è LastPass SMS Recovery un rischio per la sicurezza?

10

Secondo le domande frequenti di LastPass, i dipendenti di LastPass non possono vedere né decrittografare le password memorizzate.

LastPass encrypts your Vault before it goes to the server using 256-bit AES encryption. Since the Vault is already encrypted before it leaves your computer and reaches the LastPass server, not even LastPass employees can see your sensitive data!

Tuttavia, esiste un'opzione per utilizzare il recupero di SMS in caso di perdita della password principale.

One method of gaining access to your account after you forget your Master Password is to use SMS recovery to reset the password. This method, however, requires that you enable SMS account recovery in LastPass before you forget your Master Password. If you have already enabled SMS recovery for Master Password retrieval, do the following:

  1. Navigate to https://lastpass.com/recover.php, enter your email address, then click Continue.
  2. The system texts your phone a numeric code. Enter this code into your browser, and click Verify.
  3. Click Press to Recover Account.
  4. If Multifactor Authentication is enabled, authenticate yourself, but you must type the authentication numbers in your web browser for this step.
  5. When the next window appears advising that Account Recovery has been detected and that you must immediately change your password, click OK to proceed.
  6. Enter a new Master Password and a password hint (optional), then click Confirm.
  7. When prompted with a message that your password has changed and advising you to log out manually (if you are not automatically logged out), click OK to proceed.
  8. Once you have been logged off of LastPass, you can log back in again using your new Master Password.

Questo suggerisce che le password memorizzate siano decifrate senza conoscere la password principale originale e le re-cifrano con la nuova password principale. Succede tutto sul lato server.

Per me, sembra che i dipendenti LastPass possano abusare di questo metodo per decrittografare le password degli utenti.

Ho corretto o mi manca qualcosa?

    
posta eKKiM 30.08.2018 - 10:42
fonte

2 risposte

4

Nota

Questa risposta discute alcune importanti avvertenze da tenere a mente per sistemi come questo in generale, ma manca di dettagli rilevanti sull'implementazione del sistema di recupero di LastPass. Per maggiori dettagli specifici su LastPass, vedi l'eccellente risposta di @ korsbakken.

Il vero rischio

Sì, è un rischio per la sicurezza e non deve avere nulla a che fare con in che modo rende possibile il recupero della password da parte loro. Ha a che fare con il semplice fatto che SMS non è un canale sicuro per 2FA o il recupero dell'account, un fatto che ha fatto un sacco di ondate nelle notizie di recente. Ecco un articolo in cui i ricercatori di sicurezza intercettano gli SMS che viaggiano sulle reti mobili:

link

Ma un altro metodo di attacco comune (e relativamente facile) è qualcosa chiamato scambio di SIM:

link

Ci sono altre opzioni, ne sono sicuro, ma hanno tutti lo stesso effetto: un attaccante determinato ha molti modi per intercettare i messaggi di testo di un bersaglio per un periodo di tempo abbastanza lungo da intercettare il recupero dell'account in casi come questo. In pratica, se un utente malintenzionato voleva accedere al tuo account, sapeva che hai avuto il recupero SMS sul tuo account LastPass e sapeva anche il tuo numero di telefono, quindi avrebbero eseguito uno degli attacchi sopra contro il tuo gestore di telefonia mobile, richiedere un reset da LastPass, e resetta immediatamente la tua password master LastPass a qualcosa di loro scelta. Ora hanno pieno accesso a tutte le tue password. Se si sentono particolarmente vendicativi, possono probabilmente anche chiuderti definitivamente da tutti i tuoi account (disattivando il recupero dell'account e modificando nuovamente la password principale).

Dipendenti LastPass

Naturalmente la tua preoccupazione principale erano i dipendenti LastPass. Questa domanda, tuttavia, è molto più difficile da rispondere. La risposta dipende dal tipo di controllo di accesso che hanno internamente nei propri sistemi. Certamente il tuo sospetto generale è corretto: se è possibile reimpostare la password, è necessario che abbiano in qualche modo accesso al tuo file di password principale (probabilmente solo se attivi il recupero dell'account, poiché dicono che funziona solo se accendi prima il recupero dell'account) ). Questo significa che il sistema LastPass può potenzialmente decrittografare le tue password. Tuttavia, questo non significa che i dipendenti possono abusarne. Molte aziende, in particolare quelle che memorizzano dati sensibili per gli utenti finali, dispongono di numerosi controlli di accesso interni che impediscono ai dipendenti di ottenere l'accesso diretto ai dati dagli utenti finali. Tuttavia, dubito che qualcuno qui possa dirti se questo è il caso di LastPass.

In pratica sarei molto più preoccupato per i rischi associati al recupero dell'account tramite SMS di quanto non farei con i dipendenti malintenzionati di LastPass. In entrambi i casi LastPass dice che il recupero dell'account è possibile solo se lo hai abilitato, quindi se lo spegni non dovresti avere nulla di cui preoccuparti (a meno che non ti fidi di LastPass per essere onesto, nel qual caso devi capire come eseguire un gestore di password da soli). Non dimenticare la tua password principale.

    
risposta data 30.08.2018 - 11:55
fonte
5

Sì, è un leggero rischio per la sicurezza, per il motivo Conor Mancone fa notare. Ma no, non significa che LastPass memorizzi la tua password principale sui loro server, e che gli hacker non debbano fare altro che ottenere semplicemente gli SMS di recupero.

Per utilizzare il ripristino di SMS, è necessario avere accesso a un computer e browser in cui è stato precedentemente utilizzato LastPass. LastPass genera e memorizza una password di ripristino una tantum (rOTP) sul tuo computer quando accedi per la prima volta su un nuovo computer / browser. Questo rOTP funziona essenzialmente come una seconda password principale e viene memorizzato solo localmente sul computer, ma viene disabilitato finché non si richiede il recupero dell'account. L'SMS di recupero attiva solo il rOTP, permettendoti di accedere e decrittografare il tuo vault, dopodiché puoi ricodificarlo utilizzando una nuova password principale a tua scelta (il rOTP è disabilitato in modo permanente dopo essere stato utilizzato una sola volta).

Senza l'accesso a un computer in cui è già stato utilizzato LastPass, il ripristino di SMS non funzionerà. Ciò significa che tutti gli hacker o i dipendenti LastPass che vogliono usarlo per accedere al tuo vault dovrebbero prima ottenere l'accesso a un computer su cui hai precedentemente effettuato l'accesso a LastPass e dove non hai preso le misure per eliminare eventuali tracce lasciate indietro.

Ulteriori dettagli sono disponibili nel post del blog annunciando la funzione di recupero SMS. file di aiuto LastPass che citi sfortunatamente è ambiguo e confuso su la parte rOTP.

Una descrizione più tecnica (e meno ambigua) può essere trovata nel white paper tecnico LastPass (Non sono sicuro che il collegamento sia stabile, quindi fai clic su "White paper tecnico" nella parte inferiore di Panoramica di LastPass Enterprise se è danneggiata). Vedi pagina 10, sotto "Ripristino".

    
risposta data 28.12.2018 - 06:38
fonte

Leggi altre domande sui tag