Passord ledere er gode som de lagrer et nesten ubegrenset antall av viktig informasjon, kontoer, passord, kredittkortnumre og andre sensitive data. De holde deg fra å måtte huske unike sterke passord, eller bruke andre midler for å huske dem slik som å skrive dem ned.
Alle data er beskyttet av en enkelt master password, og, hvis det er støttet av flere former for beskyttelse, for eksempel to-faktor autentisering.
Sikkerhet av password manager og sin database er av største betydning, med tanke på at angriperne vil få tilgang til alle data som er lagret av en bruker, hvis de klarte å få tilgang til kontoen.
At enkel tilgang vil gi en angriper tilgang til de fleste av kontoene til at brukeren og til og med data som ikke er koblet direkte til Internett, hvis det har blitt lagt til hvelvet, så vel.
Oppdatering: LastPass kontaktet oss med følgende presisering:
- Disse rapportene var ansvarlig utlevert til teamet vårt for over et år siden
- Alle rapporter som ble tatt opp umiddelbart på den tiden, og ikke utgjør en løpende risiko for å LastPass brukere
- Brukere trenger ikke å vente med å forstå hva det var rapporter om – alle av dem er dekket i Martins innlegg fra i fjor, med unntak av konto recovery-rapporten, som ble tatt opp på det aktuelle tidspunktet, men ble ikke dekket i sin opprinnelige blogginnlegget
- Det er også verdt å merke seg at vi eksplisitt advare brukere om ikke å bruke alternativet Remember Password
Det ser ut til at demonstrasjonen er faktisk om den sårbarheten som ble offentliggjort i fjor av forskere.
Security forskere Alberto Garcia og Martin Vigo vil demonstrere angrep på populære online-passord management service LastPass på Blackhat-Europa 2015-konferansen i November.
Her er hva de vil vise:
- Hvordan å stjele og dekryptere LastPass master-passord.
- Hvordan misbruk password recovery til å få krypteringsnøkkelen for hvelvet.
- Hvordan å omgå 2-faktor autentisering brukes av LastPass for å forbedre sikkerheten til kontoer.
Metodene er at de vil bruke for å gjøre det er ikke avdekket i orienteringen men forskerne nevner at det har snudd LastPass plugins og oppdaget flere angrep vektorer i å gjøre det. Det er sannsynlig at de mener utvidelser av plugins, men det er ikke klart fra orienteringen.
Mens det er for tidlig å si hvor effektiv og anvendelig disse angrep former er, det er sikkert noe som LastPass-brukere bør holde et tett øye på.
Angrepene kan for eksempel kreve en modifisert nettleser utvidelse eller andre komponenter som må kjøres på en datamaskin, for å være effektive. Dette ville åpenbart være mindre av et problem enn noe som kan utnyttes med en gang på systemer som kjører offisielle plugins og utvidelser.
LastPass brukere vil måtte vente nesten to måneder før angrepene er avdekket på konferansen. Forsiktige brukere kan det være lurt å deaktivere utvidelser i mellomtiden for å unngå skade siden det er uklart hvordan disse angrepene er utført. (via Caschy)
Nå er Du: har du bruke LastPass eller annen online password manager?