L'archivio password locale LastPass (su un dispositivo Android) può essere forzato bruto in un modo normale?

1

Sto cercando di capire quanto è sicuro LastPass se lo hai sul tuo dispositivo Android e viene rubato. Se non sbaglio deve esserci un vault della password archiviato da qualche parte localmente sul dispositivo.

In tal caso sarebbe sufficiente continuare a provare a forzare la password LastPass fino al successo? questa risposta la mia domanda?

Che dire quando si utilizza l'autenticazione a due fattori, in questo caso renderebbe più difficile (senza accesso all'autenticazione a due fattori) in questo caso?

    
posta danizmax 02.06.2016 - 10:03
fonte

1 risposta

3

Effettuare un attacco a forza bruta l'unica opzione possibile è una caratteristica desiderata di un sistema di sicurezza.

Questo "solo" significherebbe che non ci sono punti deboli nell'algoritmo o nell'implementazione e il sistema potrebbe essere rotto solo provando tutte le combinazioni di possibili password.

Oltre a fare in modo che l'attacco di forza bruta sia l'unico possibile, dovrebbe anche essere reso difficile da eseguire.

Nel caso del database LastPass '(un file non crittografato offline) le contromisure sono limitate, ma sia il design del sistema che l'utente hanno influenza sull'efficacia di un attacco.

Primo: il database è protetto con una chiave derivata da una password che utilizza PBKDF con un numero specificato di iterazioni, il che aumenta il tempo richiesto per confermare ogni tentativo di indovina.

Gli utenti devono impostare il numero di iterazioni di PBKDF alto al punto di sopportare il tempo necessario per aprire il database sui propri dispositivi (questo può variare per PC e dispositivi mobili).

Secondo: gli utenti devono usare password complesse per rendere più difficile l'attacco a forza bruta (possibilmente fino al punto di infecondità).

L'autenticazione a due fattori in LastPass non protegge il database delle password, ma l'accesso al servizio online che fornisce il database delle password dell'utente crittografato.

Una volta scaricato il database, si tratta di un file crittografato statico e l'autenticazione del 2 ° fattore non è necessaria per decrittografarlo.

    
risposta data 02.06.2016 - 11:28
fonte

Leggi altre domande sui tag