La seguridad de LastPass nuevamente en entredicho, esta vez es su sistema de verificación en dos pasos

Lastpass

LastPass sigue siendo parte de los titulares y nuevamente es por malas razones. El servicio de gestión de passwords no es exactamente el preferible ejemplo de confianza. De fallos claves de protección en sus extensiones para Chrome® y Firefox, a terribles bugs que aceptan hurtar todas las passwords de un cliente en un click, hasta haber sido hackeados filtrandose información personal de sus usuarios. Todo esto en menos de 2 años.

El mas nueva error de protección que se les ha descubierto, es un dilema suficiente grave con la forma en la que implementan el proceso de comprobación en 2 pasos. Un agresor podría deshabilitar la autenticación en 2 factores si ya tiene la contraseña, básicamente, los 2 factores no existían realmente.

El gusano fue reportado por el investigador Martin Vigo, y LastPass ha emitido un comunicado publicado que el error fue resuelto. Sin embargo, pese a que LastPass expone que para que un agresor pudiese haber explotado el dilema tendías habría tenido que tomar muchos pasos para brincar el Autenticador de Google® y además tendría que haber interesado al cliente a un sitio web(www) malicioso primero.

Martin Vigo tiene una historia diferente: el investigador expone como LastPass estaba empleando un hash de la password del cliente para producir el codigo QR que se utilizaba para establecer la autenticación en 2 pasos en el equipo de un usuario. Es decir, LastPass estaba guardando la semilla secreta de la comprobación en 2 pasos bajo una URL que puede ser derivada de tu contraseña. ¿Cómo es eso comprobación en 2 pasos?

Para poner esto en perspectiva, imagina que teneis una caja resistente en tu home en donde guardas tus posesiones mas valiosas. ¿Te parece una buena idea tener la misma llave para la puerta de tu home y para la caja fuerte? ¿Debería la llave de la puerta abrir la caja resistente también?

Vigo además hizo notar que no era imprescindible para el agresor atraer a la victima a ningun sitio web(www) malicioso, podría hurtar el codigo QR desde un sitio web(www) de confianza como Facebook® o Gmail. Sin desconfianza otra razón mas para pensarlo 2 veces antes de fiarse en el servicio, y penosamente otra mancha negra en la reputación de los gestores de contraseñas.

Vía | ZDNet
En Genbeta | Usar o no utilizar un gestor de contraseñas, he ahí el dilema

También te recomendamos

LastPass sufre otra vez muchos fallos de protección claves en sus extensiones para Chrome® y Firefox®

A favor / en contra de utilizar un gestor de contraseñas: estos son los argumentos

La próximo maravilla del planeta podría ser construida por un robot: estos son sus límites


La novedad La protección de LastPass nuevamente en entredicho, esta vez es su metodo de comprobación en 2 pasos fue publicada originalmente en Genbeta por Gabriela González .


Genbeta



Agradecemos a la fuente original por la información que nos ayudo a crear este articulo.

También puedes revisar estas noticias relacionadas.

Tags: #entredicho #está #LastPass #nuevamente #pasos #seguridad #sistema #verificación

Deja un comentario

Author: 
    author