Il recupero di One-Time-Password memorizzato localmente LastPass è un problema di sicurezza?

20

Se si dimentica la password principale LastPass, LastPass offre la possibilità di ripristinare l'accesso al vault utilizzando una password One-Time (OTP) che viene archiviata localmente ma inizialmente disabilitata.

La procedura è descritta qui:

Va avanti così:

  1. Vai alla pagina di recupero dell'account.
  2. Inserisci l'indirizzo e-mail che utilizzi come accesso a LastPass
  3. Ora ricevi un'e-mail con le istruzioni su come procedere e una password temporanea memorizzata localmente è stata abilitata.
  4. Usando questa password dovresti essere in grado di ripristinare l'accesso al tuo database delle password senza usando la tua password principale. (Non so come funzioni, ma forse LastPass ha una seconda copia del database delle password crittografata usando questo OTP oltre al database crittografato usando la password principale.)

Tuttavia, poiché molte persone hanno configurato il proprio programma di posta per l'account di posta che usano come login per LastPass, ciò significa che se qualcuno accede al proprio computer e riesce ad accedere, può:

  • Abilita l'OTP memorizzato localmente utilizzando il link di ripristino.
  • Leggi le istruzioni inviate via e-mail perché anche tu hai accesso al tuo programma di posta elettronica locale.
  • Ottieni pieno accesso all'intero database delle password.

E possono farlo senza conoscendo la tua password principale?

C'è qualcosa che ho frainteso?

    
posta mgd 09.06.2012 - 22:09
fonte

3 risposte

12

In realtà ho provato a utilizzare il recupero dell'account con LastPass solo per testarlo il 5 marzo 2014. Lastpass ti invia un link valido per 48 ore tramite l'account di posta elettronica associato a Lastpass. È necessario accedere a questo link da un browser con un plugin Lastpass installato. Se questo plug-in è stato utilizzato per accedere all'account lastpass con l'indirizzo e-mail utilizzato per il recupero dell'account e se è stata abilitata l'opzione One Time Password, verrai reindirizzato al tuo vault e ti verrà offerta la possibilità di modificare la password principale. TUTTAVIA, se non si modifica la password principale, rimarrai comunque nel tuo vault lastpass, con i vari accessi visibili. Non è possibile esportarli senza conoscere la password principale, ma è possibile esaminare (modificare) i vari accessi individuali. Quindi qualcuno potrebbe prendere ad esempio le informazioni di accesso alla banca senza mai cambiare la password principale. Potresti non sapere mai che questo è successo. Questo presume che qualcuno abbia accesso al tuo account di posta elettronica, ad esempio, se lo hai lasciato aperto sul tuo computer quando sei uscito.

Penso che disattivare One Time Password sia un'ottima idea. E la password One Time nelle opzioni avanzate nel plugin è PER MACCHINA. Quindi tutti gli altri browser che usi, o versioni portatili, o se hai mai effettuato l'accesso a lastpass dal computer di qualcuno utilizzando il loro browser e plug-in.

Penso che LastPass dovrebbe probabilmente disabilitare One Time Password per impostazione predefinita, anche se alcuni utenti probabilmente dimenticheranno la loro password principale e perderanno l'accesso al proprio vault della password. Lastpass dovrebbe almeno rendere l'account One Time Password ampio, non per macchina. Quindi non devi ricordare ogni macchina da cui hai mai effettuato il login.

    
risposta data 05.03.2014 - 22:24
fonte
8

Ci sono diversi modi per implementare tale funzionalità, ma in generale sì tutti rappresentano rischi significativi per la sicurezza, soprattutto perché possiedono anche il tuo database di password.

LastPass potrebbe offrire alcune informazioni di contatto di emergenza per disabilitare questa funzione in caso di furto della tua macchina. È possibile evitare di utilizzare LastPass per tutte le password che forniscono informazioni finanziarie o di identificazione più approfondite.

Esistono diversi programmi di database di password open source come KeePass e KeePassX che memorizzano localmente l'intero database delle password.

    
risposta data 09.06.2012 - 22:40
fonte
4

Vedo l'OTP locale come un rischio per la sicurezza, tuttavia, c'è un'opzione per disabilitarlo nelle estensioni del browser (almeno per firefox e chrome). Io disattivo sempre l'OTP locale su ciascun browser dopo aver installato l'estensione lastpass, il che significa, naturalmente, che perderò il mio vault se dimenticherò la mia password principale. Penso che sarebbe più sicuro se lastpass avesse l'OTP locale disabilitato di default. Immagino che dovessero fare qualche scambio tra sicurezza e insoddisfazione degli utenti quando hanno dimenticato la loro password.

    
risposta data 25.09.2012 - 03:21
fonte

Leggi altre domande sui tag