¿La recuperación de una sola vez almacenada localmente de LastPass es un problema de seguridad?

En realidad, traté de usar la recuperación de la cuenta con LastPass solo para probar esto el 5 de marzo de 2014. Lastpass le envía un enlace válido por 48 horas a través de la cuenta de correo electrónico asociada con Lastpass. Debe acceder a este enlace desde un navegador con un complemento de Lastpass instalado. Si este complemento se usó para acceder a la cuenta de Lastpass con la dirección de correo electrónico utilizada para la recuperación de la cuenta, y si One Time Password estaba habilitado, lo llevarán a su bóveda y le ofrecerá la oportunidad de cambiar su contraseña maestra. SIN EMBARGO, si no cambia su contraseña maestra, aún quedará en su bóveda de último paso, con sus diferentes inicios de sesión visibles. No puede exportarlos sin conocer la contraseña maestra, pero puede mirar (editar) los distintos inicios de sesión individuales. Por lo tanto, alguien podría tomar, por ejemplo, su información de inicio de sesión en el banco sin cambiar su contraseña maestra. Es posible que nunca sepa que esto ha sucedido. Esto supone que alguien tiene acceso a su cuenta de correo electrónico, por ejemplo, si la dejó abierta en su computadora cuando se alejó.

Creo que desactivar One Time Password es una muy buena idea. Y la contraseña de una sola vez en las opciones avanzadas en el complemento, es POR MÁQUINA. Por lo tanto, cualquier otro navegador que use, o versiones portátiles, o si alguna vez inició sesión en Lastpass desde la computadora de alguien usando su navegador y complemento.

Creo que LastPass probablemente debería desactivar la contraseña de un solo tiempo de manera predeterminada, aunque algunos usuarios probablemente olvidarán su contraseña maestra y perderán el acceso a su bóveda de contraseña. Lastpass debe al menos hacer que la cuenta de One Time Password sea amplia, no por máquina. Por lo tanto, no tiene que recordar todas las máquinas de las que haya iniciado sesión.

Hay varias formas de implementar dicha funcionalidad, pero básicamente, sí, todas representan riesgos de seguridad significativos, especialmente porque también poseen su base de datos de contraseñas.

Es posible que LastPass ofrezca información de contacto de emergencia para deshabilitar esta función si su máquina fue robada. Podría evitar el uso de LastPass para cualquier contraseña que proporcione también información de identificación financiera o más profunda.

Hay varios programas de base de datos de contraseñas de código abierto como KeePass y KeePassX que almacenan la base de datos de contraseñas completa localmente.

Veo la OTP local como un riesgo de seguridad, sin embargo, hay una opción para desactivarla en las extensiones del navegador (al menos para Firefox y Chrome). Siempre deshabilito la OTP local en cada navegador después de instalar la extensión lastpass, lo que significa que, por supuesto, perderé mi bóveda si olvido mi contraseña maestra. Creo que sería más seguro si lastpass tuviera la OTP local desactivada de forma predeterminada. Supongo que tuvieron que hacer algunas concesiones entre la seguridad y la insatisfacción del usuario cuando olvidaron su contraseña.