¿Cómo hace Lastpass para descifrar mi bóveda móvil después de reiniciar solo con la huella digital?

Navega tus respuestas
8

Por lo tanto, mi bóveda (en dispositivo móvil) está cifrada con mi contraseña maestra. Sin la contraseña maestra, el descifrado no puede ocurrir.

Hay una opción para habilitar la autenticación de huellas digitales en los dispositivos móviles. Obviamente, eso solo se hace después de , ha proporcionado la Contraseña Maestra, y su bóveda ahora está "desbloqueada" (descifrada) localmente en el dispositivo.

Sin embargo, incluso si reinicio el dispositivo móvil, puedo volver a iniciar sesión solo con la huella digital. Entonces, ¿cómo puede descifrar mi bóveda después de reiniciar con solo la huella digital?

¿La bóveda "desbloqueada" significa que se almacena sin cifrar en el almacenamiento permanente del dispositivo (no en la RAM)? ¿La huella digital es solo un teatro de seguridad, ya que alguien puede omitir la aplicación y acceder a la bóveda (sin cifrar) directamente en el almacenamiento del dispositivo?

    
pregunta Slav 09.11.2017 - 19:53
fuente

1 respuesta

1

El cliente de Lastpass móvil almacena su contraseña en el bloqueo de teclas del dispositivo, que, en teoría, solo debería estar accesible después de ingresar las credenciales apropiadas. En este caso la huella dactilar.

Por supuesto, hay una gran diferencia entre la seguridad en Android para iOS (en general de todos modos) y no estoy familiarizado con las implementaciones de Android, aparte de decir que muchos dispositivos Android no tienen un casillero basado en hardware que potencialmente restringe seriamente nivel de seguridad que podría esperar.

En iOS, esto ha sido bien probado y se ha comprobado que es muy seguro, de ahí la batalla en curso entre Apple y el FBI.

Cuando está desbloqueado, la bóveda se mantiene en la memoria. Entonces, en teoría, sería posible obtener acceso. Sin embargo, utiliza una memoria protegida que no debería ser accesible a ninguna otra aplicación. Como iOS tiene una base más segura y restringida, es probable que esto sea más seguro allí que en Android. Aunque quizás un experto en Android pueda dar una respuesta más definitiva.

La desventaja de asegurar el último paso con una huella digital es que el control fronterizo de los EE. UU. ha decidido que se le puede obligar a proporcionar una huella digital, pero no se le puede obligar a proporcionar una contraseña. Esto ha sido verificado en los tribunales de los Estados Unidos.

Cuando viajo a los EE. UU., elimino todos los servicios en la nube, excepto los que no me interesan. Ciertamente desinstalo lastpass y lo vuelvo a agregar más tarde. Eso no solo se aplica a los Estados Unidos, por supuesto.

Usar una huella digital no es solo teatro, pero sí reduce la seguridad. Aunque no es probable que sea suficiente para preocupar a la mayoría de la gente. Por supuesto, solo uso LastPass para contraseñas menos críticas. Los más sensibles se guardan en una bóveda separada a la que se accede utilizando una herramienta multiplataforma diferente. Eso no tiene integración de huellas digitales y no mantengo la bóveda abierta de todos modos, a diferencia de LastPass, que a menudo tengo abierta.

    
respondido por el Julian Knight 12.11.2017 - 16:15
fuente

Lea otras preguntas en las etiquetas

¿Cómo obtener privacidad y autenticidad con DNS? ¿Cuál es el propósito del JSON Web Token (JWS) emitido en el campo "iat"?