¿Por qué LastPass me da una contraseña sin necesidad de mi clave MFA?

Navega tus respuestas
0

Abro mi navegador y navego a una página de inicio de sesión. Cuando hago clic en el asterisco de LastPass en el campo de entrada, se me solicita que inicie sesión. Ingreso mi contraseña y se abre otra pestaña que me solicita mi clave MFA (que recibo de Google Authenticator en mi teléfono). >

Sin embargo , si vuelvo al formulario desde el que activé el inicio de sesión, la contraseña ya está completa. (Este sitio, como muchos otros, está configurado para autocompletar, pero no para auto-enviar ).

¿Cómo es esto posible? ¿Está roto el MFA de LastPass?

    
pregunta fredley 08.01.2016 - 15:07
fuente

1 respuesta

3

Según tengo entendido, solo su contraseña maestra se utiliza para obtener la clave para proteger su secreto ( enlace )

El segundo factor se usa para evitar que un atacante obtenga acceso a los datos cifrados solo desde los servidores de último paso (descárguelo para el descifrado local). No para el cifrado / descifrado. No puedo encontrar una referencia que indique esto, pero tampoco ninguna referencia que diga que sí la usan para el cifrado. Y parece cierto, ya que solo pueden deshabilitarlo para usted ( enlace )

Probablemente le pide que actualice la caché de la base de datos cifrada local para el uso sin conexión ( enlace ), pero si Si cancela, todavía puede utilizar los datos antiguos de una búsqueda anterior. Estoy especulando un poco en esta parte, pero tiene sentido. podrían rechazar el uso de los datos después de que el segundo factor falla localmente, pero eso también interrumpiría el uso fuera de línea y no protegería los datos de un atacante que ya tiene la contraseña maestra y el acceso a los datos cifrados .

    
respondido por el CristianTM 08.01.2016 - 16:02
fuente

Lea otras preguntas en las etiquetas

Encriptación de la infraestructura del sistema Cómo eliminar Write-Only en 'USB cifrado' de la computadora portátil [cerrado]