Analisi di sicurezza di Dashlane

Naviga le tue risposte
12

Mi è stato chiesto da un utente se raccomandassi l'uso di Dashlane password manager. Sono consapevole che altri gestori di password hanno avuto alcuni problemi di sicurezza significativi, tra cui XSS e CSRF (vedi sotto). Il gestore delle password di Dashlane è vulnerabile a questi problemi? Qualcuno ha fatto un'analisi indipendente della sicurezza per vedere se condivide questi problemi?

Ad esempio, il seguente documento di ricerca pubblicato ha analizzato la sicurezza di cinque noti gestori di password (LastPass, RoboForm, My1login, Passwordbox e NeedMyPassword) e ha rilevato vulnerabilità di sicurezza in quattro dei cinque:

Le vulnerabilità spaziano dalle vulnerabilità XSS e CSRF di vari tipi di giardino, agli attacchi più oscuri basati sullo sfruttamento dei bookmarklet e al fatto che potrebbero essere eseguiti in un contesto insieme a Javascript dannoso.

Tuttavia, quel documento non ha analizzato il gestore di password di Dashlane, forse perché solo di recente ha iniziato ad attirare l'attenzione ea conquistare quote di mercato significative.

Esiste qualche analisi di sicurezza pubblicamente disponibile del gestore di password di Dashlane, ad esempio, per valutare se è vulnerabile a tali tipi di vulnerabilità o altre risorse o linee guida per aiutare gli utenti a decidere se dovrebbero fidarsi della sicurezza?

    
posta D.W. 09.12.2014 - 20:59
fonte

3 risposte

7

Nel maggio 2016 è stata eseguita un'analisi della sicurezza:

L'analisi tenta di individuare in gran parte gli stessi tipi di vulnerabilità del Li et al. carta citata nella domanda. Hanno cercato gli attacchi XSS, ma non ne hanno trovati. Sono anche riusciti a bypassare la funzione di autenticazione del dispositivo di Dashlane. Nel complesso, hanno trovato Dashlane abbastanza sicuro.

Hanno analizzato la versione 4.1.1 di Dashlane. Dashlane è stato aggiornato alla versione 4.6.8.

    
risposta data 25.03.2017 - 10:45
fonte
2

Qualsiasi cosa che memorizzi la tua password su un server online al di fuori del tuo controllo è da considerarsi insicura; non esiste un motivo valido per l'intera raccolta di password per lasciare la rete domestica.

Il software che il tuo servizio di gestione password online (non si applica solo a Dashlane) è molto probabilmente chiuso, non sai nulla delle loro procedure di sicurezza, né se le tue password sono realmente crittografate o semplicemente in un file passwords.txt .

In secondo luogo, la loro crittografia - supponiamo che usino la crittografia standard del settore che non è imperfetta, e la chiave è l'hash della password con un hash computazionalmente costoso per prevenire bruteforce ... sembra grandioso, giusto? Ma cosa succede se un sysadmin malvagio, uno sviluppatore o un aggressore ha avuto accesso al server? Anche se non può decifrare direttamente il database, può modificare il codice che gestisce l'accesso per acquisire la password e attendere l'accesso. Inoltre, potresti non essere un obiettivo di alto profilo e nessun utente malintenzionato sprecherebbe il suo tempo a compromettere tu, ma qui l'hacker punta invece a compromettere l'intero servizio di gestione delle password per ottenere i pass per tutti gli utenti, non solo per te.

Poi, ci sono le forze dell'ordine, possono quasi costringere la compagnia a rivelare le tue password; se i database sono crittografati, probabilmente useranno l'approccio sopra indicato e attenderanno l'accesso. Mentre le password per la maggior parte dei servizi online non hanno molto valore dal momento che le forze dell'ordine possono anche costringerli a rivelare i propri dati, le password per i servizi in altri paesi (dove LA non ha autorità) oi tuoi server / unità crittografate sono molto preziosi per loro.

Ora confrontalo con un database Keepass memorizzato localmente su un disco rigido possibilmente crittografato, dove un utente malintenzionato dovrebbe rubare fisicamente la macchina (e quindi bruteforce eventuale crittografia del disco e la password del database), modificarlo (aggiungi un keylogger e attendi per accedere e decrittografare il DB di passaggio) o comprometterlo a distanza che non vale il suo tempo se non si è un target di alto profilo ed è spesso difficile.

    
risposta data 10.12.2014 - 17:58
fonte
-3

There’s only one key to unlocking your encrypted data. By default, you and only you have it. It’s how we make sure that even if hackers breached our servers, there would be nothing that could tie your information to you.

Almeno questo è ciò che dicono .

    
risposta data 03.03.2017 - 11:59
fonte

Leggi altre domande sui tag

Dove segnalare la perdita di dati della carta di credito e del telefono esn Perché il grande salto nella numerazione CVE-2017?