¿LastPass SMS Recovery es un riesgo para la seguridad?

9

Según las preguntas frecuentes de LastPass, los empleados de LastPass no pueden ver ni descifrar las contraseñas almacenadas.

  

LastPass encripta tu bóveda antes de que vaya al servidor usando   Encriptación AES de 256 bits. Dado que la bóveda ya está cifrada antes de que   deja su computadora y llega al servidor LastPass, ni siquiera   ¡Los empleados de LastPass pueden ver sus datos confidenciales!

Sin embargo, hay una opción para usar SMS Recovery en caso de que se pierda una contraseña maestra.

  

Un método para obtener acceso a su cuenta después de que olvida su   La contraseña maestra es utilizar la recuperación de SMS para restablecer la contraseña. Esta   Sin embargo, este método requiere que habilite la recuperación de la cuenta SMS en   LastPass antes de que olvide su contraseña maestra. Si ya tienes   recuperación de SMS habilitada para la recuperación de contraseña maestra, haga lo siguiente:

     
  1. Vaya a enlace , ingrese su dirección de correo electrónico y luego haga clic en Continuar.
  2.   
  3. El sistema le envía a tu teléfono un código numérico. Ingrese este código en su navegador y haga clic en Verificar.
  4.   
  5. Haga clic en Presione para recuperar la cuenta.
  6.   
  7. Si la autenticación multifactor está habilitada, autentíquese, pero debe escribir los números de autenticación en su web   navegador para este paso.
  8.   
  9. Cuando aparezca la siguiente ventana informando que se ha detectado la recuperación de la cuenta y que debe cambiar su contraseña de inmediato,   haga clic en Aceptar para continuar.
  10.   
  11. Ingrese una nueva Contraseña maestra y una sugerencia de contraseña (opcional), luego haga clic en Confirmar.
  12.   
  13. Cuando se le solicite un mensaje que indique que su contraseña ha cambiado y le recomienda que cierre la sesión manualmente (si no está   desconectado), haga clic en Aceptar para continuar.
  14.   
  15. Una vez que se haya desconectado de LastPass, puede volver a iniciar sesión con su nueva contraseña maestra.
  16.   

Esto sugiere que las contraseñas almacenadas se descifran sin conocer la contraseña maestra original y las vuelve a cifrar con la nueva contraseña maestra. Esto sucede todo el lado del servidor.

Para mí, parece que los empleados de LastPass podrían abusar de este método para descifrar las contraseñas de los usuarios.

¿Estoy en lo correcto o me estoy perdiendo algo?

    
pregunta eKKiM 30.08.2018 - 10:42
fuente

1 respuesta

2

El riesgo real

Sí, es un riesgo de seguridad, y no tiene que tener nada que ver con cómo hacen posible la recuperación de la contraseña en su extremo. Tiene que ver con el simple hecho de que SMS no es un canal seguro para 2FA o recuperación de cuenta, un hecho que ha estado haciendo muchas olas en las noticias recientemente. Aquí hay un artículo donde los investigadores de seguridad interceptan los SMS que viajan en las redes móviles:

enlace

Pero otro método de ataque común (y relativamente fácil) es algo que se llama intercambio de SIM:

enlace

Estoy seguro de que hay más opciones, pero todas tienen el mismo efecto: un atacante determinado tiene muchas formas de interceptar los mensajes de texto de un objetivo durante un período de tiempo lo suficientemente largo como para interceptar la recuperación de la cuenta en casos como este. En la práctica, si un atacante quería acceder a su cuenta, sabía que tenía recuperación de SMS en su cuenta de LastPass y también sabía su número de teléfono, entonces ellos ejecutarían uno de los ataques anteriores contra su proveedor de telefonía celular, solicitarían un restablecimiento de LastPass y inmediatamente reinicie su contraseña maestra de LastPass a algo de su elección. Ahora tienen acceso completo a todas sus contraseñas. Si se sienten especialmente vengativos, es probable que incluso puedan excluirlo permanentemente de todas sus cuentas (desactivando la recuperación de la cuenta y luego cambiando su contraseña maestra una vez más).

Empleados de LastPass

Por supuesto, su principal preocupación eran los empleados de LastPass. Esa pregunta, sin embargo, es mucho más difícil de responder. La respuesta depende de qué tipo de controles de acceso tienen internamente dentro de sus propios sistemas. Ciertamente, su sospecha general es correcta: si es posible restablecer la contraseña, entonces deben tener acceso de alguna manera a su archivo de contraseña maestra (aunque probablemente solo si activa la recuperación de la cuenta, ya que dicen que solo funciona si primero activa la recuperación de la cuenta). ). Esto significa que el sistema LastPass puede descifrar sus contraseñas. Sin embargo, este no significa que los empleados pueden abusar de él. Muchas empresas, especialmente aquellas que almacenan datos confidenciales para usuarios finales, tienen muchos controles de acceso internos que impiden que los empleados obtengan acceso directo a los datos de los usuarios finales. Sin embargo, dudo que alguien aquí pueda decirle si ese es el caso de LastPass o no.

En la práctica, me preocuparía mucho más los riesgos asociados con la recuperación de cuentas a través de SMS que con los empleados maliciosos de LastPass. De cualquier manera, LastPass dice que la recuperación de la cuenta solo es posible si la has habilitado, por lo que si la desactivas no deberías tener nada de qué preocuparte (a menos que no confíes en que LastPass sea honesto, en cuyo caso debes calcularlo). cómo ejecutar un administrador de contraseñas usted mismo). Simplemente no olvides tu contraseña maestra.

    
respondido por el Conor Mancone 30.08.2018 - 11:55
fuente

Lea otras preguntas en las etiquetas