Quanto è sicuro lastpass se TLS è MITMed?

Naviga le tue risposte
1

Nello scenario in cui il mio browser è configurato per fidarsi di un certificato di firma controllato da un'entità che sostituisce attivamente i certificati TLS di tutte le mie connessioni (in pratica sono MITMed), quali rischi devo affrontare utilizzando il browser LastPass estensione? Suppongo che oltre alla sostituzione del certificato, le mie connessioni vengano solo intercettate e che i carichi utili non vengano alterati.

La mia attuale comprensione è questa: il client Lastpass invierà un hash della mia password principale ai server lastpass. Un hash valido significherà che il server restituisce il mio vault della password crittografato. Il MITM può riprodurre questo hash per ottenere il mio deposito crittografato. La decrittazione del vault avviene nel browser. In quanto tale i miei rischi sono:

  • MITM acquisisce la capacità di acquisire il mio cripto crittografato (off the wire o riproducendo la mia password con hash).
  • MITM sostituisce la mia estensione lastpass con una versione di Trojan durante un aggiornamento.
  • MITM acquisisce le mie credenziali per altri siti quando li uso dopo averli ritirati da lastpass.

La mia comprensione è corretta? Posso supporre che (in assenza di un'estensione trojan) il mio vault nel suo insieme e tutte le credenziali che non uso sulla connessione MITM siano sicure?

    
posta Matthew Sharp 24.07.2017 - 05:18
fonte

1 risposta

2

Se un avversario è in grado di emettere certificati arbitrari ritenuti affidabili dal tuo browser, tutto ciò che fai nel browser può essere potenzialmente compromesso. Sui tre punti sopra:

  • Se il blob del vault viene crittografato correttamente, dovrebbe essere inutile senza la chiave master nota solo a te. Potrebbero tuttavia usare altre tecniche per introdurle, come vedere se la dimensione del file è cambiata e correlarla con la tua attività web per dedurre che hai creato nuove credenziali per un sito. Se controllano anche il tuo sistema di posta elettronica, potrebbero essere in grado di utilizzare tecniche di reimpostazione della password per inserire tali account.
  • Se il tuo browser si fida della CA per firmare il codice, probabilmente non dovresti utilizzare il browser per attività affidabili come la gestione delle password nelle estensioni. Il cambiamento più potente che potevano introdurre nell'aggiornamento "trojan" è semplicemente quello di trasmettere la tua password principale in una posizione che controllano, e avranno tutto. Prendi in considerazione l'utilizzo di una soluzione di gestione delle password non integrata nel browser, se sei preoccupato.
  • Questo particolare MitM può visualizzare le credenziali per everysite con cui si autentica, LastPass o no, poiché sono (tipicamente) trasmesse come un semplice campo di testo su HTTP all'interno della sessione TLS o un cookie nell'intestazione HTTP.

Se non sono interessati a penetrare nell'estensione LastPass, hanno accesso al tuo vero e proprio file di database come LastPass. Il problema più grande è che sono in grado di spiare le password che inserisci per tutti i siti al momento. Inoltre, tutti i cookie utilizzati per autenticarti automaticamente sui siti sono anche visibili e possono essere utilizzati per accedere a tali siti.

    
risposta data 24.07.2017 - 17:47
fonte

Leggi altre domande sui tag

Soluzione per i dati sensibili del negozio senza accesso ad esso È possibile utilizzare il valore del referrer http per bloccare i bot spam?