Análisis de seguridad de Dashlane

Question

Análisis de seguridad de Dashlane

#1 de Jan (7 votos)
#2 de user42178 (2 votos)
#3 de Mathius (-3 votos)

12

Un usuario me ha preguntado si recomendaría usar el administrador de contraseñas de Dashlane. Soy consciente de que otros administradores de contraseñas han tenido algunos problemas de seguridad importantes, como XSS y CSRF (ver más abajo). ¿Es el administrador de contraseñas de Dashlane vulnerable a esos problemas? ¿Alguien ha realizado un análisis de seguridad independiente para ver si comparte esos problemas?

Por ejemplo, el siguiente trabajo de investigación publicado analizó la seguridad de cinco administradores de contraseñas populares (LastPass, RoboForm, My1login, Passwordbox y NeedMyPassword) y encontró vulnerabilidades de seguridad en cuatro de los cinco:

El nuevo administrador de contraseñas del Emperador: análisis de seguridad de los administradores de contraseñas basados en la web . Zhiwei Li, Warren He, Devdatta Akhawe, Dawn Song. Simposio de seguridad de Usenix, 2014.

Las vulnerabilidades iban desde vulnerabilidades XSS y CSRF de variedad de jardín, hasta ataques más oscuros basados en explotar marcadores y el hecho de que podrían ejecutarse en un contexto junto con Javascript malicioso.

Sin embargo, ese documento no analizó el administrador de contraseñas de Dashlane, tal vez porque solo recientemente ha comenzado a llamar la atención y capturar una cuota de mercado significativa.

¿Existe algún análisis de seguridad disponible públicamente del administrador de contraseñas de Dashlane, por ejemplo, para evaluar si es vulnerable a ese tipo de vulnerabilidades, o cualquier otro recurso u orientación para ayudar a los usuarios a decidir si deben confiar en que sea seguro? / p>

password-management penetration-test risk-analysis

pregunta D.W. 09.12.2014 - 20:59

fuente

3 respuestas

2

Cualquier cosa que almacene su contraseña en un servidor en línea fuera de su control debe considerarse insegura; No hay una razón válida para que la totalidad de su colección de contraseñas salga de su red doméstica.

El software que usa su servicio de administrador de contraseñas en línea (no solo se aplica a Dashlane) es probablemente de código cerrado, usted no sabe nada acerca de sus procedimientos de seguridad ni si sus contraseñas están realmente encriptadas o simplemente se encuentran en un archivo passwords.txt .

En segundo lugar, su encriptación: supongamos que utilizan criptografía estándar de la industria que no es defectuosa, y la clave es su contraseña con un hash computacionalmente costoso para evitar la fuerza bruta ... se ve muy bien, ¿no? Pero, ¿qué pasa si un administrador de sistemas, un desarrollador o un atacante no autorizado accediera al servidor? Si bien no puede descifrar directamente la base de datos, puede modificar el código que controla el inicio de sesión para capturar su contraseña y esperar a que inicie sesión. Además, es posible que no sea un objetivo de alto perfil y que ningún atacante pierda su tiempo comprometiendo usted, pero aquí el atacante pretende comprometer todo el servicio de administración de contraseñas para obtener los pases para todos los usuarios, no solo usted.

Luego, hay agentes de la ley, casi siempre pueden obligar a la compañía a revelar sus contraseñas; Si las bases de datos están cifradas, probablemente utilizarán el método indicado anteriormente y esperarán a que inicie sesión. Si bien las contraseñas para la mayoría de los servicios en línea no tienen mucho valor, ya que la policía también puede obligarlas a divulgar sus datos. otros países (donde LA no tiene autoridad) o sus servidores / unidades cifradas son muy valiosos para ellos.

Ahora compárelo con una base de datos Keepass almacenada localmente en un disco duro posiblemente encriptado, donde un atacante debería robar físicamente la máquina (y luego codificar el cifrado de disco y la contraseña de la base de datos), modificarla (agregar un keylogger y esperar) iniciar sesión y descifrar la base de datos de pase), o comprometerla de forma remota, lo que no vale la pena si no eres un objetivo de alto perfil y, a menudo, es difícil.

respondido por el user42178 10.12.2014 - 17:58

fuente

-3

Solo hay una clave para desbloquear los datos cifrados. Por defecto, tú y solo tú lo tienes. Así es como nos aseguramos de que, incluso si los piratas informáticos infringen nuestros servidores, no habrá nada que pueda vincular su información con usted.

Al menos eso es lo que dicen .

respondido por el Mathius 03.03.2017 - 11:59

fuente

Lea otras preguntas en las etiquetas password-management penetration-test risk-analysis

Cómo usar una llave USB encontrada de manera segura ¿Por qué el gran salto en la numeración de CVE-2017?

score 7 · Accepted Answer

En mayo de 2016 se realizó un análisis de seguridad:

Análisis de seguridad de Dashlane por Paolo Gentili, Sarah Shader, Richard Yip, Brandon Zeng

Ese análisis intenta buscar en gran parte los mismos tipos de vulnerabilidades que Li et al. papel citado en la pregunta. Buscaron ataques XSS, pero no encontraron ninguno. También pudieron evitar la función de autenticación del dispositivo de Dashlane. En general, encontraron a Dashlane bastante seguro.

Analizaron la versión 4.1.1 de Dashlane. Dashlane se ha actualizado a la versión 4.6.8.