Conosci le app di pesca LastPass? Modi per proteggere?

Naviga le tue risposte
1

Sono un utente LastPass, che utilizzo con le estensioni del browser.

Ultimamente mi è venuto in mente che non dovrebbe essere troppo difficile creare un'estensione per browser di pesca che

  1. sostituirà LastPass al momento dell'installazione,
  2. assomiglia esattamente all'ultima passata,
  3. Comportati come LastPass fino all'invio della tua password e
  4. Invia semplicemente i tuoi dati di accesso ad alcuni indirizzi email al momento dell'invio.

Le mie domande sono:

  1. È un trucco noto?
  2. In caso contrario, perché non dovrebbe funzionare / essere facile da implementare (oltre al fatto che l'utente installa l'estensione, cosa che può essere fatta usando le tecniche di pesca tradizionali)?
  3. Se lo è, ci sono dei modi per proteggersi da questo tipo di minacce? LastPass consiglia qualcosa in questa materia?

La mia domanda riguarda LastPass in particolare, ma suppongo che lo stesso problema si verifichi con qualsiasi software portachiavi, e sarei felice di sentirne parlare (ad esempio, 4. se c'è una minaccia, c'è qualche portachiavi il software offre una protezione migliore di LastPass?)

    
posta LastPassUser 15.11.2016 - 03:03
fonte

1 risposta

1

La prima installazione dell'estensione non è un'operazione innocua. Usi comuni dicono:

Once you have installed an unwanted software on your computer, it is no longer your computer

Ma l'attacco dovrebbe essere leggermente più complesso di quello che descrivi (dopotutto Lastpass è una soluzione di sicurezza ben conosciuta). La password principale che tu digita nell'estensione della password è solo la password del file di chiavi utilizzato per decrittografare localmente il contenuto del vault memorizzato su Lastpass server.

Quindi l'estensione falsa dovrebbe avere:

  • o per installarsi tra il browser e l'estensione reale - non così facile
  • o per riprodurre completamente tutte le operazioni di decodifica della vera estensione - in effetti possibile ma ancora una buona quantità di parole - significato
    • trova e sblocca il file di chiavi con la password principale
    • scarica il vault
    • decodifica il vault

Tale estensione sarebbe un attacco importante contro Lastpass, e in quanto tale con un grande rischio di essere presto identificato e disattivato.

Seguendo solo la mia opinione:

Questa è ancora una seria minaccia che dovrebbe essere presa in considerazione, soprattutto in caso di un attacco mirato, nel senso che l'attaccante può riuscire ad attivare il suo software solo su un numero limitato di macchine per limitare il rischio di essere identificato presto. Ciò presuppone che l'attaccante sia un'organizzazione strong e tu come target rappresenti un valore elevato perché in ogni altro caso il rapporto guadagno / costo è basso e l'intera operazione non ne vale la pena.

In ogni caso, la regola qui è che Lastpass può consentire di utilizzare in modo sicuro le password da un computer locale, se il computer locale è sicuro . Se la macchina locale è compromessa e avere un'estensione indesiderata nel browser è una grave compromissione, tutto può accadere (keylogger, furto o soppressione di file, ecc.)

    
risposta data 15.11.2016 - 10:39
fonte

Leggi altre domande sui tag

Posso impostare un proxy di connessione 3g / 4g per il test della penna dell'app per la tabella / telefono? Anti-manomissione / verifica della firma a mano