Quanto è sicuro l'applicazione Android LastPass con un PIN di quattro cifre?

9

Uso LastPass per Android con l'opzione PIN. Dopo aver inserito la mia password Lastpass completa la prima volta che ho usato l'app, ora quando apro l'applicazione ho accesso a tutte le mie password semplicemente inserendo un PIN di quattro cifre.

Quanto può essere sicuro? Dove possono essere memorizzati i dati in modo tale che siano accessibili solo tramite PIN? È probabile che le password siano archiviate nel file system Android non crittografate? Forse le password sono memorizzate sul file system Android crittografato con il PIN come chiave?

Sono preoccupato che se l'utente potesse accedere ai dati con un PIN di quattro cifre, allora potrebbe farlo anche un aggressore. Sono preoccupato per un attaccante online o altrimenti elettronico, non per l'accesso fisico al dispositivo. Si noti che il dispositivo (Samsung Note 3) non è ancora stato rootato, ma probabilmente avrà una ROM personalizzata installata su di esso in futuro.

    
posta dotancohen 14.07.2014 - 19:45
fonte

4 risposte

2

I codici PIN brevi rappresentano un serio ostacolo per gli aggressori solo nei contesti di attacco del dizionario online . La distinzione è la seguente:

  • Attacco dizionario online : per ogni potenziale password / codice PIN, l'attaccante deve provarlo con un sistema onesto (server, app in esecuzione ...).

  • Attacco dizionario offline : l'autore dell'attacco può ottenere alcuni dati (valore hash, file crittografato ...) che gli consentono di testare potenziali password / codici PIN sulla propria macchina.

Gli attacchi del dizionario offline sono molto più potenti dal momento che possono essere eseguiti alla massima velocità del PC a cui l'utente malintenzionato si preoccupa di dedicarsi. Viceversa, gli attacchi del dizionario online possono essere vanificati dal "sistema onesto" che risponde solo lentamente, o addirittura si rifiuta di rispondere dopo troppi fallimenti. Questo è il modello delle smart card: bloccano dopo 3 (o 5 o altri valori configurabili) codici PIN errati.

Nel caso di LastPass, la teoria è che si dovrebbe mantenere la sicurezza fisica del dispositivo (non consentire il furto dello smartphone); il codice PIN è solo una protezione extra per "attaccanti occasionali" che cercano di ottenere le password in un contesto di attacco dizionario online (cioè l'attaccante è un "amico" che temporaneamente prende in prestito il tuo smartphone ma vuole rimanere discreto, e quindi non aprirlo per accedere direttamente ai file).

    
risposta data 14.07.2014 - 21:57
fonte
1

Sì, se l'utente può accedere ai dati con un PIN di 4 cifre, può farlo anche un aggressore (almeno con accesso fisico al dispositivo).

La mia guess è che le password vengono archiviate crittografate nel loro formato originale, ma la chiave di decrittografia (derivata dalla password dell'utente) è memorizzata con una chiave crittografata basata sul PIN a 4 cifre. Naturalmente, con uno spazio così piccolo, è banale che un utente malintenzionato acceda ai file per forzare il PIN e recuperare le password. FWIW, sembra che tu non debba abilitare la modalità PIN in LastPass.

    
risposta data 14.07.2014 - 20:15
fonte
0

I tuoi dati sono crittografati localmente con la chiave derivata dall'hash della password principale con 4000 ripetizioni per impostazione predefinita.

Il PIN è un'opzione di convenienza locale. Se dovessi installare lastpass su un nuovo dispositivo, dovrai inserire nuovamente la tua password principale.

Per essere chiari, il PIN viene utilizzato per sbloccare il vault offline. Non è utilizzato per la decrittazione o l'autenticazione. L'opzione PIN è disponibile solo per i dispositivi mobili per il blocco e lo sblocco del vault. In sostanza sta dicendo lastpass per ricordare il mio nome utente e password come dispositivo attendibile, ma nel caso in cui qualcuno intercetti il tuo telefono quando è sbloccato, richiede un PIN per poter accedere all'app.

Inoltre, ti consiglio di attivare l'autenticazione google in modo che i nuovi dispositivi che tentano di installare lastpass e accedere al tuo account debbano avere il tuo autenticatore. Questo è un buon modo per impedire alle persone di accedere ai tuoi contenuti anche se capita di conoscere la tua password principale.

    
risposta data 14.07.2014 - 21:45
fonte
0

La password master lastpass non viene mai memorizzata sul telefono Android. È solo in memoria (RAM). La tua sessione con il server lastpass tuttavia non muore anche se si riavvia il dispositivo. Una copia crittografata della tua password principale è archiviata sul server lastpass. Se la sessione è attiva, il telefono scarica la versione crittografata e la decrittografa con la chiave casuale a 256 bit memorizzata sul telefono. Si noti che quella chiave casuale è memorizzata sul telefono, non la password principale. Se si uccide la sessione, il server lastpass cancellerà quella copia crittografata sul proprio server che è collegata alla sessione.

Spegni wifi e dati, riavvia, e vedrai che non sarai in grado di accedere con il solo pin. Questo perché la password principale non viene mai memorizzata sul telefono. Inoltre, se si uccide la sessione telefonica con il server lastpass (è possibile farlo con la versione desktop se si passa alle impostazioni), il pin sul telefono non funzionerà più.

Ci sono altre misure di sicurezza che lastpass usa con il pin. Ad esempio, dopo alcuni tentativi sbagliati (probabilmente cinque? Testarlo), il software lastpass ucciderà la sessione ed eliminerà la chiave di crittografia dalla memoria. Quindi devi inserire la password principale completa per accedere.

    
risposta data 04.11.2015 - 00:11
fonte

Leggi altre domande sui tag