LastPass continua siendo parte de los titulares y nuevamente es por malas razones. El servicio de gestión de contraseñas no es precisamente el mejor ejemplo de confianza. De fallos críticos de seguridad en sus extensiones para Chrome y Firefox, a terribles bugs que permiten robar todas las contraseñas de un usuario en un click, hasta haber sido hackeados filtrandose información personal de sus usuarios. Todo esto en menos de dos años.
El más reciente fallo de seguridad que se les ha descubierto, es un problema bastante grave con la forma en la que implementan el proceso de verificación en dos pasos. Un atacante podría deshabilitar la autenticación en dos factores si ya tiene la contraseña, básicamente, los dos factores no existían realmente.
El bug fue reportado por el investigador Martin Vigo, y LastPass ha emitido un comunicado anunciado que el fallo fue resuelto. Sin embargo, aunque LastPass explica que para que un atacante pudiese haber explotado el problema tendías habría tenido que tomar varios pasos para saltar el Autenticador de Google y además tendría que haber atraído al usuario a un sitio web malicioso primero.
Martin Vigo tiene una historia diferente: el investigador explica cómo LastPass estaba usando un hash de la contraseña del usuario para generar el código QR que se usaba para establecer la autenticación en dos pasos en el dispositivo de un usuario. Es decir, LastPass estaba guardando la semilla secreta de la verificación en dos pasos bajo una URL que puede ser derivada de tu contraseña. ¿Cómo es eso verificación en dos pasos?
Para poner esto en perspectiva, imagina que tienes una caja fuerte en tu casa en donde guardas tus posesiones más valiosas. ¿Te parece una buena idea tener la misma llave para la puerta de tu casa y para la caja fuerte? ¿Debería la llave de la puerta abrir la caja fuerte también?
Vigo también hizo notar que no era necesario para el atacante atraer a la víctima a ningún sitio web malicioso, podría robar el código QR desde un sitio web de confianza como Facebook o Gmail. Sin duda otra razón más para pensarlo dos veces antes de confiar en el servicio, y lamentablemente otra mancha negra en la reputación de los gestores de contraseñas.
Vía | ZDNet
En Genbeta | Usar o no usar un gestor de contraseñas, he ahí el dilema
Ver 17 comentarios
17 comentarios
kj_
Keepass y problema resuelto.
pacman2013
Yo nunca me he confiado en estos administradores de contraseñas, es como entregarle tu vida digital a un desconocido. Si acaso los usaría seria solamente para administrar contraseñas de sitios poco sensibles pero JAMÁS para mi correo principal ni para mis redes sociales.
protesta
Me quedo con 1Password, aunque no tiene 2FA.
akarayan
No, no...es que lo de guardar las contraseñas en LastPass o 1Password (aunque usen sus propios servidores y por muy cómodo que sea) DIRECTAMENTE NI ME LO PLANTEO. ¿Estamos locos o qué? ¿Darle a una empresa privada todas mis contraseñas?
Yo uso el almacén de contraseñas de Firefox protegido con una contraseña maestra...aunque alguna vez he leído que hay virus que son capaces de recopilar los archivos donde Firefox almacena las contraseñas.
O sea que, en principio y hasta donde yo entiendo, lo más seguro sería Keepass o similar cifrando contraseñas y, en caso de querer un respaldo de la base de contraseñas, guardar el backup en un disco duro o pendrive que estén desconectados de la red.
Usuario desactivado
He probado 1Password, LastPass y SafeInCloud, y me quedo sin lugar a dudas con esta última. Sin suscripciones. Si quieres la versión Pro, pagas una sola vez y listo. Y la base de datos de tus contraseñas se guarda cifrada en la nube de tu elección (Google Drive, OneDrive, Dropbox...).