¿Conoce las aplicaciones de pesca de LastPass? ¿Maneras de proteger?

Navega tus respuestas
1

Soy un usuario de LastPass, que uso con las extensiones del navegador.

Últimamente se me ocurrió que no debería ser demasiado difícil crear una extensión de navegador de pesca que

  1. reemplazaría a LastPass luego de la instalación,
  2. se ve exactamente como la última pasada,
  3. Compórtese como LastPass hasta el envío de su contraseña, y
  4. Simplemente envíe su información de inicio de sesión a alguna dirección de correo electrónico al enviarla.

Mis preguntas son:

  1. ¿Es un hack conocido?
  2. Si no es así, ¿por qué no funcionaría / sería fácil de implementar (más allá de hacer que el usuario instale la extensión, lo que se puede hacer usando técnicas de pesca tradicionales)?
  3. Si lo es, ¿hay alguna manera de protegerse contra ese tipo de amenazas? ¿LastPass recomienda algo en este asunto?

Mi pregunta es sobre LastPass en particular, pero supongo que ocurre lo mismo con cualquier software de llavero, y me complacería escuchar sobre eso (por ejemplo, 4. si existe una amenaza, ¿hay algún llavero?) El software ofrece una mejor protección que LastPass?)

    
pregunta LastPassUser 15.11.2016 - 03:03
fuente

1 respuesta

1

La primera extensión de instalación no es una operación inocua. Usos comunes dicen:

  

Una vez que haya instalado un software no deseado en su computadora, dejará de ser su computadora

Pero el ataque debe ser un poco más complejo de lo que describe (después de todo, Lastpass es una solución bien conocida de seguridad ). La contraseña maestra que usted ingresa en la extensión de la contraseña es solo la contraseña del archivo de clave utilizado para descifrar localmente el contenido de la bóveda almacenada en Lastpass servidor.

Así que la extensión falsa debería tener que:

  • ya sea para instalarse entre el navegador y la extensión real, no es tan fácil
  • o bien para reproducir completamente todas las operaciones de decodificación de la verdadera extensión, de hecho es posible, pero es una buena cantidad de palabras, es decir,
    • localice y desbloquee el archivo de claves con la contraseña maestra
    • descargar la bóveda
    • descifra la bóveda

Tal extensión sería un ataque importante contra Lastpass, y como tal, con un gran riesgo de ser identificado y desactivado pronto.

Siguiendo solo mi propia opinión:

Esto sigue siendo una amenaza grave que debe considerarse, principalmente en caso de un ataque dirigido, lo que significa que si el atacante puede activar su software solo en una pequeña cantidad de máquinas para limitar el riesgo de ser identificado pronto. Eso supone que el atacante es una organización fuerte y que usted como objetivo representa un alto valor porque, en cualquier otro caso, la relación ganancia / costo es baja y toda la operación no vale la pena.

De todos modos, la regla aquí es que Lastpass puede permitirle usar contraseñas de forma segura desde una máquina local, siempre que la máquina local esté segura . Si la máquina local se ve comprometida, y tener una extensión no deseada en su navegador es un compromiso grave, puede ocurrir cualquier cosa (registradores de teclas, robo o supresión de archivos, etc.)

    
respondido por el Serge Ballesta 15.11.2016 - 10:39
fuente

Lea otras preguntas en las etiquetas

¿Es generalmente seguro (y compatible) registrar un seguimiento de pila? A prueba de falsificaciones / comprobación de firma hecha a mano