¿La recuperación de una sola vez almacenada localmente de LastPass es un problema de seguridad?

21

Si olvida su contraseña maestra de LastPass, LastPass le brinda la posibilidad de recuperar el acceso a su bóveda usando una contraseña de un solo uso (OTP) que se almacena localmente pero inicialmente está desactivada.

El procedimiento se describe aquí:

Sigue estas líneas:

  1. Vaya a la página de recuperación de la cuenta.
  2. Ingrese la dirección de correo electrónico que usa para iniciar sesión en LastPass
  3. Ahora recibe un correo electrónico con instrucciones sobre cómo proceder, y se ha habilitado una contraseña de un solo uso local.
  4. Al usar esta contraseña, debería poder restaurar el acceso a su base de datos de contraseñas sin usar su contraseña maestra. (No sé cómo funciona esto, pero es posible que LastPass tenga una segunda copia de su base de datos de contraseñas cifrada con esta OTP, además de la base de datos cifrada con la contraseña maestra).

Pero como muchas personas configuran su programa de correo en la cuenta de correo que usan como inicio de sesión en LastPass, esto no significa que si alguien obtiene acceso a su máquina y se las arregla para iniciar sesión, pueden:

  • Habilite la OTP almacenada localmente mediante el enlace de recuperación.
  • Lea las instrucciones que le enviamos por correo electrónico porque también tienen acceso a su programa de correo electrónico local.
  • Obtenga acceso completo a toda su base de datos de contraseñas.

¿Y pueden hacerlo sin saber su contraseña maestra?

¿Hay algo que haya entendido mal?

    
pregunta mgd 09.06.2012 - 22:09
fuente

3 respuestas

12

En realidad, traté de usar la recuperación de la cuenta con LastPass solo para probar esto el 5 de marzo de 2014. Lastpass le envía un enlace válido por 48 horas a través de la cuenta de correo electrónico asociada con Lastpass. Debe acceder a este enlace desde un navegador con un complemento de Lastpass instalado. Si este complemento se usó para acceder a la cuenta de Lastpass con la dirección de correo electrónico utilizada para la recuperación de la cuenta, y si One Time Password estaba habilitado, lo llevarán a su bóveda y le ofrecerá la oportunidad de cambiar su contraseña maestra. SIN EMBARGO, si no cambia su contraseña maestra, aún quedará en su bóveda de último paso, con sus diferentes inicios de sesión visibles. No puede exportarlos sin conocer la contraseña maestra, pero puede mirar (editar) los distintos inicios de sesión individuales. Por lo tanto, alguien podría tomar, por ejemplo, su información de inicio de sesión en el banco sin cambiar su contraseña maestra. Es posible que nunca sepa que esto ha sucedido. Esto supone que alguien tiene acceso a su cuenta de correo electrónico, por ejemplo, si la dejó abierta en su computadora cuando se alejó.

Creo que desactivar One Time Password es una muy buena idea. Y la contraseña de una sola vez en las opciones avanzadas en el complemento, es POR MÁQUINA. Por lo tanto, cualquier otro navegador que use, o versiones portátiles, o si alguna vez inició sesión en Lastpass desde la computadora de alguien usando su navegador y complemento.

Creo que LastPass probablemente debería desactivar la contraseña de un solo tiempo de manera predeterminada, aunque algunos usuarios probablemente olvidarán su contraseña maestra y perderán el acceso a su bóveda de contraseña. Lastpass debe al menos hacer que la cuenta de One Time Password sea amplia, no por máquina. Por lo tanto, no tiene que recordar todas las máquinas de las que haya iniciado sesión.

    
respondido por el CohoSalmon 05.03.2014 - 22:24
fuente
8

Hay varias formas de implementar dicha funcionalidad, pero básicamente, sí, todas representan riesgos de seguridad significativos, especialmente porque también poseen su base de datos de contraseñas.

Es posible que LastPass ofrezca información de contacto de emergencia para deshabilitar esta función si su máquina fue robada. Podría evitar el uso de LastPass para cualquier contraseña que proporcione también información de identificación financiera o más profunda.

Hay varios programas de base de datos de contraseñas de código abierto como KeePass y KeePassX que almacenan la base de datos de contraseñas completa localmente.

    
respondido por el Jeff Burdges 09.06.2012 - 22:40
fuente
4

Veo la OTP local como un riesgo de seguridad, sin embargo, hay una opción para desactivarla en las extensiones del navegador (al menos para Firefox y Chrome). Siempre deshabilito la OTP local en cada navegador después de instalar la extensión lastpass, lo que significa que, por supuesto, perderé mi bóveda si olvido mi contraseña maestra. Creo que sería más seguro si lastpass tuviera la OTP local desactivada de forma predeterminada. Supongo que tuvieron que hacer algunas concesiones entre la seguridad y la insatisfacción del usuario cuando olvidaron su contraseña.

    
respondido por el Gregor 25.09.2012 - 03:21
fuente

Lea otras preguntas en las etiquetas