Á, nechaj ho... Veď on má svoj MAC a iPhone a vieš, že ich sa tieto bezpečnostné riziká netýkajú tak ako nás, sociek bez MACu...
|
| |
Re: LastPass
Od: xxxxE
|
Pridané:
16.7.2014 11:58
Mozno cital, a kedze nepouzival ani bookmarklet ani generovanie random hesiel, tak je safe, nie?
|
| |
Re: LastPass
Od: ceko2
|
Pridané:
15.7.2014 14:43
Dufam ze tam mas aj hesla k internet bankingu ake mas username ???? :-))
|
| |
zive.cz
Od: kdejepravda
|
Pridané:
15.7.2014 13:04
V LastPass byly objeveny bezpečnostní dírky, naštěstí nic vážného
|
| |
1Password
Od: grammar nazi
|
Pridané:
15.7.2014 13:33
Pouzivat spravcu hesiel je spravne, ale nie taky, ktory ma cloudove ulozisko. Preto 1Password, ci KeePass su neporovnatelne lepsie.
|
| |
Re: 1Password
Od: I'm lovin it
|
Pridané:
15.7.2014 14:07
neviem, pred par dnami vysla sprava, ze z 5 (alebo 7) auditovanych najpouzivanejsich password managerov mal kazdy v sebe niekolko chyb umoznujucich ziskanie ulozenych hesiel.
|
| |
Re: 1Password
Od: dsdsdsd
|
Pridané:
15.7.2014 14:39
ja si hesla pamatam neverim takymto programom
|
| |
Re: 1Password
Od: asdfasdfas
|
Pridané:
15.7.2014 15:31
Ja si dolezite hesla pamatam a nedolezite mam generovane a ulozene v KeepassX, aj ked nie v cloude. Funguje mu autocomplete, takze je to rychle a jednoduche.
|
| |
Re: 1Password
Od: I'm loving it
|
Pridané:
15.7.2014 18:58
Preto mam na vsetky troll ucty heslo penis. Pripadne bigpenis, ak je to prve kratke. Mozem osrat, ci ho niekto crackne alebo nie.
Dolezite hesla si pamatam.
|
| |
Re: 1Password
Od: reikii
|
Pridané:
15.7.2014 22:12
Problem je, ze ja si tiez hesla pamatam a nikde inde ich neuschovavam. No mama mi v minule povedala, ze mam hlavu deravu. Tak snad su moje hesla v bezpeci, inak neviem co budem robit.
|
| |
Re: 1Password
Od: anonymus1
|
Pridané:
15.7.2014 20:49
poprosim link na tu spravu, vdaka
|
| |
Re: 1Password
Od: 48484
|
Pridané:
15.7.2014 22:47
Smiem sa spytat, preco si myslis, ze data na Tvojom pocitaci su viac bezpecne, ako u firmy, ktora sa tym zivi a strata dat a s tym spojena strata dovery pre nu znamena existencne problemy? Podla mna je to ako tvrdenie, ze mat peniaze pod vankusom je bezpecnejsie nez v bankovom trezore. Samozrejme vsetky dolezite su dvojfaktorove plus ak sa da, pristup povoleny iba z doveryhodneho zdroja.
|
| |
Re: 1Password
Od: stoneage
|
Pridané:
16.7.2014 9:53
lebo takej firme pride urcity list a vsetky data musia naservirovat v darcekovom baleni s pusou na celo
|
| |
Re: 1Password
Od: 345354
|
Pridané:
16.7.2014 13:54
ale oni netusia ake mas hesla kedze su ulozene v sifrovanej verzii a jedine ty poznas master password na ich dekodovanie.
|
| |
Re: 1Password
Od reg.: Darth Vader
|
Pridané:
16.7.2014 23:53
A taki oko ty im to aj veria :-)
|
| |
henrich
Od: RIKK
|
Pridané:
15.7.2014 23:00
akooo ked uz ukladat hesla tak do vlastnorucne napisaneho walletu, jednoducha blba konzolova aplikacia, zmaknutelna v nejakom devcpp za jeden den.
|
neprihlásený 
