¿Qué tan segura podría estar la aplicación LastPass de Android con un PIN de cuatro dígitos?

9

Utilizo LastPass para Android con la opción PIN. Después de haber ingresado mi contraseña completa de Lastpass la primera vez que usé la aplicación, ahora cuando abro la aplicación, tengo acceso a todas mis contraseñas simplemente ingresando un PIN de cuatro dígitos.

¿Qué tan seguro puede ser esto? ¿Dónde podrían los datos almacenados de tal manera que solo sean accesibles mediante PIN? ¿Es probable que las contraseñas se almacenen en el sistema de archivos de Android sin cifrar? ¿Quizás las contraseñas se almacenan en el sistema de archivos de Android cifrado con el PIN como clave?

Me preocupa que si el usuario puede acceder a los datos con un PIN de cuatro dígitos, también lo pueda hacer un atacante. Me preocupa un atacante en línea o electrónico, no un acceso físico a la dispositivo. Tenga en cuenta que el dispositivo (Samsung Note 3) aún no está rooteado, pero es probable que tenga una ROM personalizada instalada en algún momento en el futuro.

    
pregunta dotancohen 14.07.2014 - 19:45
fuente

4 respuestas

3
Los

códigos PIN cortos son un obstáculo serio para los atacantes solo en los contextos de ataque del diccionario online . La distinción es la siguiente:

  • Ataque de diccionario en línea : para cada contraseña potencial / código PIN, el atacante debe intentarlo contra un sistema honesto (servidor, aplicación en ejecución ...).

  • Ataque de diccionario sin conexión : el atacante podría obtener algunos datos (valor cifrado, archivo cifrado ...) permitiéndole probar posibles contraseñas / códigos PIN en su propia máquina.

Los ataques de diccionario sin conexión son mucho más potentes, ya que pueden ejecutarse a la velocidad máxima de la PC que el atacante se encarga de la tarea. A la inversa, los ataques de diccionario en línea pueden ser frustrados por el "sistema honesto" que responde solo lentamente, o incluso se niega a responder después de demasiados fallos. Este es el modelo de tarjetas inteligentes: se bloquean después de 3 (o 5 o algún otro valor configurable) códigos PIN incorrectos.

En el caso de LastPass, la teoría es que debes mantener la seguridad física de tu dispositivo (no permitas que te roben tu teléfono inteligente); el código PIN es solo una protección adicional para los "atacantes ocasionales" que intentarán obtener las contraseñas en un contexto de ataque de diccionario en línea (es decir, el atacante es un "amigo" que toma prestado su teléfono inteligente temporalmente pero desea permanecer discreto, y por lo tanto no lo abra para acceder directamente a los archivos).

    
respondido por el Thomas Pornin 14.07.2014 - 21:57
fuente
1

Sí, si el usuario puede acceder a los datos con un PIN de 4 dígitos, también lo puede hacer un atacante (al menos con acceso físico al dispositivo).

Mi conjetura es que las contraseñas se almacenan cifradas en su formato original, pero la clave de descifrado (derivada de la contraseña del usuario) se almacena cifrada con una clave basada en el PIN de 4 dígitos. Por supuesto, con un espacio tan pequeño, es trivial para un atacante con acceso a los archivos para forzar el PIN y recuperar las contraseñas. FWIW, parece que no tiene que habilitar el modo PIN en LastPass.

    
respondido por el David 14.07.2014 - 20:15
fuente
0

Sus datos se cifran localmente con la clave derivada de su hash de contraseña maestra con 4000 repeticiones de forma predeterminada.

El PIN es una opción de conveniencia local. Si tuviera que instalar Lastpass en un dispositivo nuevo, tendría que volver a ingresar su contraseña maestra.

Para que quede claro, el PIN se usa para desbloquear su bóveda sin conexión. No se utiliza para el descifrado o la autenticación. La opción PIN solo está disponible para dispositivos móviles para bloquear y desbloquear la bóveda. Básicamente, le dice a Lastpass que recuerde mi nombre de usuario y contraseña como dispositivo de confianza, pero en caso de que alguien intercepte su teléfono cuando está desbloqueado, necesita un PIN para poder acceder a la aplicación.

También recomiendo activar la autenticación de Google para que los nuevos dispositivos que intentan instalar Lastpass y acceder a su cuenta tengan su autenticador. Esta es una buena manera de evitar que las personas accedan a tus cosas, incluso si conocen tu contraseña maestra.

    
respondido por el Andrew Hoffman 14.07.2014 - 21:45
fuente
0

La contraseña maestra de Lastpass nunca se almacena en el teléfono Android. Está solo en memoria (RAM). Sin embargo, su sesión con el servidor de Lastpass no se extingue incluso si reinicia su dispositivo. Una copia encriptada de su contraseña maestra se almacena en el servidor de Lastpass. Si su sesión está activa, el teléfono descarga esa versión encriptada y la descifra con la clave aleatoria de 256 bits almacenada en el teléfono. Tenga en cuenta que esa clave aleatoria se almacena en el teléfono, no en la contraseña maestra. Si cancela la sesión, el servidor Lastpass eliminará esa copia encriptada en su servidor que está vinculado a la sesión.

Apague su wifi y sus datos, reinicie, y verá que no podrá iniciar sesión solo con el pin. Eso es porque la contraseña maestra nunca se almacena en el teléfono. Además, si cancela la sesión telefónica con el servidor de Lastpass (puede hacerlo con la versión de escritorio si va a configurar), el pin en el teléfono ya no funcionará.

Hay otras medidas de seguridad que Lastpass usa con el pin. Por ejemplo, después de algunos intentos incorrectos (probablemente cinco? Pruébelo), el software Lastpass eliminará la sesión y eliminará la clave de cifrado de la memoria. Luego debes ingresar la contraseña maestra completa para iniciar sesión.

    
respondido por el user12480 04.11.2015 - 00:11
fuente

Lea otras preguntas en las etiquetas