Los nombres de host hr.company.com y testing-apps.hr.company.com no causarán una segregación adecuada del modelo de seguridad del navegador. Es posible que hr.company.com establezca cookies que pueden leerse con testing-apps.hr.company.com y testing-apps.hr.company.com podrá configurar las cookies. El dominio hr.company.com . Por lo tanto, debe confiar tanto en hr.company.com como en testing-apps.hr.company.com para poder usar cualquiera, por lo que se podría argumentar que LastPass al completar accidentalmente los detalles de la contraseña en una aplicación no es tan grande de un defecto: el entorno de prueba debe ser completamente dominio separado para evitar que las vulnerabilidades encontradas expongan el dominio en vivo. Además, las contraseñas nunca deben almacenarse en archivos de registro, por lo que si bien podría considerarse un pequeño error (tal vez debería indicar antes de rellenar un formulario en un subdominio diferente), no es una gran debilidad de seguridad en sí misma. Ser de confianza, que incluye considerar el modelo de seguridad del navegador. Puede ser que testing-apps.hr.company.com solo esté disponible internamente. sin embargo, esto podría permitir a un atacante local comprometer la cuenta real de otro empleado usando un defecto en la versión de prueba.
En este caso, puede hacer que este administrador de contraseñas en particular sea más seguro por configuración. p.ej. deshabilitar el llenado automático, y también hay una opción en la configuración llamada Reglas de URL . Aquí puede establecer si el nombre de host tiene que ser una coincidencia exacta. No puede impedir que las personas utilicen software de forma insegura, solo puede guiarlos y educarlos, como ha señalado.
Mi pregunta es la siguiente: estos no pueden ser los únicos ejemplos de uso no seguro de los administradores de contraseñas. ¿Qué otras trampas hay por ahí? ¿Alguien puede recomendar pautas para el uso seguro de los administradores de contraseñas en una organización?
Habrá fallas en todas las aplicaciones, ya sea a nivel empresarial o no. La ventaja de los administradores de contraseñas basadas en el navegador es que puede proteger contra ataques de phishing. La URL se valida y, de forma predeterminada, solo se completarán las credenciales guardadas para esa URL. Si esto es algo contra lo que quiere protegerse, entonces necesitará usar un administrador de contraseñas basado en el navegador. Si usar algo basado en el navegador es un gran riesgo, entonces puede usar una aplicación separada, pero debe aceptar que un usuario involuntario puede iniciar sesión en un sitio web incorrecto, ya sea malintencionado o no, exponiendo potencialmente sus credenciales de inicio de sesión a un tercero. fiesta.
Las pautas específicas variarán según el software utilizado y cómo se usen las contraseñas dentro de la organización, así como la organización misma. Por ejemplo. ¿Confía la organización en la nube, o todo se hace en casa? El almacenamiento de los datos de la contraseña en servidores internos de confianza podría ser mejor, sin embargo, la organización está asumiendo la tarea adicional de asegurarse de que la infraestructura esté bien protegida y de que los datos estén correctamente cifrados y de que las claves de cifrado se almacenen de forma segura.